[TYPO3-german] Frontend-User mit verschlüsselten Passwörtern

David Bruchmann david at bruchmann-web.de
Fri Mar 20 18:16:18 CET 2009 

----- Ursprüngliche Nachricht -----
Von:        Steffen Gebert <steffen at steffen-gebert.de>
Gesendet:   Freitag, 20. März 2009 17:26:02
An:         typo3-german at lists.netfielders.de
CC:
Betreff:    Re: [TYPO3-german] Frontend-User mit verschlüsselten Passwörtern
> David Bruchmann wrote:
>> Kann man denn eine Kombination der beiden Erweiterungen kb_md5fepw und
>> t3sec_saltedpw einsetzen?
> 
> Nein - t3sec_saltedpw benötigt das Passwort im Klartext, da es ja dann nach 
> dem salten abgespeichert wird (wenn es nur als Hash ankommt, ist das 
> natürlich nicht möglich).
> 
> Dementsprechend gibt es ja auch Bestrebungen zur Intergration einer RSA-
> Library, mit der die Passwörter dann verschlüsselt übertragen werden können 
> (und von TYPO3 wieder entschlüsselt werden können).
> 
> Steffen
> 

Hallo Steffen,

danke für die Info.

Ganz einleuchten tut es nicht:

1) *unverschlüsselt Passwörter*
    Vergleich Benutzereingabe <-> gespeicherter Wert

2) *MD5 verschlüsselt Passwörter*
    Vergleich verschlüsselte Benutzereingabe <-> verschlüsselt 
gespeicherter Wert

3) *t3sec_saltedpw*
    *verschlüsseltes Passwörter*
    a -> Benutzereingabe wird clientseitig als MD5 verschlüsselt
    b -> gespeichertes Passwort wird entschlüsselt
         oder a wird zusätzlich mit t3sec_saltedpw verschlüsselt
    c -> vergleich a <-> b


Bei 3c) müßte es egal sein, wie der Wert nun vorliegt. Man muss nur 
dafür sorgen, daß sich Benutzereingabe und Datenbankeintrag beim 
Vergleich jeweils im gleichen Zustand befinden. Es würde dann doppelt 
verschlüsselt also einmal von kb_md5fepw und einmal von t3sec_saltedpw 
aber der Vergleich würde/müßte anhand des MD5-Wertes durchgeführt werden 
oder die Benutzereingabe muss erst doppelt verschlüsselt werden (1x beim 
Client 1x (kb_md5fepw) auf dem Server (t3sec_saltedpw)).

Ist jetzt nur eine theoretische Überlegung, habe mich wie gesagt nicht 
näher mit t3sec_saltedpw beschäftigt, aber für die ext. müßte es egal 
sein ob sie Klartext, MD5-, oder Blowfish-Werte vergleicht.
Fraglich ist halt ob und wie sich die Erweiterungen in TYPO3 verknüpfen 
lassen.

Das vollständige Entschlüssel von Passwörtern mag zwar zu vereinzelten 
administrativen Tätigkeiten sinnvoll erscheinen, ist aber eigentlich 
komplett abzulehnen. Bei anderen Daten ist Reproduzierbarkeit evtl. 
wichtig, bei Passwörtern ist die Sicherheit aber höher einzustufen, da 
sich Missbrauchsmöglichkeiten auch im administrativen Umfeld befinden 
können und Datenbanken gehackt werden können.

Der Hinweis auf RSA ist interessant, ich habe eine Erklärung auf 
Wikipedia dazu mal kurz überflogen. Bezüglich TYPO3 müßte ich mir mal 
genauer ansehen, was da geplant ist, bevor ich mir eine Meinung bilde.

Viele Grüße
David

More information about the TYPO3-german mailing list