[lug-ld] Indirekte Passwort-Speicherung
Pahle Heinz
heinz.pahle at gmx.de
Mi Aug 7 20:32:09 CEST 2019
Hallo LUger,
habe eben meinen Fehler bei einem Spaziergang, FRISCHE LUFT, bemerkt, nicht der Name wird gehashed. Aber wenigstens gelernt, wie man sich in Firmen bei gleichen Namen behilft. Der ungleiche Name könnte ja auch ein prima Salt sein. Das mit Rainbow-Tabellen gilt wohl nur für einfache hashes, sonst wäre SHA256 nicht gut, was es aber ist.
Ich suche noch nach einem Artikel, wo der Vorgang bei Unix/Linux genau beschrieben wird, wie das bei Anmeldung genau geht mit Salt und hash. Ich habe einen uralten Artikel, der aber nicht zu verstehen ist.
Gruß
Heinz
----- Original Message -----
From: Michael Diederich
To: Allgemeine Mailingliste der Linux-User-Group Landau
Sent: Wednesday, August 07, 2019 7:09 PM
Subject: Re: [lug-ld] Indirekte Passwort-Speicherung
Hallo Heinz,
ich verstehe deine Frage nicht - der Benutzername wird nicht gehasht, nur das Passwort. Und damit bei einem Datenverlust die Hashes nicht sofort aufgelöst werden können (Rainbow-Tabellen), wird der ursprüngliche Wert um einen zusätzlichen Wert erschwert.
Um deine Frage zu beantworten: Philipp Müller und Max Müller würden sich mit vorname.nachname, pmueller und mmueller oder muelle1 und muelle2 anmelden. Und die Authentifizierung würde dann per Passwort erfolgen.
On Wed, Aug 7, 2019 at 6:29 PM Pahle Heinz <heinz.pahle at gmx.de> wrote:
Liebe LUGer,
lieber Ekki, hast jetzt noch das Salzfass aufgemacht und schon gibt es eine Zusatzfrage.
Salt dient doch dazu, ähnlich Init-Vektor, um gleiche Namen, gleiche Inhalte zu verschleiern. So haben doch die Briten im WW2 deutsche "keine besonderen Vorkommnisse" locker als soche erkannt, weil die Nachrichten nicht gesalzen waren.
Folgendes habe ich nie kapiert: Wenn ein Neuer namens Müller im Betrieb anfängt und es gibt schon einen Müller, dann muss der sich doch anders anmelden, z.B. Müller2. Hat er aber einen anderen Namen, dann ist doch automatisch der Hash auch anders. Warum dann noch "salzen"? Da ich nie Administrator in einem Betrieb war, weiß ich nicht, wie mit 2 Müllers und deren Anmeldung umgegangen wird. Wenn mein Gefrage zuviel wird, schweigen, will keinen ärgern (dann sterbe ich halt dumm).
Gruß
Heinz
----- Original Message -----
From: Ekki Plicht (DF4OR)
To: Allgemeine Mailingliste der Linux-User-Group Landau
Sent: Wednesday, August 07, 2019 5:46 PM
Subject: Re: [lug-ld] Indirekte Passwort-Speicherung
SHA-256 oder bcrypt gelten derzeit meines Wissens als sicher. Was in 10 Jahren ist kann dir niemand so wirklich sagen.
Lokal gespeicherte Passworte sollten gehasht und "salted" sein, also noch mit einem zusätzlichen, festen Wert verlängert werden.
Gruß,
Ekki
Am Mi., 7. Aug. 2019 um 16:30 Uhr schrieb Peter Schäfer <pete.schaefer at gmail.com>:
Am Mi., 7. Aug. 2019 um 16:14 Uhr schrieb Pahle Heinz <heinz.pahle at gmx.de>:
Anscheinend benötigen MD5 bis SHA256 zu wenig Ressourcen (zum Knacken?) und
MD5 und SHA-1 sind nicht zu empfehlen. SHA-256 ist meines Wissens sicher.
_______________________________________________
lug-ld mailing list
lug-ld at lists.lug-ld.de
http://lists.lug-ld.de/mailman/listinfo/lug-ld
--------------------------------------------------------------------------
_______________________________________________
lug-ld mailing list
lug-ld at lists.lug-ld.de
http://lists.lug-ld.de/mailman/listinfo/lug-ld
_______________________________________________
lug-ld mailing list
lug-ld at lists.lug-ld.de
http://lists.lug-ld.de/mailman/listinfo/lug-ld
--
Viele Grüße,
Michael Diederich
------------------------------------------------------------------------------
_______________________________________________
lug-ld mailing list
lug-ld at lists.lug-ld.de
http://lists.lug-ld.de/mailman/listinfo/lug-ld
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: http://lists.lug-ld.de/pipermail/lug-ld/attachments/20190807/6d45f1b5/attachment-0001.htm