QUOTE (qvvr @ So 11.3.2007, 23:24) hm, kapiere aber trotzdem noch nichtmal die grundlegenden sachen:
-v.a.: warum muss man überhaupt verschlüsseln? wenn ein hacker zurgiff auf die datenbank hat, hat er dann nicht automatisch zugriff auf meine scripte und kennt damit die verschlüsselung? bringt eine verschlüsselung also etwas außer zeit?
Sicherheit ist nicht nur mit einem Element getan. Sicherheit ist ein System. Natürlich bringt das Hashing von Passwörtern alleine keine Sicherheit - trägt aber dazu bei.
- falls du mal gehackt werden solltest, hat er zwar deinen Salt, aber muss dennoch die ganzen Rainbowtabellen nochmal neu "generieren". Das kann Jahre dauern! Bis dahin solltest du diesen Hack bemerkt haben, und kannst dann einfach einen neuen Salt erstellen und dementsprechend die Passwörter neu generieren.
- es gibt auch Lücken, wo der Angreifer nicht komplett auf deinem Server kann, aber eventuell einzelne Datensätze ausspionieren kann (auch z.B. als "Dritter" Mithörer, Bundestrojaner lässt güßen
) - schon alleine aus diesem Grund sollte man Passwörter niemals im Plain-Text Format übertragen.
QUOTE -was ist der unterschied zwischen crypt() und md5() verschlüsselung?
wurde bereits von DaBone erläutert.
Für mich wäre aber sogar md5 zu unsicher. Wenn du grad neu am programmieren bist, gewöhn dich an sha1()
QUOTE -ist sowas sicher/ausreichend:
http://www.gaijin.at/scrphpcrypt.php ?
Nein! Wenn du genauer hinschaust basiert das Ganze auf die crypt() Funktion.
QUOTE Vorteil bei crypt:
Hier läßt sich relativ simpel ein Salt einfügen;
Mit sha1/md5 genau so:
md5($passwort.$salt);
bzw.
sha1($passwort.$salt);
qvvr, sei das aber das nächste mal nicht so Lesescheu...