phpBB.de

Das hörte sich aber so an als wolltest du das:

P7BB hat geschrieben:Naja, das Problem beim entschlüsseln ensteht erst in weiteren Schritten. Theoretisch wäre das möglich, das mit hohem aufwand möglich, zu entschlüsseln, aber ich denke, selbst bei hohem aufwand kommt nichts sinnvolles bei raus, was einem weiterhilft und 2. werde ich diesen algorythmus nicht weitergeben, da er ja meine eigene Homepage sichern soll, die kommerziell ist und somit wäre eine entschlüsslung des admin-passworts extrem schlimm

Aber wenn das nicht das einzige ist was du machst dann kann man über die Sicherheit natürlich nichts sagen. Nur so viel: Wenn Security through obscurity notwendig ist um das ganze sicher zu machen, dann halte ich es für unsicher. Mir ist ein öffentlich bekanntes, aber dafür auf Herz und Nieren getestetes System lieber. Aber das ist vielleicht auch Geschmackssache.

Achja: Letztendlich kann man meinen Code nicht mehr entschlüsseln... weder manuell, noch automatisch, noch sonst irgendwie. Praktisch eine Art "neuer" md5-algorythmus und es werden nicht einfach buchstaben durch andere ersetzt, sondern die situation ist diesselbe gewesen und ich dachte mir, es ist einfacher das ganze so zu beschreiben, wie ich es getan hab

Naja, mein System ist nicht zurückentschlüsselbar. Zudem kommt man vermutlich nichtmals an das entschlüsselte ran, weil ich ja natürlich trotzdem die Homepage gegen SQL-Injektion usw. schütze Der Vorteil gegenüber md5 ist bei mir einfach, dass bei md5 unter umständen 2 verschiedene passwörter zu demselbem hash führen... Das Problem gibt es bei mir nicht.
Aber ich überlege, ob ich dennoch noch aus meinem verschlüsseltem Kennwort dann den md5-hash bilde, damit hacker dann doppelte arbeit haben, oder wenn es "dumme" hacker sind, sogar denken, dass das verschlüsselte kennwort das richtige kennwort ist und somit verzweifeln, wenn der login nach der 3. falschen Eingabe gesperrt wird Letztendlich hat man so nämlich dann genau 3 möglichkeiten, die verschlüsslung meines algorythmus zu knacken, bevor es ein neues Kennwort gibt und somit alle vorherigen Versuche umsonst waren
Und mal ehrlich - wer in der Datenbank drinnen ist und den md5-hash hat, wird wohl kaum daran verzweilfen, den md5-code zu knacken... damit rechnet jeder hacker doch sowieso

- P7BB

Edit: Bei "bösartigen" hackern müsste ich vermutlich eher "cracker" sagen, aber letztendlich sollen weder hacker noch cracker den algorythmus knacken

Naja nicht immer wenn eine Seite kompromittiert wurde bekommen die Täter auch Vollzugriff auf die DB. Vielleicht können sie lediglich Werte aus der Usertabelle auslesen und da ist dann das Passwort dabei. Aber wenn dein System einen Hash bildet - unmöglich kann es nur dann sein den gleichen Hash mehrfach zu bekommen wenn die Länge des Hashes unbegrenzt ist. Ansonsten muss zwangsweise eine Möglichkeit bestehen dass zwei Hashes gleich sind - man kann unendliche Vielfalt nicht auf einen Körper mit endlich vielen Elementen abbilden. Die Chance besteht bei allen Hashalgorithmen - üblicherweise ist nur die Chance zwei gleiche zu finden relativ gering.

Naja, mein Hash ist letztendlich "unendlich lang"...
Deshalb überlege ich, ob ich diesen Hash zu einem md5-hash mache, sodass die länge begrenzt ist. Selbst wenn man DANN 2 möglichkeiten gefunden hat, denselben hash herauszubekommen, wir es nie passieren, dass man sich mit dem "zweitem" kennwort einloggen kann
Aber trotz der "unendlichen Länge" von meinem Hash kann man einfach nicht daraufkommen, wie er gebildet wurde. Das ist ganz einfach unmöglich, zumal sich die art, wie der hash verschlüsselt wird, nach jedem einloggen später auch ändern soll - ohne das kennwort zu ändern. Das heißt: Ein Login = ein völlig neues Kennwort in der DB als Hash, aber letzendlich funktioniert das alte kennwort noch

Was du da machst sieht irgendwie aus wie eine Cäser Verschlüsselung, wenn du 1000 Vergleichspasswörter hast (z.B. aus anderem Forum geklaut) und dann deine, kann man anhand der Häufigkeit analysieren welcher Buchstabe was darstellt, ob das bei Passwörter funktioniert weiß ich nicht. Bei Texten ist dies auf alle Fälle möglich. Siehe auch http://de.wikipedia.org/wiki/Buchstabenh%C3%A4ufigkeit

Och Leute, ich hab euch doch gesagt, dass das ganze ein Algorythmus ist und kein Möchtegern-Sicherheitscode...
Es ist NICHT die Cäsar-Verchlüsslung. Wie bereits gesagt habe ich dieses Beispiel benutzt, weil ich eben genau dieselbe technik für einen Teil der Verschlüsslung brauche
Es werden auch keine Buchstaben willkürlich durch andere getauscht oder sowas. Es ist letztendlich eben ein Algorythmus und kein Code-Snippet...

Ich weise nur darauf hin, falls es hier noch mehr Leute gibt die sich lieber einen eigenen Verschlüsselungscode bauen, anstatt anerkannte Standards verwenden (das ist nicht böse gemeint).

Boecki91 hat geschrieben:Ich weise nur darauf hin, falls es hier noch mehr Leute gibt die sich lieber einen eigenen Verschlüsselungscode bauen, anstatt anerkannte Standards verwenden (das ist nicht böse gemeint).

Achso alles klar...
Hab das als Vorwurf aufgefasst, weshalb ich mcih etwas beleidigt gefühlt habe, da ich mich ja meiner Meinung nacht nicht gerade wie ein PHP-Anfänger benehme, oder? Ok, die Frage mag evtl. ein wenig anfängerhaft gewesen sein, aber die funktion "switch" brauch ich sonst nie und ist bei mir total in Vergessenheit geraten...