Verschlüsselungsverfahren - Sicherheit?
Hallo,
Ich habe mich ein wenig in das Thema Verschlüsselungsverfahren eingelesen und habe eine Frage zu der Sicherheit. Besonders die aktuell verwendeten um Passwörter von Homepages zu verschlüsseln.
Alle Verfahren erzeugen einen Hash, dieser wird in einer Datenbank gespeichert. Bei einem Login wird das eingegebene Passwort verschlüsselt und mit dem gespeicherten Hash verglichen. Es ist ja allgemein bekannt das MD5 nicht mehr verwendet werden soll, da erstens große Rainbowtables im Umlauf sind und zweitens relativ "einfach" Kollisionen erzeugt werden können.
Es gibt ja genug mathematisch bessere Methoden zum Hashen als MD5, aber ist das Problem mit den Rainbowtables nicht das gleiche? Sobald eine Methode weit verbreitet ist, sei sie noch so sicher, bekommt doch immer das Problem, das früher oder später, Rainbowtables im Umlauf sind, mit denen die Verschlüsselung einfach umgangen wird.
Mir ist natürlich bewusst das ein Salt zusätzlichen Schutz bietet, aber sobald Zugang zu der Datenbank mit den Passwörtern besteht, ist die Sache doch so gut wie gelaufen?
Oder muss ein ganz anderes Verfahren entwickelt werden, um die Sicherheit im Netz zu erhöhen?
Mfg,
George
__________________
Erst wenn der letzte FTP Server kostenpflichtig, der letzte GNU-Sourcecode verkauft, der letzte Algorithmus patentiert, der letzte Netzknoten verkommerzialisert ist, werdet Ihr merken, dass Geld nicht von alleine programmiert.
|
Baum-Darstellung