U-Labs
  1. 03.01.2015, 18:14 #1
    Benzol
    Benzol ist offline
    Regelmäßig hier
    Avatar von Benzol
    Registriert seit
    16.12.2013
    Beiträge
    215
    Thanked 87 Times in 54 Posts

    Standard Ist mehrfaches Hashen sichererer?

    Hi,

    wenn man Passwörter überträgt an eine Api etwa sendet man die ja nicht direkt sondern hasht sie. Bei anderen Programmierern habe ich schon gesehen, dass sie nicht nur 1x hashen sondern mehrmals, auch mit anderen Daten als nur dem Passwort wie z.B. dem Salt. Dass es sicherer ist nicht nur das Passwort zu übertragen sondern es mit Benutzerspezifischen Daten zu vernüpfen leuchtet mir ein, da man es so nicht ohne weiteres mit Rainbowtables knacken kann.

    Aber wird das ganze wirklich sicherer wenn man ein Kennwort mehrmals Hasht?

    Nehmen wir ein Beispiel:
    PHP-Code:
    $pw_hashed md5($user_pw.$user_salt); 
    $user_pw ist das normale Passwort dass der Benutzer eingibt und $user_salt sein Salt der aus der Datenbank kommt und bei der Anmeldung generiert wird. Nehmen wir an, $user_pw ist "123". Jetzt muss zum knacken nicht der md5 Hash von 123 ermittelt werden, sondern auch noch der des Salts. Dieser ist völlig unbekannt und kann alles mögliche sein, etwa "8G?2AQ°!4l". Es muss also der md5 Hash von 1238G?2AQ°!4l gefunden werden, also funktionieren Rainbowtables nicht, weil sich dort höchstens der Hash von "123" befinden würde, aber wohl kaum von diesem Gebilde.

    Nun seh ich aber dass anderer Programmierer der Meinung sind viel hilft viel, sie würden aus meinem Bsp oben etwas wie das hier machen:

    PHP-Code:
    $pw_hashed md5(md5($user_pw).md5($user_salt)); 
    Es wird also der Hash der einzelnen Daten erzeugt und von deren Hash wieder ein Hash. Bringt das wirklich mehr Sicherheit? Wenn ja weshalb?
    Zitieren Zitieren
  2. 03.01.2015, 18:40 #2
    CDLF
    CDLF ist offline
    U-Labs Routinier
    Avatar von CDLF
    Registriert seit
    28.03.2013
    Beiträge
    384
    Thanked 198 Times in 133 Posts

    Standard AW: Ist mehrfaches Hashen sichererer?

    Bringt mehr Sicherheit, weil beim bruten mehr Aufwand entsteht.
    Ich würde dir statt MD5-Hashes, SHA-1 oder SHA-256 empfehlen.
    Zitieren Zitieren

  3. The Following User Says Thank You to CDLF For This Useful Post:

    Benzol (15.02.2015)
  4. 03.01.2015, 19:12 #3
    !lkay
    !lkay ist offline
    U-Labs Legende
    Registriert seit
    19.11.2011
    Beiträge
    2.128
    Thanked 1.936 Times in 1.180 Posts

    Standard AW: Ist mehrfaches Hashen sichererer?

    Oder SHA3 (Keccak). Und ja, mehrfaches Hashen ist sicherer.
    Geändert von !lkay (03.01.2015 um 19:12 Uhr)
    Zitieren Zitieren

  5. The Following 2 Users Say Thank You to !lkay For This Useful Post:

    Benzol (15.02.2015), CDLF (03.01.2015)
  6. 04.01.2015, 22:25 #4
    Leuchtturmwärter
    Leuchtturmwärter ist offline
    Mitglied
    Avatar von Leuchtturmwärter
    Registriert seit
    04.02.2013
    Beiträge
    61
    Thanked 46 Times in 29 Posts

    Standard AW: Ist mehrfaches Hashen sichererer?

    Zitat Zitat von CDLF Beitrag anzeigen
    Ich würde dir statt MD5-Hashes, SHA-1 oder SHA-256 empfehlen.
    SHA-1 wird inzwischen allerdings auch als nicht mehr 100% zuverlässig angesehen (siehe z.B. https://blog.mozilla.org/security/20...re-algorithms/), sodass Microsoft, Google und Mozilla allesamt angekündigt haben, Zertifikate mit SHA-1 mittelfristig nicht mehr zu akzeptieren; Kollisionsangriffe sind auch für Passworthashes problematisch.
    Zitieren Zitieren

  7. The Following User Says Thank You to Leuchtturmwärter For This Useful Post:

    Benzol (15.02.2015)
« Vorheriges Thema | Nächstes Thema »
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.