Passwort und Salt ?

19/09/2008 - 22:32 von Klaus Dasenbrock | Report spam
Ich erstelle gerade für meine Webseite eine Benutzerverwaltung. Bin jetzt
gerade dabei die Verschlüsselung bzw. Hash Ermittelung zu erstellen und in
meiner Datenbank abzuspeichern.

Ich speicher in meiner Datenbank nur den Hashwert des Passwortes (MD5).

Nun lese ich aber andauernd etwas von Hash und Salt . Also das man zum
Passwort noch einen Salt Wert ? (Ist das so richtig gesagt ? ) addiert und
damit den Hash Wert erstellt ? Zusàtzlich soll man diesen Salt Wert in der
Tabelle mitabspeichern ???

Ich finde immer nur Beispiele in PHP, C++ und C#. Aber nichts in VB.Net

Wie geht das eigentlich genau vonstatt und geht das mit einer MD5
Verschlüsselung oder muss man das anders programmieren ?
 

Lesen sie die antworten

#1 Thomas Bandt
20/09/2008 - 11:21 | Warnen spam
Klaus Dasenbrock schrieb:
Wie geht das eigentlich genau vonstatt und geht das mit einer MD5
Verschlüsselung oder muss man das anders programmieren ?



Ganz einfach: du hasht das Passwort mit deiner MD5-
Funktion und hàngst dann noch einen String, das
"Salz" hinten oder vorne an. Dieser String ist nur
dir bekannt.

Heraus kommt dann einfach ein String [Hash][Salt]

Das macht es einfach für einen Angreifer um ein
Vielfaches schwerer den Hash mittels Vergleich zu
knacken und das Passwort quasi wieder herauszufinden,
weil der Angreifer den Salt-Wert nicht kennt.

Das setzt natürlich voraus, dass du ihm die Liste
der Passwörter nicht als Export pràsentierst, sondern
er versuchen muss die Applikation, z.B. über ein
Login-Formular, direkt zu knacken.

Gruß, Thomas [MVP ASP/ASP.NET]
http://www.69grad.de - Beratung, Entwicklung
http://www.dotnetjob.de - .NET-Stellenbörse
http://blog.thomasbandt.de - Thomas goes .NET

Ähnliche fragen