Author Topic: 4images md5 => Salted (Read 10271 times)

Sunny C. · « **on:** March 16, 2010, 04:46:58 PM »

Wird in der neuen Version eine bessere Verschlüsselung geben? MD5 ist veraltet und auch extrem unsicher. SHA1 Salted (Hashed) wäre da viel viel sicherer.

Rembrandt · « **Reply #1 on:** March 16, 2010, 06:15:15 PM »

theoretisch brauchst du nur in den gesamtem galerie system alle md5 in sha1 umschreiben, der syntax ist der gleiche.
kannst es ja mal versuchen.

Sunny C. · « **Reply #2 on:** March 16, 2010, 06:24:43 PM »

Das weis ich wohl! Aber wie bekommt man das hin, dass es gehashed wird. Salted!

Rembrandt · « **Reply #3 on:** March 16, 2010, 06:46:26 PM »

?? md5 und sha1 ist ein hash.

Sunny C. · « **Reply #4 on:** March 16, 2010, 07:09:48 PM »

Die Verschlüsslung im WBB nennt sich z.B Double Salted Sha1. [hash/getHash] Dabei ist sha1 der eigentliche Algorithmus zum hashen (im alten WBB war das noch md5, welches aber schon seit Jahren als unsicher eingestuft wurde), nur dass an das Passwort eben noch 2 verschiedene Salts angehangen werden.
http://php.net/manual/de/function.sha1.php

Aber ich weis nicht wie man das auch in 4images verwenden kann. Auf jeden Fall ist das richtig sicher dann! MD5 ist extrem leicht zu entschlüsseln und es gibt dazu tools wie sand am meer!

Rembrandt · « **Reply #5 on:** March 16, 2010, 09:29:17 PM »

Quote from: Sumale.nin on March 16, 2010, 07:09:48 PM

...
Aber ich weis nicht wie man das auch in 4images verwenden kann. Auf jeden Fall ist das richtig sicher dann! MD5 ist extrem leicht zu entschlüsseln und es gibt dazu tools wie sand am meer!

ja genauso wie für sha1 das auch schon 5 jahre am buckel hat.

oben habe ich es dir schon geschrieben, es ist der gleiche syntax, statt md5 schreibst du sha1.

achja, auch md5 ist nicht zu entschlüsseln diese diversen tools machen auch nur eine brute force attacke und vergleichen den string.
genauso funktioniert es auch in 4images, du legst ein passwort an das per md5 umgewandelt wird und in die datenbank gschrieben wird.

wen du dich wieder einlogst in dem du dein klartextpasswort eingibst, wird dieses wiederrum per md5 umgewandelt und mit dem in der datenbank hinterletgen string verglichen.

Sunny C. · « **Reply #6 on:** March 16, 2010, 09:42:51 PM »

Ja, dass mit dem Sha1 war ein Beispiel, aber das wird im WBB 2x Salted, daher meine Frage!

Rembrandt · « **Reply #7 on:** March 16, 2010, 10:04:48 PM »

2x gesalzen.. naja was auch immer das heissen mag...

$passwort="sumale";
$pass=sha1(sha1($passwort));
echo $pass;

Sunny C. · « **Reply #8 on:** March 16, 2010, 10:08:26 PM »

Wie genau muss das dann in er register.php eingebaut werden? Man muss sich auch noch einloggen können

Aber Danke für den Ansatz!

Rembrandt · « **Reply #9 on:** March 16, 2010, 10:21:35 PM »

mit der register.php allein denke ich nicht das es getan ist, per suche bin ich im moment auf 18 stellen gekommen.

wenn du das jetzt ändern würdest müßtest du alle passwörter der user löschen, oder deren passwörter kennen per sha1 umwandeln und in die DB zurückschreiben.

Sunny C. · « **Reply #10 on:** March 16, 2010, 10:25:54 PM »

Wollte das vorerst auf ein Testinstallation testen.
Sind die Passwörter auch 2x verschlüsselt? Muss ich dann die PW´s auch zwei mal mit Sha1 verschlüsseln?

Rembrandt · « **Reply #11 on:** March 16, 2010, 10:35:38 PM »

ja sicher z.b.

$pass = $_POST['passwort']; // user passwort eingabe
$pass = sha1(sha1($pass)); //verschlüsselung
//$pass in die DB schreiben... --> $row['pass']

$pass = $_POST['passwort']; //user passwort eingabe
$pass = sha1(sha1($pass)); //passwort wieder verschlüsseln
if($pass == $row['pass']){ // überprüfung ob das eingegeben passwort mit dem in der datenbank übereinstimmt
echo "richtig";
}else{
echo "falsch";
}

Sunny C. · « **Reply #12 on:** March 16, 2010, 10:43:37 PM »

Wo genau muss das nun geändert werden?
Bzw. wonach muss ich in allen Dateien suchen um es richtig in 4images ainzubauen?

V@no · « **Reply #13 on:** March 17, 2010, 01:41:44 AM »

Quote from: Sumale.nin on March 16, 2010, 04:46:58 PM

Wird in der neuen Version eine bessere Verschlüsselung geben? MD5 ist veraltet und auch extrem unsicher. SHA1 Salted (Hashed) wäre da viel viel sicherer.

Source for this statement?

Now, if someone some how got a hold of your password's MD5 hash, they don't have to decrypt it in order to be able login under your account. Same thing would be if SHA1/512 or any other one-way hashing algorithm used to encrypt the passwords. Yeah, sure, they won't be able crack it open to find out what is your password, but it won't matter in 4images case...
So, changing the algorithm won't help you protect your account in 4images.

There is a way add extra security to the account, i.e. have two passwords: one to use for login, second for changing account information such as password or email, or at least ask for the password when changing such information...

Sunny C. · « **Reply #14 on:** March 17, 2010, 01:58:36 AM »

Thankx for your Statement!

4images Forum & Community

News:

Author Topic: 4images md5 => Salted (Read 10271 times)

Sunny C.

4images md5 => Salted

Rembrandt

Re: 4images md5 => Salted

Sunny C.

Re: 4images md5 => Salted

Rembrandt

Re: 4images md5 => Salted

Sunny C.

Re: 4images md5 => Salted

Rembrandt

Re: 4images md5 => Salted

Sunny C.

Re: 4images md5 => Salted

Rembrandt

Re: 4images md5 => Salted

Sunny C.

Re: 4images md5 => Salted

Rembrandt

Re: 4images md5 => Salted

Sunny C.

Re: 4images md5 => Salted

Rembrandt

Re: 4images md5 => Salted

Sunny C.

Re: 4images md5 => Salted

V@no

Re: 4images md5 => Salted

Sunny C.

Re: 4images md5 => Salted