sicheres loginformular

[uthred]

Hi,

Ich würde gerne wissen ob mein Plan eines Login-formulars sicher ist, oder ob ich es nochmal überarbeiten sollte.

Ich habe vor:

Username+Passwort abfragen,

Passwort md5 verschlüsseln über Webservice mit Datenbank abgleichen.

für das anmelden:

Username, Passwort(mit JQUERY Passwort strength meter) das ganze verschlüsseln mit md5 und über webservice in die Datenbank schreiben.

Code habe ich noch keinen.

Grüße uthred

[flashpixx]

MD5 ist keine Verschlüsselung, sondern ein Hash-Verfahren und zusätzlich sollte man es nicht mehr verwenden ( Message-Digest Algorithm 5 )

[uthred]

Ok, danke für den Hinweis. Jedoch muss ich es verwenden, da mein Ausbilder es so verlangt und es noch für sicher genug hält. Der Webservice ist auch unsinnig, also bleibt nur die gute alte Methode der einfachen Datenbankabfrage

[Aras]

Warum nicht sha2? Und das mit einem Salt.

[uthred]

Weil es nur eine interne Betriebsinterne-Anwendung ist und dafür md5 komplett ausreicht

[Aras]

Das klingt sowas von unprofessionell. Nicht-MD5-HashFunktionen sind nicht aufwendiger zu implementieren, wenn es nicht schon implementiert ist, und du kommst mit der Begründung betriebsinterne Anwendung.

Da kannst du gleich das Passwort in Klartext abspeichern... ist ja nur eine betriebsinterne Anwendung.

Wenn du bei mir im Betrieb wärst, dann würde ich dich ab diesem Zeitpunkt nicht mehr ernst nehmen. Aber das kann dir ja egal sein.

[uthred]

Naja dann dürfte ich meinen cheffe nicht mehr ernst nehmen, denn er hat es mir so gesagt( nur betriebsinterne anwendung etc.) , als ich ihm erklären wollte, dass es unsicher ist. Nehme ich meinen Chef nicht mehr ernst, dann ist nicht nur mein Login-Formular unsicher, sondern auch mein Job.

Ich könnte ja das Passwort erst md5 hashen/verschlüsseln und dann dieses gehashte passwort nochmal mit sha-2 hashen.

Dann sind beide Seiten zufrieden, mein Chef weil ich md5 nach seinen Anweisungen verwendet habe und die Sicherheitsbeauftragten, weil es mit modernen hash-methoden bearbeitet wurde.

[SynonymOfGod]

nein es ist nicht sicher, stichwort SQL-Injection.... SQL-Injection

[uthred]

mysql_real_escape_string($_REQUEST["loginPassword"])

wird natürlich verwendet, mir geht es mehr um di nicht standardmäßigen Sicherungsmethoden, hashen, webservice(ist unsinnig, weiß ich inzwichen).

zB soll ich die UserId in die Session schreiben, oder sollte ich die userid, kombiniert mit einer sessionid in die session und in die DB- schreiben?

Denn die Session darf aus kommerziellen zwecken nicht entführt, das Passwort nicht geknackt und die Anwendung nicht korumpiert werden.

Auch wenn die Anwendung intern laufen wird.