chrroessner
New Member
Hi,
erst einmal danke für diese grandiose Software. Nach Jahren von ISPCP ist ISPConfig echt ein Genuss
Eine ganz simple Frage: Ich habe gesehen, dass Kennwörter ofenbar CRYPT-MD5 in der MySQL-DB abgelegt werden. Ich finde den Ansatz gut. Jetzt würde ich mir allerdings eine Option wünschen, CRYPT-SHA512 zu benutzen. Ist das vielleicht sogar schon irgendwo implementiert? Kann man das in einer config.inc.php irgendwo definieren? Ich habe gesehen, dass das Login offenbar schon zwischen CRYPT-MD5, CRYPT-SHA256 und MD5 unterscheiden kann. SHA256 wäre auch schon besser.
Ich denke, der Ansatz von gehashten Passwörtern ist vielleicht gewollt, falls es einem Angreifer gelingen könnte, die DB über eine Schwachstelle im Code auszulesen. In dem Fall nützt dann der Salt leider gar nichts mehr, und Passwörter lassen sich über Rainbow-Tables ermitteln. So gesehen wäre ein starker Hash ein echtes Plus
Vielen Dank schon mal im Voraus
Herzliche Grüße
Ein neuer ISPConfig Fan
erst einmal danke für diese grandiose Software. Nach Jahren von ISPCP ist ISPConfig echt ein Genuss
Eine ganz simple Frage: Ich habe gesehen, dass Kennwörter ofenbar CRYPT-MD5 in der MySQL-DB abgelegt werden. Ich finde den Ansatz gut. Jetzt würde ich mir allerdings eine Option wünschen, CRYPT-SHA512 zu benutzen. Ist das vielleicht sogar schon irgendwo implementiert? Kann man das in einer config.inc.php irgendwo definieren? Ich habe gesehen, dass das Login offenbar schon zwischen CRYPT-MD5, CRYPT-SHA256 und MD5 unterscheiden kann. SHA256 wäre auch schon besser.
Ich denke, der Ansatz von gehashten Passwörtern ist vielleicht gewollt, falls es einem Angreifer gelingen könnte, die DB über eine Schwachstelle im Code auszulesen. In dem Fall nützt dann der Salt leider gar nichts mehr, und Passwörter lassen sich über Rainbow-Tables ermitteln. So gesehen wäre ein starker Hash ein echtes Plus
Vielen Dank schon mal im Voraus
Herzliche Grüße
Ein neuer ISPConfig Fan