[information]

 

Passwort sicher speichern

2018-03-23 dliste

Im Blog www.php-einfach.de kann man lesen, dass ein Laptop nicht mal eine Sekunde braucht, um 1 Millionen Hashs mit einem bestimmten Passwort zu vergleichen (ein Hash ist die Verschl├╝sselung eines Passworts). Mit leistungsf├Ąhiger Hardware k├Ânnen rund 8,5 Milliarden MD5-Hashs oder 3 Milliarden SHA1-Hashs pro Sekunde mit einem Passwort verglichen werden. Dass die Methoden MD5 und SHA1 nicht sicher genug sind, hat sich aber noch nicht rumgesprochen.

Die bessere Methode steht mit der PHP-Version 5.5 zur Verf├╝gung. Ein starker Algorithmus, der st├Ąndige Wechsel des Hashs f├╝r ein und das selbe Passwort und die Verhinderung unendlicher Passwort/Hash-Abfragen d├╝rfte es Hackern in Zukunft schwer(er) machen, sich in die Datenbank einzuloggen und Schaden anzurichten.

php-einfach.de bietet nicht nur Informationen zum Thema, sondern auch L├Âsungen. F├╝r einen Newsletter liefert dieser Blog alle Scripts, die erforderlich sind, um Datenklau und Datenl├Âschung durch Angreifer zu verhindern.


Nat├╝rlich kann man das Subscriben und Unsubscriben auch per Email betreiben. Die Methode ist nicht besonders unsicher, weil die Authentifizierung ├╝ber die Emailadresse erfolgt. Aber erstens funktioniert das nicht mit allen Browsern (z.B. Safira) und zweitens wissen viele Abonennten nicht mehr, mit welcher Emailadresse sie sich angemeldet hatten. Die Aktualisierung des Adressenmaterials l├Ąsst sich auch mit dieser Methode betreiben, wenn das Newsletter-Programm es unterst├╝tzt. Die Datenbank-Methode d├╝rfte eleganter sein. Der Anschluss an das Newsletter-Programm kann direkt erfolgen oder ├╝ber die Windows-Schnittstelle ODBC.