phpBB.de

hallo!
gibt es eine möglichkeit die übermittlung des passwortes zu verschlüsseln?
zur zeit ist es ja möglich das passwort mit einem netzwerk-sniffer auszulesen, wenn man sich zum beispiel auf der arbeit oder auch schlule einloggt.
ssl unerstützt der server nicht...

Das Passwort wird doch schon MD5-verschlüsselt

oder was meinst du jetzt damit?

Nein, er meint es etwas anders:

In dem Moment wo er sich einloggt, wird das Passwort im "KLARTEXT" von seinem Brwoser über das Netzwerk auf den PHPBB Server übermittelt.

Erst wenn das Passwort auf dem PHPBB ankommt wird es per HASH auf MD5 in der Datenbank geprüft.

genau das ist das problem. kann man nicht das passwort schon irgendwie vom browser verschlüsseln (md5) und dann nur das verschlüsselte passwort übermittelt...

https:// als protokoll benutzen.

das ist doch SSL.
das unterstützt mein server doch nicht...

ist es nicht möglich, das passwort vom bowser verschlüssen zu lassen und nicht erst am server?

Das WoltLab-Board hat oder hatte mal eine Option, das Passwort via Javascript verschlüsseln zu lassen. Oder vielleicht ist das auch nur eine Erweiterung dafür gewesen.

Das Passwort wurde jedenfalls via Javascript nach einem der einschlägigen Verfahren verschlüsselt und dann - logischerweise - am Server wieder entschlüsselt. Machbar ist das gewiss - wie performant das Ganze ist, musst Du jedoch selber sehen. Im Hinterkopf solltest Du jedoch behalten, dass es genug User gibt, die Javascript deaktiviert haben und vielleicht möchtest Du denen ja ebenfalls eine Möglichkeit zum Login bieten - dann halt die herkömmliche Variante. Dein Forum muss also in der Lage sein, eine verschlüsselte Anmeldung von einer unverschlüsselten Anmeldung zu unterscheiden.


Aber selbst dann gibt es ein Problem: Durch Abhören des Netzwer-Traffics kommt ein potentieller Angreifer zwar nicht mehr an das Klartext-Passwort, kann sich aber dennoch unter einer fremden Identität am Forum anmelden, indem er selber den verschlüsselten Datenstrom sendet, den er von Dir mitprotokolliert hat.


Grüße,
Gérome

gut, man könnte es ja so machen, dass das board einen zufallscode generiert. dieser wird dann zum browser geschickt. im browser wird dann mit diesem code das passwort verschlüsselt und wieder zum board geschickt und dort wieder entschlüsselt. der aufgezeichnete netzwerkverkehr ist somit unbrauchbar, da sich der code immer wieder ändert...
müsste doch dann sicher sein, solange niemand weiß, wie die verschlüsselung funktioniert...
oder weiß jemand was besseres?

Na, die client-seitige Methode der Verschlüsselung wirst Du ja immer mit ausliefern müssen. Diese kannst Du nicht geheimhalten. Das ist das entscheidende Problem.

Der Angreifer kann dann zwar die mitgehörten Daten nicht unmittelbar nutzen, aber aus der Tatsache, dass er den Algorithmus kennt, kann er diese Daten für einen gültigen Fall nachbilden.
Umgangssprachlich formuliert würde ich sagen: 'Es ist gehupft wie gesprungen.'


Grüße,
Gérome

ja gut... Denkfehler...

aber was ist, wenn der User zusätzlich noch ein weiteres Passwort hat (das kann ja auch in dem eigentlich Passwort enthalten sein, so das der User denkt er habe immer nur noch eins) und dann ist zwar der Algorithmus bekannt und der vom Board zufällig generierte Code. aber das Passwort ist nicht nur mit diesem Zufalls-Code verschlüsselt, sondern noch mit dem zweiten Passwort. dieses ist auch auf dem Board hinterlegt. das wäre doch dann die entscheidende Information, die dem "Mitschneider" fehlen würde.

das "zweite Passwort" muss ja wie gesagt nicht ein neues weiteres Passwort sein. man könnte e ja so machen, dass die ersten 6zeichen das eigentliche Passwort sind und der Rest ist dann der Zusatz-Code...

der "Hacker" hätte dann nur den Zufalls-Code, den Algorithmus und den verschlüsselten String passend zu dem Zufalls-Code, aber er kann daraus nicht auf das Kennwort schließen, da ihm ja das zweite Passwort fehlt...

oder wieder einen Denkfehler. müsste doch funktionieren. bräuchte nur noch einen guten Algorithmus... kann mir jemand einen empfehlen?