Passwort verschlüsselung

  • Hallo @Kaliber,


    viele die ok sind klingt nicht so schön. Ich sage mal so ich habe Steuerdaten an eine Datenbank zu übermitteln. Das diese vertraulich bleiben sollen ist natürlich verständlich. Um so wichtiger ist mir dann die Datensicherheit bei der Übertragung weswegen ich das ganze dann auch hashen möchte. Da ich aber nicht mehr auf den aktuellen Stand von Hash Werten bin frage ich mal genauer nach da MD5 heute ja nicht mehr so wirklich sicher ist

  • Ich sage mal so ich habe Steuerdaten an eine Datenbank zu übermitteln

    Hashfunktionen sind zum Beispiel für Passwörter.


    Einen Hash, kannst du nicht zurück konvertieren (Rainbow-Tables jetzt mal außen vor gelassen), da logischerweise Information verloren gehen.


    Deshalb Hasht man Passwörter und gleicht dann ab, ob der Hash mit dem Hash in der Datenbank übereinstimmt und wenn ja, ist das Passwort richtig. So hat man nie selbst das Passwort des Users gesehen, kann aber überprüfen, ob es richtig ist.


    Was du aber willst, ist eine sichere Verschlüsselung, die die Daten dann auch wieder entschlüsselt.
    Das sind Kryptoverfahren die du suchst, sowas wie RSA zum Beispiel.
    https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
    Schlüsselaustausch bla blub.

    ast2ufdyxkb1.png


    Leute, lernt scripten und versucht mal lieber etwas selber zu schreiben, als es aus einem GF zu kopieren. :S

  • Hallo das ganze ist klar. Ich suche zum einem wie schon gesagt etwas was ich auch decrypten kann. Allerdings auch eine sichere Methode um das Passwort zu schützen da mit dem passwort wieder auf die daten zugegriffebn werden kann

  • Einfachster Weg: gar nicht.
    Wenn du mit dem Passwort die Daten verschlüsselst, kannst du sie ja auch nur mit dem Passwort wieder entschlüsseln. Folglich brauchst du das Passwort überhaupt nicht gesondert speichern, sondern versuchst einfach zu entschlüsseln und siehst dann ja, ob es ging oder nicht.
    Willst du das Passwort aber noch außerhalb der verschlüsselten Daten verwenden oder vorher bei einem Login prüfen, ohne es immer gegen die verschlüsselten Daten laufen zu lassen, bieten sich die bereits genannten Hash Verfahren an. Vorziehen würde ich derzeit immer BCrypt. Das ist so ziemlich der state of the art. Voraussetzung sind natürlich sichere Salts.


    Übrigens: MD5 gilt als unsicher und sollte überhaupt nie irgendwo noch verwendet werden. Und SHA1 wird mittlerweile auch generell als zu unsicher eingeschätzt.