1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

PHP-Passwortverwaltung

Dieses Thema im Forum "Web-Programmierung" wurde erstellt von macindy, 02.02.06.

  1. macindy

    macindy Admin
    AT Administration

    Dabei seit:
    21.12.03
    Beiträge:
    6.279
    Hallo zusammen!

    Kennt jemand von euch eine sichere Passwortverwaltung die auf PHP/MySQL basiert?
     
  2. bastilian

    bastilian Gast

    Warum gerade PHP/MySQL Kombination?

    find ich nicht sicher.

    Wenn du es auf deinem Rechner laufen lassen willst kann ich Ruby on Rails in Kombiation mit SQLite DB empfehlen bzw. anbieten.
     
  3. .holger

    .holger Geflammter Kardinal

    Dabei seit:
    13.09.04
    Beiträge:
    9.117
    @Macindy ich hab mal ein kleins LoginScript für ein kleines CMS, das ich für ne Band geschrieben habe, gecodet. Wie sicher das ist kann ich nicht beurteilen, aber noch hat es keine Probleme gegeben. Leider ist das ganze sehr stark in der Seite eingebunden, so dass ich dir das nicht eben so schnell zuschicken kann.

    guck dir mal http://www.tutorials.de/forum/showthread.php?t=9684 an, das ganze ist nämlich relativ schnell geschrieben. (und dran denken, die Passwörter immer md5-verschlüsselt abspeichern)
     
  4. Sir Q

    Sir Q Rheinischer Winterrambour

    Dabei seit:
    12.04.05
    Beiträge:
    921
    Passwort-Verwaltung?
    Du möchtest deine Passwörter schnell auffindbar mit PHP-Frontend in MySQL abspeichern?
    Vergiss es - es gibt keine sichere möglichkeit daten in MySQL zu speichern, außer als MD5-Hash - und der ist nicht rückrechenbar, also nicht wirklich zum abrufen von kennwörtern geeignet.

    Du möchtest den Zugriff auf eine Webseite per PHP/MySQL reglementieren?
    Das Passwort als MD5-Hash in die Tabelle schreiben und dann mit "… WHERE password = MD5('$testPaswd') … " gegentesten. Dann wird nämlich verglichen, ob der MD5-Hash aus $testPaswd dem MD5-Hash in der Tabelle entspricht. Wenn ja - muß beiden Hashes der gleiche String zugrunde gelegen haben - wenn nicht, nicht.
     
  5. duderino

    duderino Goldparmäne

    Dabei seit:
    26.01.06
    Beiträge:
    556
    Hmm, ich tendiere mittlerweile eher zu SHA1 als zu MD5. Kennst sich damit jemand genauer aus? In älteren Projekten und in den meisten freien Scripten wird ja der MD5 Hash benutzt.
     
  6. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.252
    SHA1 gilt als "geknackt" (such mal nach Schneier und SHA1), das sollte man gleich gar nicht mehr verwenden. MD5 nun ja, auch da gibt es mittlerweile starke Bedenken dagegen (Stichworte Eurocrypt 2005, MD5). Es ist nicht so, daß das ganze leicht zu brechen wäre, aber da neusten Forschungsergebnisse diese Schwachstellen aufgedeckt haben, geht man davon aus, daß die Verfahren auch noch andere Schwächen aufweisen.
     
  7. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.252
    Sicher und Passwortverwaltung sind unterschiedliche Dinge. Es gibt eigentlich nur eine sichere Lösung, die mußt Dir die Passworte merken. Das würde ich vorallem für die wichtigen Verbindungen machen. Man sollte sich die Passworte auch an einem sicheren Ort aufbewahren. Das bedeutet, garantiert nicht auf einem Computer, sondern irgend wo in einem Notizbuch auf das niemand einen Zugriff hat.
     
  8. xenxox

    xenxox Macoun

    Dabei seit:
    08.02.05
    Beiträge:
    122
    Meinst du etwas in Richtung eines Passwordstores ? Die gesammelten Passwörter an einem virtuellen Platz - verschlüsselt und du musst dir nur noch ein Passwort merken um den Safe zu öffnen?
     
  9. b0rsten

    b0rsten Gast

    Der Thread ist zwar schon etwas älter, aber vielleicht hat ihn ja der ein oder andere noch im Abo.

    Wie wärs mit savr.de ? Dort kann man online seine Passwörter verwalten, das ganze läuft über eine HTTPS-Verbindung und einer sicheren Verschlüsselung der eingegebenen Daten.
     
  10. Atelis

    Atelis Akerö

    Dabei seit:
    01.03.07
    Beiträge:
    1.831
    also mein firefox kann die "identität von plesk als vertrauenswürdige webseite nicht bestätigen"...
    ich würde sowas nicht machen - der sicherste platz ist immernoch in meinem kopf. ;)
     
  11. DivDax

    DivDax Bismarckapfel

    Dabei seit:
    24.05.07
    Beiträge:
    143
    Eine Passwortverwaltung mit PHP/MySQL zu realisieren sollte kein Problem sein.
    Die Daten sollte man zur Sicherheit allerdings nur verschlüsselt (AES 128bit) speichern.

    SHA1 oder MD5 wäre bei einer Passwortverwaltung nicht sehr nützlich, da dies nur eine
    "Einwegverschlüsselung" ist. Gespeicherte Passwörter könnten somit nicht mehr eingesehen werden.
     
  12. AgentSmith

    AgentSmith Hochzeitsapfel

    Dabei seit:
    15.07.07
    Beiträge:
    9.361
    Bevor ich einem fremden Dienst meine Passwörter sage, riskiere ich lieber einen Gedächtnisverlust, nach welchem ich mich nirgends mehr Einloggen kann. Mir wurst, ob die HTTPS anbeiten und die Daten verschlüsselt speichern.. wenn ich mir die Passwörter dort wieder anzeigen lassen kann, dann sind sie entschlüsselbar gespeichert -> unsicher.
     
    1 Person gefällt das.
  13. DivDax

    DivDax Bismarckapfel

    Dabei seit:
    24.05.07
    Beiträge:
    143
    Ich hätte auch ein eher unwohles Gefühl dabei meine Passwörter bei einem solchen Dienst zu speichern, aber seit wann ist AES 256bit unsicher?
     
  14. Herr Sin

    Herr Sin Millets Schlotterapfel

    Dabei seit:
    05.01.04
    Beiträge:
    4.752
    Aber nochmals die Frage: Kennt jemand ein Script, welches man bei seinem eigenen Provider (oder auf dem eigenen Rechner) mittels PHP & MySQL installieren kann und komfortabel seine Passwörter verwalten kann?
     
  15. AgentSmith

    AgentSmith Hochzeitsapfel

    Dabei seit:
    15.07.07
    Beiträge:
    9.361
    Klick, ist aber keine Freeware.
     
  16. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.252
    PHP und sicher ist nicht miteinander vereinbar. Offline in einem Heft ist alle mal sicherer als auf dem Computer!
     
  17. Herr Sin

    Herr Sin Millets Schlotterapfel

    Dabei seit:
    05.01.04
    Beiträge:
    4.752
    Auch nicht, wenn die Passwörter in der Datenbank verschlüsselt liegen? Was sind da die Schwachstellen (vielleicht versteh ich es ja sogar - habe nämlich nicht den großen Plan von PHP & Sicherheit)?
     
  18. AgentSmith

    AgentSmith Hochzeitsapfel

    Dabei seit:
    15.07.07
    Beiträge:
    9.361
    Eigentlich ganz einfach: Verschlüsselt ist im Grunde nur dann sicher, wenn es eine Einweg-Verschlüsselung ist. So eine wird zum Beispiel hier im Forum benutzt, für das Benutzerkennwort. (Und zwar für gewöhnlich diese Variante: MD5)
    Bei der Registrierung wird das Passwort, dass du angibst, mit einer Verschlüsselung, die man nicht wieder umkehren kann, in der Datenbank abgespeichert, ein sogenannter "Hash" deines Passworts ist das. Jedes mal, wenn du dich dann hier einloggst, gibst du dein Passwort zwar wieder "normal" an, aber intern passiert Folgendes: Das, was du beim aktuellen Einlog-Voersuch angegeben hast, wird wieder mit derselben Methode verschlüsselt und dann mit dem gespeicherten Hash verglichen. Nur in dem Fall, dass das Kennwort, dass du beim Einloggen angegeben hast dasselbe wie bei der Registrierung war, stimmen auch die Hashes überein, und du wirst eingeloggt. Aber vom Hash ist es trotzdem unmöglich einen Rückschluss auf das Klartext-PW zu ziehen. Das ist dann eigentlich ziemlich sicher, ohne BruteForce keine Chance, da was zu knacken.

    Bei einer Passwortverwaltung müsste man sich ja aber die Passwörter wieder im Klartext anzeigen lassen können, also kann man sie nicht mit einer Einwegverschlüsselung speichern, sondern muss eine Verschlüsselung wählen, die auch wieder rückgängig zu machen ist. Und das ist per se deutlich unsicherer als Hashes zu verwenden.

    Eine wirklich gute (AES z.B.) Verschlüsselung, eine richtig gutes Masterpasswort und eine über SSL laufende Verbindung würden es schon SEHR, sehr sicher machen, klar.
    Aber die wenigsten PHP-Anwendung genügen diesen Ansprüchen, da hat tjp schon Recht.
     
  19. Skeeve

    Skeeve Pomme d'or

    Dabei seit:
    26.10.05
    Beiträge:
    3.121
    Genau! Andererseits: Was spricht dagegen, die Passworte dort "verschlüsselt" zu speichern?

    Beispiel: Mein Passwort ist "0b371><". Ich speichere "Der dicke Freund" und schon weiß ich wieder, was mein Passwort ist ;) Ihr auch?
     
  20. AgentSmith

    AgentSmith Hochzeitsapfel

    Dabei seit:
    15.07.07
    Beiträge:
    9.361
    Das ist natürlich echt keine schlechte Idee, ja. Aber dann brauche ich ja bei mir auch irgendwie wieder eine Liste, was wofür steht, und der Komfort, den sich viele von so einem Online-Passwort-Manager wünschen, geht wieder flöten.
     

Diese Seite empfehlen