oneside Geschrieben 29. Mai 2006 Geschrieben 29. Mai 2006 Hallo, ich möchte per PHP mal einige Passwörter einer bestehenden Datenbank einer Community austesten. Dazu benötige ich eine Passwortliste mit häufig benutzten Passwörtern für Brute-Force Methoden. Die Passwörter aus den Listen sollen dann auch später nicht mehr bei Neuregistrierungen verwendet werden dürfen. Dazu muss ich sagen, dass es sich um meine eigene lokale Test-DB handelt! Hat jemand vielleicht auch eine Ahnung, wo ich solche Listen in Textformat oder MySQL-Format herbekommen kann? Interessant wäre es auch, ein Wörterbuch im MYSQL Format zu haben, damit man Passsörter damit vergleichen kann. Gibt es sowas unter der GPL? Danke Oneside
Unique86 Geschrieben 29. Mai 2006 Geschrieben 29. Mai 2006 Moinsen ... du sagst, das es eine Community ist. Dann bau die Login bzw. anmelde Prozedur doch so um, das der Benutzername die e-mail addy ist und das passwort ist am besten ein servergeneriertes welches via mail nach dem anmelden zugesandt wird. Denke das ist die sicherste methode. Ich weiß, es ist jetzt keine direkte antwort auf deine Frage bzw. Problemstellung aber ich denke das eine Community schon recht gut geschützt sein sollte und da ist sowas server generiertes die sicherste methode gegen bruteforce zudem würde ich auf alle fälle nen orc fensterchen einbauen um robots abzuwehren. Es ist zwar ein wenig aufwendiger aber hinterher hast du definitiv "wenig" bis "gar keine" probleme mit unsicheren kennwörtern es sein denn die crypto der generierung ist larifari sofar gruss sven
etreu Geschrieben 29. Mai 2006 Geschrieben 29. Mai 2006 Noch eine zusätzliche Idee. Was ist mit Komlexitätsklassen (z.B. mittels RegEx prüfen), Wortlängen und/oder persönlichen Daten.
lordy Geschrieben 29. Mai 2006 Geschrieben 29. Mai 2006 Spontan fällt mir da sofort die Cracklib ein, gibts anscheinend auch für PHP http://www.akademie.de/programmierung-administration/php/tipps/php-fuer-profis/cracklib.html
geloescht_JesterDay Geschrieben 30. Mai 2006 Geschrieben 30. Mai 2006 Dazu benötige ich eine Passwortliste mit häufig benutzten Passwörtern für Brute-Force Methoden. Da es ja im Daily-Talk auch angesprochen wurde: http://seclists.org/lists/fulldisclosure/2006/May/0551.html P.S. Die Passwörter sind auf der Seite so nicht mehr gültig (es sei denn, der Benutzer hat sein altes PW wieder eingetragen). Sind 100.000 Passwörter, sollten ja genug sein (siehe auch: http://www.heise.de/newsticker/meldung/73396)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden