Passwortsicherheit
Kryptische Passwörter alleine reichen nicht mehr. Reichenleistung und Festlplattenplatz werden billiger somit die Zeit die man zum probieren braucht geringer.
Der Schwachpunkt ist leider immer noch, dass die Passwörter unsicher abgespeichert werden bzw. der Ort nicht richtig gesichert ist. Wenn einmal die DB mit den Passwörtern ausgelesen werden kann, dann hat der Angreifer die Zeit der Welt. Denn würde man dieses Probieren auf die Anwendung los lassen, dann würde man schnell merken, dass da ein Script versucht sich anzumelden. Denn so schnell kann kein Mensch tippen.
Daher ist im Moment die besten Lösung, die Passwörter mit einem Algorithmus zu verschlüsseln, der sehr sehr langsam ist. MD5 ist darauf ausgelegt schnell zu sein.
(…) Für den Anwender ist die Geschwindigkeit dagegen kaum von Belang: Ob die Prüfung eines eingegebenen Passwortes auf einem System beim Login nun 1 Mikrosekunde oder 1 Millisekunde dauert, merkt er nicht. Einen Passwortknacker würde es aber um den Faktor 1000 ausbremsen – statt 100 Millionen Passwörter pro Sekunde kann er nur noch 100.000 pro Sekunde durchprobieren. Ein Brute-Force-Angriff auf das Kennwort “P4ssW0r7” würde so 48 Jahre statt 18 Tage dauern. (…)
Die Passwörter an sich sollte man dazu noch salzen, dann wird es noch länger dauern.
Und man braucht dazu nicht mal das Rad neu erfinden, denn für PHP gibt es schon eine kleine Klasse die sich darüber gedanken macht und auch funktioniert.
Und in den Zeiten von LulzSec und anonymous sollte man seine Passwörter besser schützen. Denn ausgelesen sind die gleich.