Hallo zusammen,
aufgrund einer Diskussion in einem anderen Forum: Klick wollte ich mal nachfragen wie sicher denn die Verschlüsselungstechnik hier und in anderen Forensystemen ist, und ob es schon Leuten gelungen ist das PW zu hacken?
Vielen Dank und liebe Grüße
Sascha
Sicherheit von verschlüsselten Passwörtern
KB:md5 - da steht das wesentliche drin.
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
WIKI hilft 
auch wenn MD5 zwischenzeitlich als nicht mehr sicher erachtet wird und man eher zu SHA-1 tendiert so sehe ich die gefahr eines bruteforce angriffes auf das kennwort doch eher als gering an - gemeinhin bieten die 'normalen' webserver umgebungen (gerade beim shared hosting) wesentlich einfachere alternativen (von den jüngeren exploits in bezug auf den IE einmal ganz zu schweigen)
bis zur version 2.0.8 gab es übrigens beim phpBB2 ein exploit über das man unter gewissen umständen den md5-hash des benutzerkennwortes anzeigen konnte (*klick*).
letzendlich zeigt sich aber wieder einmal, wie wichtig es ist, auf aktuellem stand zu bleiben - sowohl beim phpBB als auch beim vbulletin gab es in der vergangenheit securityfixes und es obliegt dem anwender diese auch einzuspielen
mir ist bislang weder für phpBB (noch für mein eigentliches projekt postnuke) kein fall bekannt bei dem für ein defacement das kennwort via bruteforce gehackt werden musste - in aller regel beschränken sich die angriffe eher auf session hijacking bzw. klassische SQL-injektionen (und eher recht selten auch XSS angriffe) oder aber schlichtweg angriffe auf die zugrundeliegende architektur (php/mysql/webserver).
auch wenn MD5 zwischenzeitlich als nicht mehr sicher erachtet wird und man eher zu SHA-1 tendiert so sehe ich die gefahr eines bruteforce angriffes auf das kennwort doch eher als gering an - gemeinhin bieten die 'normalen' webserver umgebungen (gerade beim shared hosting) wesentlich einfachere alternativen (von den jüngeren exploits in bezug auf den IE einmal ganz zu schweigen)
bis zur version 2.0.8 gab es übrigens beim phpBB2 ein exploit über das man unter gewissen umständen den md5-hash des benutzerkennwortes anzeigen konnte (*klick*).
letzendlich zeigt sich aber wieder einmal, wie wichtig es ist, auf aktuellem stand zu bleiben - sowohl beim phpBB als auch beim vbulletin gab es in der vergangenheit securityfixes und es obliegt dem anwender diese auch einzuspielen
mir ist bislang weder für phpBB (noch für mein eigentliches projekt postnuke) kein fall bekannt bei dem für ein defacement das kennwort via bruteforce gehackt werden musste - in aller regel beschränken sich die angriffe eher auf session hijacking bzw. klassische SQL-injektionen (und eher recht selten auch XSS angriffe) oder aber schlichtweg angriffe auf die zugrundeliegende architektur (php/mysql/webserver).
