Hallöchen, ich hab ein Problem.
Auf meiner Seite haben User ein min. 128Bit Verschlüsseltes Passwort mit angeben und er kam nicht rein. Dass Passwort wird nicht genommen und es tauchen Probleme in der Datenbank auf.
Frage wie kann ich das machen, dass die Verschlüsselung auf MD5 zu haben.
Und das ein max 256 Bit verschlüsselung annimmt.
Also das Passwort würde vorher schon verschlüsselt und wird als Zeichenfolge angegeben...
Aber er kann sich nicht anmelden.
verwendete ilch Version: 1.1 P
betroffene Homepage: www.disruptive-wolfpack.eu
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Fehler mit verschlüsselten Passwörtern
| Geschlossen | ||
-
So. 09.03.2014
19:13 Uhr
#1
- Registriert seit
- 10.02.2014
- Beiträge
- 457
- Beitragswertungen
-
So. 09.03.2014
19:20 Uhr
#2
- Registriert seit
- 03.06.2004
- Beiträge
- 3.282
- Beitragswertungen
?
Was willst du?
Erstmal ist seit P kein MD5 mehr, zumindest wenn ein anderer Hashalgoritmus wie Blowfish zur Verfügung steht.
Wie mann allerdings verschlüsselte Passwörter angeben will ist mir schleierhaft ...???
Du kannst gern die anzahl der erlaubten Zeichen in der Datenbank erhöhen dann könnte man hier 1024 lange Zeichenketten angeben aber wo zu?
Da würd ich doch lieber mal über nen OTP SystemnachdenkenMeine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf -
So. 09.03.2014
19:59 Uhr
#3
- Registriert seit
- 10.02.2014
- Beiträge
- 457
- Beitragswertungen
Also wir haben in unserem Clan jemand der lässt sich seine Passwörter schon auf min. 128 Bin verschlüsseln und knallt dann das was rauskommt also die Zeichenfolge als sein Passwort rein. Dann kann er sich damit aber nicht mehr anmelden.
Beispiel für das Passwort:
c8b60df6a20e0b2a4c631137e39d428df5c1413655afbd43104b965d1f493def
Was meinst du mit OTP-System -
So. 09.03.2014
23:18 Uhr
#4
- Registriert seit
- 03.06.2004
- Beiträge
- 3.282
- Beitragswertungen
Also OTP ist ein One Time Password
wie es zum beispiel von Blizzard mit dem Authenticator oder der Bank mit einer eTan verwendet wird.
Bestell mal deinem Member er soll sich benehmen wie ein Normaler Mensch und das Passwort eben unverschlüsselt eingeben...
Ist in meinen Augen völlig übertrieben weil rein theoretisch das ganze dann noch mal gesaltet und gehashed wird da is mir dann auch klar warum es nicht geht... da müsste man wieder den ganzen Loginbereich inclusiv der Templates anpassen das das funktioniert.......... omg ne wenn er sein 128 (Bit) Passwort nutzen will kann er dir ja auch den Aufwand bezahlen den das umändern kostet.
Nach aktuellem stand was auch das BSI vertritt reicht eine Buchstaben und Zahlen kombi mit einem oder mehr Sonderzeichen mit einer länge von 12-14 Zeichen aus um ein als derzeit sicher geltendes Passwort zu haben.
externer Link
GrußMeine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf -
Das Problem ist aber ein ganz simples
Beim input Feld im HTML des Passwortes ist eine maximale Länge von 20 angegeben, diese "einfach" entfernen und er sollte sich anmelden können.
(Loginbox und ?user-login)
Zuletzt modifiziert von Mairu am 10.03.2014 - 07:28:35Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Mo. 10.03.2014
08:24 Uhr
#6
- Registriert seit
- 10.02.2014
- Beiträge
- 457
- Beitragswertungen
@Rock@wulf,
ich bin da deiner Meinung, ich hab jetzt die Datenbank aufgebläht auf 1024 Zeichen, nun geht es.
@Mairu: Werd ich mal abändern.
Edit: hab jetzt in jeder Template datei die max passwortlänge auf 256 gesetzt. Auch in profil_edit.htm
Hab rausbekommen, dass sein Passwort auf max 20 Zeichen reduziert wurde ;-) Ubs :-)
Weil meines erachtens heißt maxlength, dass nur soviel Zeichen auch angenommen werden. oder irre ich mich da.
Danke euch wirklich sehr
Zuletzt modifiziert von magicmarkus am 10.03.2014 - 08:35:22 -
Der Hash kann maximal 123 Zeichen lang sein, ich habs ja mit deinem Bsp Passwort versucht, das ergibt bei mir z.B. den Hash $5$rounds=3535$SBwBDgTrzJBGBiTs$NeVVDE0ZcXToRDPfC1F.dqIrPl2lkMIUvZrLOgEsqB.
Das sind 75 Zeichen, die Länge hängt dann eher am Hash Algorithmus denn an der Länge des Passwortes.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Mo. 10.03.2014
12:02 Uhr
#8
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
Meiner bescheiden Meinung nach ist es eh unsinn, da es nur bedingt mehr Sicherheit bringt (bzw. man glaubt das es sicher ist). Man muss halt nur den Angriff verlagern, und selbst das ist sicherlich kaum nötig da irgendein User sicherlich ein unsicheres oder zumindest schwaches PW benutzt. (Da es bisher ja keine Passwortcheck / Kennwortrichtlinien gibt)
Die einzige Sicherheit die dir so ein PW bringt, ist sicherheit beim hash-vergleich (Rainbow Table), wobei ilch da durch die Runden schon mehr sicherheit mit bringt, als Varainten nur mit MD5 oder SHA.
Im zweifel bleibt immer noch die Brute-Force Variante, die zumindest bei einfachen Passwörtern, sehr gute erfolge hat. Und welche PW häufig und somit gerne benutzt werden.... hat man ja z.b. bei Adobe / Sony und und und gesehen. 2/3 aller Passwörter dieser Seiten konnten ohne Probleme per Rainbow Table entschlüsselt werden. und nur 4% des letzten drittels hatte ein PW aus Buchstaben (groß / klein) und Ziffern.... was ja mal eine Ansage ist.
Weitere Probleme bei langen Passwörtern:
Bei langen PW neigen Benutzter auch dazu diese im Browser zu speichern oder sich per Cookie identifizieren zu lassen, was dann ebenfalls wieder unsicher ist. Da man so ggf. die Session übernehmen könnte oder einfach das PW aus dem Browser klauen könnte.
Wer so auf sicherheit setzt, muss halt auch auf seinem PC für diesen Faktor sorgen.... und da happert es bekanntlich recht häufig.
Du musst alleine nur FileZilla als FTP Programm benutzen (FZ ist hier nur als beispiel genannt, andere können sicherlich auch betroffen sein) oder eine unverschlüsselte FTP Verbindung benutzen (siehe Beitrag von Mairu externer Link
Auch bingt es beim einfachen "Man in the middle" Angriff rein garnichts, da das PW im Klartest übertragen wird, solange keine https verbidnung benutzt wird... einzig der Aufwand wird größer und verlagert sich auf andere Bereiche.
Fazit: Toller versuch für etwas pseudo Sicherheit, die dank deiner Benutzer, anderen Kunden auf dem Server oder unsicheren PHP Skripten eh wieder zu nichte gemacht wird.
Sicherheit ist halt relativ, alleine ein Passwort mit z.b. xxx Tbit bringt dir rein garnichts, wer wirklich will hat noch genug angere möglichkeiten sich seinen weg zu suchen.
Ob sich der aufwand (für einen User) also gelohnt hat steht in den Sternen
____________________________________________________
[b]Mal so ein gedanke:[/b] Mal ganz davon abgesehen.... was ich mich grade frage.... gehen wir mal davon aus das die sicherheit bei einem langen und kurzen pw aus buchstaben (nur kleine) und Zahlen identisch wäre, sprich 32 Zeichen aus a-z & 0-9 sind genau so sicher wie 6 Zeichen aus a-z & 0-9 (Theorie / Annahme) die sicherheit würde somit nur aus der Kompexität der Zeichenkette folgen. .... und ich nun so vorgehe wie dein einer User... Das ist mein beispiel PW : Tv\q\hww&oa#&[+f/ly(ö.{(.*-k$jt+ mit 32 Zeichen! Dann haut dein User dieses PW in eine MD5 (oder andere Hash kodierung) da folgt dann sowas raus: (Betrachtet werden mal nur md5 und SHA1, da diese noch häufig im web genutzt werden) [b]md5 :[/b] c0b1bc3f6be0f9ca42cb80574913ed1f ebenfalls 32 Zeichen [b]sha1 :[/b] 25334ff903005eb7761b0da0e69007fcddfd7bcf 40 Zeichen [i]je nach Bit Rate und Hash ändert sich die Anzahl der Zeichen, aber es ist ja nur ein Beispiel (beachte die Annahme oben bitte).[/i] Was ist nun passiert: Die Komplexität eines PW geht zu gunsten einer definierten Zeichenlänge verloren... da ein hash (jetzt mal abgesehen vom ilch algorythmus oder anderen Varainten mit Salt) nur aus Ziffern und buchstaben besethen (und dann i.d.r. auch nur aus kleinen oder großen) Im Endeffekt bedeute dies, das er sich sein PW mit z.b. 32 Zeichen (sehr komplex) durch ein neues mit 32 Zeichen (beim MD5) (nicht mehr Komplex) ersetzt... Also irgendwo ist da ein denk fehlers deines Users (von mehr sicherheit kann da nicht die rede sein)! Klar die länge bingt hier wieder sicherheit mit aber selbes könnte er mit einem kurzen PW (Komplex) auch erreichen und hat diesen unsinnigen Aufwand nicht mehr! [b] Wie geasgt, es ist ein beispiel mit einfachen Annahmen und ohne die Verwendung von Runden, Salt oder anderen besseren Algorithmen... [/b] Wirklich was bringen tut dieses vorgehen nur bei einfachen Passwörtern mit wenigen Zeichen. Zum beispiel beim Passwort "Feuerwehr". Sicherheit erstmal gleich null, da es per Rainbow Table sofort gekanckt wird. Als MD5 : 9dc5b538a08f4355b90b46d4be899fbb Da der User aber bei der Eingabe in der Webseite, nun den Md5 eingibt...und somit 32 Zeichen statt 9, ergibt sich glücklciherweise ein Passwort mit besserer sicherheit (wenn es auch immernoch nicht komplex ist).... Md5 des Md5: 664fc96c11b53ef176349f51f827d408 dieser wird natürlich im Rainbow Tab. so nicht gefunden... ________________________________________________ [b]Mal was zur Sicherheit von diesen Zeichenketten ohne komplexität:[/b] [i]Bei einer Brute-Force-Attack also ohne Rainbow-table[/i] Beispiel: 9dc5b538a08f4355b90b46d4be899fbb [a-z] = 26 Zeichen [0-9] = 10 Zeichen Zusammen [b]36 Zeichen[/b], ein standard Hash (md5) hat immer 32 Zeichen also ergibt sich 36 ^32 = 63340286662973277706162286946811886609896461828096 [Varianten] Eine gute Software mit ordentlich Hardware kann per Brute-Force-Attack 2.096.204.400 (rund knapp 2,1 Milliarden) Wörter pro Sekunde probieren. somit ergibt sich 36 ^32 / 2.096.204.400 = 30216655714954742822867029067781694671519.8488411225546516 [Sekunden] (Um alle Möglichen Kombinationen zu probieren) Das bedeutet, man braucht ca. 9.57528491 × 10^32 Jahre um das PW zu knacken zum vergleich, dass Universum ist nur 13.7 * 10^10 Jahre alt! So oder so, es ist völlig überzogen und unsinnig... aber wer es braucht... warum nicht :D p.S Das gewählte Passwort (Tv\q\hww&oa#&[+f/ly(ö.{(.*-k$jt+ ), war noch tausend mal sicherer durch die mehrzahl der Sonderzeichen.... (Wie gesagt das vorgehen deines Users ist ein rückschritt im Thema sicherheit) [b]Weil ich es echt nochmal wissen wollte[/b] Alle Zeichen auf einem Standard Keyboard Beispiel Passwort: Tv\q\hww&oa#&[+f/ly(ö.{(.*-k$jt+ [a-z] 26 Zeichen [A-Z] 26 Zeichen [0-9] 10 Zeichen [!"§$%&/()=?`^°²³{[]}\´+*~#'äöü,.-_:;µ@] 38 Zeichen *** Verdammt hab ÄÖÜ vergessen *** Zusammen 100 Zeichen, wieder ein String mit 32 Zeichen 32 ^ 100 = 3273390607896141870013189696827599152216642046043064789483291368096133796404674554883270092325904157150886684127560071009217256545885393053328527589376 [Varianten] 32 ^ 100 / 2.096.204.400 = 1561579876416699568998705325123637347682622002913010195705767704760153063510731374709102839554150424047810740273019210821815494970760195452947 [sekunden] macht: 4,94845372 × 10 ^ 133 Jahre nochmal als Zahl: 49517373047206353659268941055417216758074010746861053897316327522835903840396098893616908915339625318613988466293100292421851058179864.1 Jahre Die Zahl als [url=http://upload.404studios.com/data/public/e64065.php?lang=de]Wort[/url] Ich glaube das erlebt keiner mehr
Puhh etwas lang geworden, liest sicherlich eh niemand
Zuletzt modifiziert von Revolution am 10.03.2014 - 15:54:39Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Mo. 10.03.2014
16:12 Uhr
#9
- Registriert seit
- 23.03.2007
- Beiträge
- 2.425
- Beitragswertungen
... das ist ne Clanpage...
ich kauf mir auch keinen BMW M5 ohne Motor, nur um den zum nächsten Bäcker zu schieben...Nichts ist so sicher, wie die Änderung. -
Mo. 10.03.2014
16:14 Uhr
#10
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
das war ja meine meinung dazu... wozu dieser Stress .... und bringen tut es ja auch nichts ...
Warum die PW länge so extrem vergrößern, wenn der Gewinn der möglichen sicherheit durch ein unsicheres PW zu nichte gemacht wird und das bei einer Clan Seite.... mir ging es nur um das Prinzip, zu zeigen das ein PW mit 32 Zeichen nicht automatsich super sicher ist, sondern das ein PW mit 25 Zeichen (Az 09 #üöa]³... ) bereits die anforderungen des 32er übertrifft (Statistisch).
Und warum ein PW was sich kein Mensch mehr merken kann, ob es jetzt Undezillionen, Nonilliarden oder Oktilliarden Jahre sind; einen unterschied macht es sicherlich kaum für otto normalo... grade im Web bei einem Webhoster wo sich Kunden einen Server teilen und man selbst keinen Zugriff auf die Infrastruktur hat
Genug getrollt
Zuletzt modifiziert von Revolution am 10.03.2014 - 16:43:23Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Mo. 10.03.2014
18:06 Uhr
#11
- Registriert seit
- 10.02.2014
- Beiträge
- 457
- Beitragswertungen
es war ja nur ne frage... weil er darauf bestand sein langes passwort zu nehmen, was durch max length doch eh wieder gekürzt wurde....
nuja ich danke aber euch für eure beiträge und so.
PS: @Revolution ich hab dein langen text gelesen und stimem dir da voll zu
Zuletzt modifiziert von magicmarkus am 10.03.2014 - 18:08:59 -
Mo. 10.03.2014
19:01 Uhr
#12
- Registriert seit
- 03.06.2004
- Beiträge
- 3.282
- Beitragswertungen
Zitat geschrieben von magicmarkus
Achso, und nur weil er drauf besteht springst du, nunja ich würde Erfahrungsgemäß sagen
"Bleib wo der Pfeffer wächst"
Aber ich hab auch Zwölf Jahre gebraucht bis ich meinen Clan dicht gemacht hab weil jedes Spiel seine eigene Plattform mitbringt und keiner mehr online ist. Mir is da mittlerweile meine Zeit zu schade für um solchen Leuten alles vorn arsch zu machen ....Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf -
Mo. 10.03.2014
19:37 Uhr
#13
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
Da kann ich dir nur zustimmen, ist ja heute ein "Must Have" und wenn man einen Clan aufbauen will muss man dazu nochmal in die Tasche greifen (siehe Pläne für BF)
Zu Anfang macht man so eine Clanseite ja noch zum Spaß und steckt viel freizeit und Geld rein.... und dann passiert früher oder später eh immer der gleiche ablauf... entweder die user oder admin haben keine Zeit mehr oder erstere wissen die Zeit des Admins nicht zu schätzen (weil diese keine 0815 Seite möchte ! ) oder diese möchten keine Aufgaben übernehmen.... und am Ende es verläuft ins leere.
Schade eigentlich .... in den vergangen Jahren hier bei ilch hat man das Spiel ja oft genug erlebt....
Zuletzt modifiziert von Revolution am 10.03.2014 - 19:39:15Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Di. 11.03.2014
08:53 Uhr
#14
- Registriert seit
- 23.03.2007
- Beiträge
- 2.425
- Beitragswertungen
Zitat geschrieben von Revolution
Dann muss man sich halt die richtigen Leute suchen
Bevor ich einen Clan gründe, schau ich dann doch mal bei der ESL oder so vorbei und guck dann, wer z.B. lange dabei ist - mit den Leuten kann man dann rechnen (erfahrungsgemäß).Nichts ist so sicher, wie die Änderung.
| Geschlossen | ||
 |
Zurück zu Fehlersuche und Probleme | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten