[TYPO3-german] TYPO3.org: Eh, hallo?
fms1961 at gmx.de
fms1961 at gmx.de
Fri Nov 14 19:59:04 CET 2008
Hallo David!
> @Manfred: Du hattest mich wohl mit David Brunnthaler verwechselt -
> es gibt
> mehrere Davids ;-)
Nicht unbedingt, ich habe auf seinen Beitrag geantwortet, dann aber
noch Bezug auf andere genommen, ohne das zu markieren. Eigentlich
schlechter Stil ... ;-)
Aber noch mal zum Thema an sich ein allgemeiner Aspekt:
MD5 alleine bringt auch ohne Rainbow-Tables keine große Sicherheit für
Attacken wie die vorgefallene. Denn mit den echten MD5-Werten ohne
SALT kann man sich problemlos anmelden, wenn man den Hash in Händen
hält. Selbst ein Challenge-Response-Verfahren nützt da nichts, denn
hier muss ja auch der Hashwert eingesetzt werden (sonst müssten die PW
im Klartext auf dem Server liegen). Das hilft dann zwar gegen eine Man-
in-the-middle-Attacke, aber wenn ich den Hashwert habe, kann ich mich
auch so anmelden. Den Challenge-Wert bekomme ich ja vom Server. Das
zeigt, wie wichtig ein Schutz der Daten ist und wie wichtig das
Ablegen der Daten mit MD5 + SALT ist.
Gruß, Manfred
More information about the TYPO3-german
mailing list