MySQL: sichere Passwortverschlüsselung

#1 Hi!

Ist es sicher genug die Passwörter mit

Code

PASSWORD()

in der Datenbank abzulegen?
Oder gibt es noch andere sicherere Passwortverschlüsselungsmethoden?
Wenn ja, dann sagt mir bitte auch gleich die Abfragemethode dazu.

MfG J!M!

#2 Mojen,
Wilst die Passwörter von Usern speichern?
dann würde ich die funktionn sha1($blabla);
verschlüsseln, das ist ein hash wert den kann man nicht entschlüsseln,
wenn du wissen wilst ob das passwort richtig ist kann man 2 verschlüsselte PW vergleichen
__________
Es ist richtig, wenn Politiker behaupten: Der Mensch ist Mittelpunkt.
Falsch ist nur die Schreibweise gemeint ist: Der Mensch ist Mittel. Punkt.

#3 Danke für dein Post @Typ

Ich hab mir mal das ausgedacht:

Code

SHA1(MD5(AES_ENCRYPT(DES_ENCRYPT(ENCODE(PASSWORD('$password'), key_str)),key_str)))

Diese Verschachtelung von Verschlüsselungsfunktionen sollte sicher genug sein, oder? ;-)
Die Frage ist bloß: Geht das überhaupt?

MfG J!M!

#4 Huii...

ich stehe mit offenen Mund und staune.
Eine Verschlüsselung der Verschlüsselung der Verschlüsselung....

Also wenn Dir das nicht sicher genug ist, dann hilft nur noch ein

Zitat

RAND()

drumrumzulegen.
Das sollte den Laden dann aber wirklich dichtmachen.

TS

#5 Also... in der Form

Code

SHA1(MD5(AES_ENCRYPT(DES_ENCRYPT(ENCODE(PASSWORD('$password'), key_str)),key_str)))

geht es nicht ganz.

Der Code ist jetzt

Code

SHA1(MD5(AES_ENCRYPT(ENCODE(PASSWORD('$password'), key_str),key_str)))

Das Problem liegt bei DES_ENCRYPT(). Wenn ich das hinzufüge, dann stellt er irgendetwas mit $password an, so dass $password leer wird.
Da ich bei diesem Feld "NOT NULL" markiert habe, kommt natürlich eine Fehlermeldung. Ich denke mal, es ist nicht wirklich tragisch, wenn ich DES_ENCRYPT() auslasse, aber ich wüsste natürlich gern den Grund. Habt ihr eine Antwort darauf?

MfG J!M!

#6 Alter Schwede,

mit Sicherheit ist in keinem Fall gemeint Rechenpower zu verpulvern! Es gibt bisher keine SHA1 Kollisionen! SHA1 eignet sich absoult für dein Vorhaben, vergiss all den anderen Kram!

Viele Systeme bedienen sich noch dem Hash-Algorhytmus MD5, bei dem allerdings Kollisionen entdeckt wurden (-> md5() von 2 verschiedenen Werten ergibt denselben MD5-Wert).

Woher nimmst überhaupt das key_str? Hast du sicher irgendwo in 'nem Script -> wenn einer dein Webspace hat nützt dieses symmetrische Beigemüse auch nichts.

Bitte mach nicht eine solche sinnlose Verschachtelung. SHA1 alleine ist absolut sicher genug.
__________
greez
honk

#7

Zitat

Bitte mach nicht eine solche sinnlose Verschachtelung. SHA1 alleine ist absolut sicher genug.

CRYPT_STD_DES ist auch genug.
Es kommt drauf an wofür man das brauch, und wär noch alles Zugriff auf die DB hat
Je höher jedenfalls die Verschlüsselung desto länger dauert der query, dass kann
unter Umständen zum Problem werden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 Welcher hash ist den nun Sicherer der SHA1() oder Md5(). Wobei es schon bei Md5 schon einige Webseiten datenbank gibt die wieder den klar text zurück geben. Sollte mal ein Hash nicht gleich erkannt werden.Dann ist dieser spätersten am Nächsten Tag zurückgerechnet worden und man kann in von der Db abfragen.

Gibst solche Seiten auch bei SHA1() ?

#9 keine ahnung
ich würde sha1 nehmen
der ist was die Kolisionsfreiheit einfach besser,
da gibts aber glaub ich auch noch den sha512 davon weis nur das der 64 stellig ist
__________
Es ist richtig, wenn Politiker behaupten: Der Mensch ist Mittelpunkt.
Falsch ist nur die Schreibweise gemeint ist: Der Mensch ist Mittel. Punkt.