ak17 schrieb am 27. Januar 2009 21:56
> Da fehlt dann der Algorithmus, wie der Gesamt-Salt zusammengebaut
> wird. Das ist nicht so tragisch. Aber es fehlt auch der feste Salt...
der muß ja irgendwo herkommen. Und die Funktion kann nicht allzu
komplex sein denn die Ausführung muß ja schnell erfolgen.
> Der feste Salt wird gerade nicht in der Datenbank liegen, sondern im
> Programmcode oder (was eigentlich dasselbe ist) irgendwo im
> Dateisystem, und damit tendenziell nicht mal auf dem
> Datenbankrechner.
tendenziell glaube ich eher das der Hash auf dem DB-Server liegt als
auf dem WWW-Server da dieser eigentlich näher am "Feind" steht.
Prinzipiell braucht die Applikation zwei Funktionen:
a) Passwort setzen und b) Passwort vergleichen
entweder der WWW-Server berechnet mit Salt den Hash aus dem Kennwort
und speichert oder vergleicht das in der Datenbank oder der DB-Server
berechnet den Hash mit dem Salt.
Berechnet der DB-Server kann der Salt an mehrern Stellen liegen: in
der DB-Tabelle selber, fest codiert in einer SP oder von einer SP aus
aufrufbar im Rechner. Und in keinem Fall geschützt gegen jemanden der
Zugriff auf die DB hat.
> Da fehlt dann der Algorithmus, wie der Gesamt-Salt zusammengebaut
> wird. Das ist nicht so tragisch. Aber es fehlt auch der feste Salt...
der muß ja irgendwo herkommen. Und die Funktion kann nicht allzu
komplex sein denn die Ausführung muß ja schnell erfolgen.
> Der feste Salt wird gerade nicht in der Datenbank liegen, sondern im
> Programmcode oder (was eigentlich dasselbe ist) irgendwo im
> Dateisystem, und damit tendenziell nicht mal auf dem
> Datenbankrechner.
tendenziell glaube ich eher das der Hash auf dem DB-Server liegt als
auf dem WWW-Server da dieser eigentlich näher am "Feind" steht.
Prinzipiell braucht die Applikation zwei Funktionen:
a) Passwort setzen und b) Passwort vergleichen
entweder der WWW-Server berechnet mit Salt den Hash aus dem Kennwort
und speichert oder vergleicht das in der Datenbank oder der DB-Server
berechnet den Hash mit dem Salt.
Berechnet der DB-Server kann der Salt an mehrern Stellen liegen: in
der DB-Tabelle selber, fest codiert in einer SP oder von einer SP aus
aufrufbar im Rechner. Und in keinem Fall geschützt gegen jemanden der
Zugriff auf die DB hat.