Wann wird endlich ein Update von PHPBB angeboten, welches Passwörter nicht mehr im MD5 Hash speichern. Dieser HASH gilt heute als definitiv untauglich.
Warum? MD5 Hashes werden heute innert kürzester Zeit und auf einfachste Weise mittels sog. Rainbow Tables geknackt. Online Dienste wie die von Astalavista.net erlauben heute, solche Hashes zu 99% in kürzester Zeit (<3h) zu knacken. Und das kinderleicht....
Wie lange dauert es noch, bis PHPBB ein sicheres Verfahren benutzt? SHA-1 wäre ein Ersatz für MD5.
Ich denke vielen Leuten ist nicht bewusst wie nutzlos diese MD5 Verschlüsselung ist und gehen sehr unvorsichtig mit Passwörter um.
In Hoffnung auf baldige Updates/Patches...
heliwasp
MD5 ist UNSICHER !
Naja mal ehrlich, um diese Tables nutzen zu können musst Du schon an die PW Hashes rankommen sprich, Du brauchst Datenbankzugriff und dann kannste auch den Hash auf einen beliebigen Wert zurücksetzen. 
Der Original PW Hash wird ja zum glück nicht an Clientrechner gesendet. Keine Verschlüsselung bietet absoluten Schutz. Wenn die Verbreitung von SHA zunimmt wird es da sicher auch ähnliche Arten geben diese gezielt aufzubekommen.
Der Original PW Hash wird ja zum glück nicht an Clientrechner gesendet. Keine Verschlüsselung bietet absoluten Schutz. Wenn die Verbreitung von SHA zunimmt wird es da sicher auch ähnliche Arten geben diese gezielt aufzubekommen.CBACK Software
professionelles Webdesign - PHP Programmierung - Entwicklung von Modifikationen - Forensysteme
professionelles Webdesign - PHP Programmierung - Entwicklung von Modifikationen - Forensysteme
-
Zyancali
- Mitglied
- Beiträge: 209
- Registriert: 09.01.2005 18:55
- Wohnort: Österreich/Stmk
- Kontaktdaten:
Man man man, also hier übertreibt jemand...heliwasp hat geschrieben: Ich denke vielen Leuten ist nicht bewusst wie nutzlos diese MD5 Verschlüsselung ist und gehen sehr unvorsichtig mit Passwörter um.
Md5 reicht im Moment vollkommen und besser als keine Verschlüsselung ist es auch.
Es hält immerhin so manche Leute hier ab, die Passwörter ihrer User auszuspionieren.
Außerdem sind die Windowspasswörter auch unsicher und lassen sich auch
per Rainbowtables knacken - selbst probiert
Also erst mal cool down
Windows Vista Ultimate User
Vorab1: Wir hier sind die deutsche Supportseite für das phpBB. Aber entwickelt wird das phpBB hier: www.phpbb.com . Also mußt Du Dich mit Deiner Bitte an die Entwickler wednen.
Vorab2: Die Unsicherheit von md5() macht ein phpBB nicht unsicher.
Klar kann man ein md5-Hash knacken. Aber das bringt auch wenig. Wie oben schon geschrieben, kommt man nur mit DB-Zugriff an den Hash. Und mit Zugriff kann man das PW so oder so ändern.
Man muss für die Sicherheit auch kein SHA1 verwenden. Zum einen ist das schon genau so geknackt, zum anderen tut es ein "gesalzenes" md5 auch.
Und zu guter Letzt ist das phpBB2 mehr oder weniger im Entwicklungsstop. Die Entwickler konzentrieren sich auf das künftige phpBB3.
Grüße
Dennis
Vorab2: Die Unsicherheit von md5() macht ein phpBB nicht unsicher.
Klar kann man ein md5-Hash knacken. Aber das bringt auch wenig. Wie oben schon geschrieben, kommt man nur mit DB-Zugriff an den Hash. Und mit Zugriff kann man das PW so oder so ändern.
Man muss für die Sicherheit auch kein SHA1 verwenden. Zum einen ist das schon genau so geknackt, zum anderen tut es ein "gesalzenes" md5 auch.
Und zu guter Letzt ist das phpBB2 mehr oder weniger im Entwicklungsstop. Die Entwickler konzentrieren sich auf das künftige phpBB3.
Grüße
Dennis
