27.04.2024, 09:58
Sprache ändern
Registrieren
Anmelden
Sie sind nicht angemeldet.
Lieber Besucher, herzlich willkommen bei: Aqua Computer Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
- 1
- 2
Re: PHP: *update* sha1() und Bugs
Montag, 6. November 2006, 10:08
Zitat von »Eike«
So einfach ist das nicht. crypt() benutzt DES, welches nur einen sehr kurzen Schlüssel benutzt. Sobald ich also den Salt herausbekommen habe (was kein Problem sein sollte, wenn ich schon an die .htpasswd rankomme) lässt sich das Passwort "relativ" schnell herausfinden. Laut Wikipedia hat man es 1999 in nur 23 Stunden geschafft. Aufgrund des starken Anstiegs der Rechenkapazität würde das heute auch mit weniger als 100.000 Rechnern klappen.
ja, mag sein, aber:
crypt _kann_ DES nutzen muss es aber nicht.
Ich denke mal Blowfish sollte sicher sein, oder? [edit]Und crypt verwendet automatisch den besten möglichen Algorithmus. Wenn das System also blowfish kann wird per default blowfish verwendet.
Re: PHP: *update* sha1() und Bugs
Montag, 6. November 2006, 10:39
Wovon hängt ab was crypt() benutzt? Ich bin ehrlich gesagt grad zu faul nachzusehen. Blowfish kann man derzeit als sicher betrachten.
Um ehrlich zu sein: kA.
Ich hab gesucht, ob php wenigstens ausgibt, welche Version es benutzen würde, aber tut es nicht (oder ich finde das define nicht). Afaik muss man das einfach ausprobieren...
- 1
- 2