Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.lang.php > #3902

Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen?

From k@rl.pflaesterer.de (Karl Pflästerer)
Newsgroups de.comp.lang.php
Subject Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen?
Date 2016-04-25 19:50 +0200
Message-ID <m1vb3560j9.fsf@mbp.pflaesterer.de> (permalink)
References (2 earlier) <1461571290.458319@alpaka.in-berlin.de> <1t571ddc4di2a51n3e8%sfroehli@Froehlich.Priv.at> <1461578514.714669@alpaka.in-berlin.de> <m1zish6gm3.fsf@mbp.pflaesterer.de> <1461602441.746590@alpaka.in-berlin.de>

Show all headers | View raw

Michael Vogel <ike@spamfence.net> writes:

> Am 25.04.2016 um 14:02 schrieb Karl Pflästerer:
>
>> Nimm doch eine Funktion, die für diesen Fall geschrieben wurde: http://www.php.net/hash_hmac
>
> Ganz blöde gefragt: Welchen Vorteil habe ich von dieser Funktion? Mir
> geht es ja nur darum, einen Hash-Wert zu erhalten - wie auch immer er
> entstanden ist.

(https://de.wikipedia.org/wiki/Keyed-Hash_Message_Authentication_Code )

Du kannst dir sicher sein, dass dieser Hash-Wert so ermittelt wurde,
dass du nicht die Sicherheit deines Systems schwächst

Dies ist dein Code:

	return(hash("sha256", get_config("system", "site_prvkey").
				$user["uprvkey"].
				$user["password"]));


get_config("system", "site_prvkey") und $user["uprvkey"] dienen als
Salt. get_config("system", "site_prvkey") ist hierbei ja wohl für alle
Nutzer dieses Systems gleich. Wenn ich es richtig lese, ist uprvkey ein
privater Schlüssel (4096 Bit lang). Nutzt es wirklich etwas den System
Schlüssel auch noch als Salt zu nehmen? Besser könnte es sein,
statdessen mehrere Iterationen bei der Bildung des Hashes vorzunehmen.

Alternativ (wird wahrscheinlich nicht gehen, weil es nur in PHP >= 5.5.0
geht) könntest dun auch password_hash nehmen. password_hash iteriert für
dich und erzeugt ein neues Salt. Dabei kannst du dich darauf verlassen,
dass diese Funktion von Programmierern entworfen wurde, die sich
ausgiebig mit Cryptographie beschäftigt haben.

Es gibt von Solar Designer phpass (http://www.openwall.com/phpass/ ).
Schau dir mal an, wie dort Passwort-hashes gebildet werden.

KP

Back to de.comp.lang.php | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 01:25 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 05:22 +0000
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 07:59 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:49 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Markus Grob <snoopy@ilnet.ch> - 2016-04-25 08:41 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 10:01 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 09:00 +0000
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 12:01 +0200
          Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 14:02 +0200
            Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 18:40 +0200
              Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 19:50 +0200
              Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:58 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-25 13:21 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 16:10 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 04:41 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 11:24 +0200
          Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:42 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:29 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 03:53 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:25 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 14:07 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 14:36 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan Mayer <meniskus@gmx.net> - 2016-04-26 13:45 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:44 +0200

csiph-web