[TYPO3-german] TYPO3.org: Eh, hallo?

[fms1961 at gmx.de]

Hallo Markus!

Wenn man SALT + md5 nur einfach aneinanderreiht und auch einfach so  
lesbar in der DB abspeichert, trifft das zu. Es gibt aber  
Möglichkeiten, das zu verhindern bzw. deutlich zu erschweren. Etwa,  
indem man eine große Tabelle mit Werten anlegt und beim User nur den  
Index speichert und den SALT-Wert mit einem etwas komplexeren  
Algorithmus verknüpft. Oder eine SALT-Tabelle im Programm hart codiert  
hinterlegt und z.B. über einen Modulo der UID ausliest - da ist der  
Phantasie keine Grenze gesetzt. Wenn natürlich der Angreifer das  
System geknackt hat und an alle Daten und Sourcen kommt, ist es nur  
eine Frage der Zeit, bis alles analysiert ist. Das ist aber das  
gleiche, wie wenn mir jemand den Schlüssel klaut und dann bei mir  
einbricht - da gibt es kein Mittel gegen. Ist mir übrigens im RL schon  
passiert ... :-( Wenn es aber gelingt, die nötigen Daten so  
abzuspeichern, dass sie nicht über das geknackte System erreicht  
werden (hier im akuten Fall also das BE), ist die Sicherheit wieder  
deutlich erhöht. Dafür bedarf es aber einer ausgeklügelten  
Rechteverwaltung, sonst ist der Aufwand umsonst.

Wenn der Angreifer aber wirklich nur die "gesalzenen" MD5s sieht und  
die SALT-Werte nicht im direkten Zugriff hat, kommt er nicht weiter.  
Sollte er sie doch finden, könnte noch die Komplexität der Verknüpfung  
etwas helfen. Kriegt er deren Algorithmus raus, ist der Zugang offen.  
Deshalb liebe ich Einmalpasswörter ... ;-)

Gruß, Manfred

Am 14.11.2008 um 23:16 schrieb Markus Bucher:

> Der Bösewicht hat also beim salted Verfahren username,
> md5(md5(plaintextpass).salt) und das salt in seinen Händen. Kann er  
> sich
> damit nicht analog zum herkömmlichen Verfahren dennoch anmelden?
>
> Verhindert das wirklich das Fremdanmelden am System und schützt nicht
> nur das eigentliche Passwort?
>
> Markus