Passwort mit sich selbst verschlüsseln

VanHellsehn

VanHellsehn

Erfahrenes Mitglied
Hallo zusammen,

ich mache mir gerade Gedanken über das abspeichern von Passwörtern. Normalerweise speichert man ja Passwörter als Hash (wie z.B. SHA256) aber was ist wenn man das Passwort mit sich selbst verschlüsselt?

Bringt das Sicherheitsvorteile? Oder eher nicht?

PS: Der String würde vor dem Hashen natürlich mit einem Salt versehen werden.
 
Wie mit sich selbst Verschlüsseln? Das Passwort sozusagen als salt? Das wäre eher ne Sicherheitslücke... Und zwar ne fette
 
PW=Key? Da wirds schwer bzw. sinnlos, das ganze wieder zu entschlüsseln ... dafür braucht man das Passwort,
und wenn man es sowieso schon weiß braucht man die verschlüsselte Version davon nicht mehr :rolleyes:
 
Zuletzt bearbeitet:
Hi,

prinzipell denke ich, dass dies schon möglich wäre, jedoch bedeutet dies um einiges mehr Rechenaufwand der nicht mehr Sicherheit bringt. Sobald ein Angreifer weiß, wie das ganze implementiert ist, bringt es dir auch nicht mehr Sicherheit.
Wenn du per AES etwas verschlüsseln willst, so brauchst du einen 128 (oder 256 Bit) langen Schlüssel. Dieser darf weder länger, noch kürzer sein sondern muss exakt so lange sein. Gängige Praxis ist hier, das Passwort zu hashen (z.B. mit sha1 / sha256) und den Hash dann als Schlüssel zu verwenden.

Da das Passwort erst gehasht wird (evtl auch mit mehreren Iterationen) und dann noch der ganze AES Zyklus läuft bedeutet es viel mehr Rechenaufwand um das Passwort zu verifizieren. Es gibt bestimmt noch andere Gründe, warum das Bad-Practise ist.

Von daher würde ich alleine beim Hashen bleiben, dazu noch ein paar Hunder-Tausend Iterationen und Salt, dann sollte das Passwort mit gängigen und empfohlenen Mitteln sicher gespeichert sein. Hash-Funktionen wurden ja unter anderem auch genau für den Zweck erfunden.

Grüße,
BK
 
Ich habe vor einiger Zeit eine Funktion geschrieben, in der das Passwort mit sha512 und einem geheimen Salt (128-Stellig mit Sonderzeichen, Zahlen Buchstaben usw.) gehasht wird, allerdings wurde kurz nach Fertigstellung die PHP-Interne Funktion (=> http://php.net/manual/de/book.password.php) öfters erwähnt,- schon so oft, das ich (beim Gedanken an die NSA und sonstige Trittbrettfahrer auf deutschen Boden) misstrauisch gegenüber der internen Funktion geworden bin.
 
Um es einmal kurz einzustreuen. Es ist quasi immer *schlecht* sich selbst neue Verschlüsselungsmethoden auszudenken, falls man nicht gerade ein Professioneller in diesem Gebiet ist.

Sehr viele kluge Leute machen sich an so etwas, und das hat meist auch etwas mit mathematischen Beweisen zu tun.
Ich will dich gerne einmal in die richtige Richtung schubsen, mit diesen zwei Wikipedia links:
http://en.wikipedia.org/wiki/PBKDF2 http://en.wikipedia.org/wiki/Bcrypt

Die sollen dich nicht voll informieren, sondern nur die richtigen Stichwörter zum weiter suchen liefern.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück