Benzol (15.02.2015)
-
03.01.2015, 18:14 #1
Ist mehrfaches Hashen sichererer?
Hi,
wenn man Passwörter überträgt an eine Api etwa sendet man die ja nicht direkt sondern hasht sie. Bei anderen Programmierern habe ich schon gesehen, dass sie nicht nur 1x hashen sondern mehrmals, auch mit anderen Daten als nur dem Passwort wie z.B. dem Salt. Dass es sicherer ist nicht nur das Passwort zu übertragen sondern es mit Benutzerspezifischen Daten zu vernüpfen leuchtet mir ein, da man es so nicht ohne weiteres mit Rainbowtables knacken kann.
Aber wird das ganze wirklich sicherer wenn man ein Kennwort mehrmals Hasht?
Nehmen wir ein Beispiel:
PHP-Code:$pw_hashed = md5($user_pw.$user_salt);
Nun seh ich aber dass anderer Programmierer der Meinung sind viel hilft viel, sie würden aus meinem Bsp oben etwas wie das hier machen:
PHP-Code:$pw_hashed = md5(md5($user_pw).md5($user_salt));
-
03.01.2015, 18:40 #2
AW: Ist mehrfaches Hashen sichererer?
Bringt mehr Sicherheit, weil beim bruten mehr Aufwand entsteht.
Ich würde dir statt MD5-Hashes, SHA-1 oder SHA-256 empfehlen.
-
The Following User Says Thank You to CDLF For This Useful Post:
-
03.01.2015, 19:12 #3
- Registriert seit
- 19.11.2011
- Beiträge
- 2.128
Thanked 1.936 Times in 1.180 PostsAW: Ist mehrfaches Hashen sichererer?
Oder SHA3 (Keccak). Und ja, mehrfaches Hashen ist sicherer.
Geändert von !lkay (03.01.2015 um 19:12 Uhr)
-
-
04.01.2015, 22:25 #4
AW: Ist mehrfaches Hashen sichererer?
SHA-1 wird inzwischen allerdings auch als nicht mehr 100% zuverlässig angesehen (siehe z.B. https://blog.mozilla.org/security/20...re-algorithms/), sodass Microsoft, Google und Mozilla allesamt angekündigt haben, Zertifikate mit SHA-1 mittelfristig nicht mehr zu akzeptieren; Kollisionsangriffe sind auch für Passworthashes problematisch.
-
The Following User Says Thank You to Leuchtturmwärter For This Useful Post:
Benzol (15.02.2015)
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.