md5 verschachteln?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
angemessen salzen
anzahl
code
einblick
eingabe
funktion
gefunden url
geheimnis
interessanten artikel
kollision
login
machen
mus
niemand
salzen
schlechte idee
sicherheit
string
url
vorgang
-
Hallo zusammen.
Ich nehme an die meisten hier werden zur Passwortverschlüsselung den md5-Alhorythmus verwenden.
Nun ist es aber auch kein Geheimnis mehr, dass es im Netz unzählige Rainbowtables gibt, die diese Methode unsicher machen.
Nun hab ich mir überlegt, dass es doch vielleicht ganz clever wäre, wenn man die Verschlüsselung mehrfach durchführt.
md5(md5($string)) sollte dann auch nicht durch Rainbowtables umkehrbar sein.
Noch besser wäre vielleicht sogar md5("blabla".md5($string))...
Erreiche ich dadurch tatsächlich eine erhöhte Sicherheit, oder vergesse ich da etwas?
lg,
velli -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
md5(md5($string)); ist ne ganz schlechte Idee. Damit erhöht man die Anzahl der Kollisionen deutlich.
Wenn du dich vor Rainbow-Tables schützen willst, kann man einen Hash salzen, so wie du es schon ansatzweise vorgeschlagen hast:
md5( 'geheimerString' . $eingabe );
Solange niemand den geheimenString kennt, kann auch niemand Rainbow-Tables für deine Webseite berechnen.
Zusätzliche Aufrufe von md5 bringen hier nichts und erhöhen nur wieder die Anzahl der Kollisionen.
Siehe auch: Salt
Beitrag zuletzt geändert: 7.3.2011 22:01:58 von bladehunter -
Naja durch eine Verschachtelung mehrere Verschlüsselungsmethoden kannst du die Sicherheit erheblich erhöhen. Das mus nicht immer nur md5 sein. Es kann auch eine sha-Verschlüsselung sein. Diese kannst du beliebig verschachteln aber je mehr du verschachtelst desto langsamer wird der Login-Vorgang.
Fazit: Es ist möglich und macht auch Sinn da es sicherer wird. Doch die Geschwindigkeit leidet darunter.
Gruß S.Brosch -
software-brosch schrieb:
Naja durch eine Verschachtelung mehrere Verschlüsselungsmethoden kannst du die Sicherheit erheblich erhöhen. Das mus nicht immer nur md5 sein. Es kann auch eine sha-Verschlüsselung sein. Diese kannst du beliebig verschachteln aber je mehr du verschachtelst desto langsamer wird der Login-Vorgang.
md5 und sha1 sind Hash-Funktionen und keine Verschlüsselungsfunktionen.
Und wie ich bereits oben angeführt habe, gibt es keinen ernstzunehmenden Sicherheitsgewinn durch die Verschachtelung. Man sollte lieber seine Hash-Funktionen angemessen salzen. -
Ich hab vor einiger Zeit mal einen ganz Interessanten Artikel gefunden:
http://www.zimuel.it/blog/2011/01/strong-cryptography-in-php/
sollte dir einen Guten Einblick geben ;) -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage