Sicherheit von Daten

    Guten Tag, ich habs immoment mit Sicherheit...

    Also was versteht ihr unter Daten wie z.B. Name / Adresse / IP-Adresse / Passwort bezüglich sicherheit ?

    Klar ist man ist selber für sein Passwort verantwortlich. Jedoch für dass Schützen und sichern der Daten der Anbieter der Dienstleistung o.Ä.

    Es gibt ja versch. dinge die man Tun kann, wie z.B. die Daten die in die DB geschrieben werden verschlüsseln bzw. Hashen.
    Dazu gibt es genug von crypt bis MD5 und seit PHP 5.5 auch password_hash() / password_verify() .

    Was haltet ihr als Relativ sicher ?
    Klar ist bei allen diesen Hash Systemen handelt es sich um Einweg, bzw. diese sind nicht Entschlüsselbar ( außer kleinere PW mit bestimmten Anforderungen ).

    Wichtiger finde ich die Wiederkehrende verschlüsselung.
    Daher meine Frage :

    hat einer erfahrung mit verschlüsselungen selbst Schreiben ? hört sich doof an aber sowas wie z.B.

    -> IP = 85.114.32.132
    -> KeyCode1 = 8(92§(Ujs(Z"EHhd92`!=
    -> KeyCode2 = )="KDAKK="!LDPOKDMß120

    Dann ist ja in PHP möglich diese aneinnander zu "Ketten". Dann wäre die IP (KeyCode1,IP,KeyCode2) 8(92§(Ujs(Z"EHhd92`!=85.114.32.132)="KDAKK="!LDPOKDMß120
    Da dies ja aber noch sehr erkenntlich ist, könnte man vorher die IP noch per Array, die Zahlen ändern und die "." auch.
    Dass z.b. dass ganze so aussieht : 8(92§(Ujs(Z"EHhd92`!=IO)UUE)z6)Uz6)="KDAKK="!LDPOKDMß120
    So würde es in die DB gespeichert, da man dann nun weiß ok, KeyCode 1 ist : 8(92§(Ujs(Z"EHhd92`!= KeyCode 2 = )="KDAKK="!LDPOKDMß120
    Dann ist meine IP : IO)UUE)z6)Uz6) Da ja dann jede Zahl / Punkt die gleiche änderung hat könnte man dies selbst wieder entschlüsseln.


    Meine Frage ist nun ob ihr dies als eher Sicher bestimmen würdet oder nur als Schöner versuch ?
    Zur erweiterten Sicherheit könnte man noch ein 2. Array laufen lassen um es noch Schwieriger für den möglichen Hacker der DB zu machen.


    mfg Nico-Cola

    Tyga :love:
    Switch Lanes

    ~ Das Beste am Besten ist das es am Besten ist ~


    R.I.P. FileX

    Warum sollten Verschlüsselungen, die man entschlüsseln kann, sicherer sein als Einweg-Verschlüsselungen ?
    In Sachen Sicherheit kannst du ja Passwörter doppelt mit verschiedenen Hashes verschlüsseln und sie mit einem
    Partner-Hash in Verbündnis abhängig machen, also Duo-Hash.

    Es reichen aber auch vollkommen normale Hash Verschlüsselung.


    ____________________________________________________________________
    "Weil die Klügeren nachgeben, regieren die Dummen die Welt..."

    Zitat von INCepted

    Warum sollten Verschlüsselungen, die man entschlüsseln kann, sicherer sein als Einweg-Verschlüsselungen ?
    In Sachen Sicherheit kannst du ja Passwörter doppelt mit verschiedenen Hashes verschlüsseln und sie mit einem
    Partner-Hash in Verbündnis abhängig machen, also Duo-Hash.

    Es reichen aber auch vollkommen normale Hash Verschlüsselung.

    Daten die ich nicht brauche kann ich auch gerne so Verschlüsseln.
    Aber was ist mit den Daten die du vllt. brauchst um einen User zu Bannen / Sperren per IP / MAC o.Ä.
    Ich meine ja, z.B. nun die IP Adresse. Wenn ich diese mit MD5 verschlüssel, bekomm ich diese Nie wieder.
    Somit kann ich einem Nutzer nicht wegen der gleichen IP bannen / die IP selbst vom Server Bannen sondern nur per Hash.

    Deshalb diese Frage ob es nicht besser wäre diese selbst mit einem Eigenen VerschlüsselungsCode zu versehen in der DB, dass dort nicht die direkte IP steht um somit, falls diese Geleakt werden, es für den Hacker keinerlei Funktion hat, außer er kennt den Verschlüsselungsrythmus.

    Tyga :love:
    Switch Lanes

    ~ Das Beste am Besten ist das es am Besten ist ~


    R.I.P. FileX

    Zitat von Nico-Cola

    Daten die ich nicht brauche kann ich auch gerne so Verschlüsseln.Aber was ist mit den Daten die du vllt. brauchst um einen User zu Bannen / Sperren per IP / MAC o.Ä.
    Ich meine ja, z.B. nun die IP Adresse. Wenn ich diese mit MD5 verschlüssel, bekomm ich diese Nie wieder.
    Somit kann ich einem Nutzer nicht wegen der gleichen IP bannen / die IP selbst vom Server Bannen sondern nur per Hash.

    Deshalb diese Frage ob es nicht besser wäre diese selbst mit einem Eigenen VerschlüsselungsCode zu versehen in der DB, dass dort nicht die direkte IP steht um somit, falls diese Geleakt werden, es für den Hacker keinerlei Funktion hat, außer er kennt den Verschlüsselungsrythmus.

    Dann benutz mcrypt


    ____________________________________________________________________
    "Weil die Klügeren nachgeben, regieren die Dummen die Welt..."

    Einmal editiert, zuletzt von INCepted (14. April 2016 um 00:17)

    Zitat von Nico-Cola

    Ich meine ja, z.B. nun die IP Adresse. Wenn ich diese mit MD5 verschlüssel, bekomm ich diese Nie wieder.
    Somit kann ich einem Nutzer nicht wegen der gleichen IP bannen / die IP selbst vom Server Bannen sondern nur per Hash.

    Deshalb diese Frage ob es nicht besser wäre diese selbst mit einem Eigenen VerschlüsselungsCode zu versehen in der DB, dass dort nicht die direkte IP steht um somit, falls diese Geleakt werden, es für den Hacker keinerlei Funktion hat, außer er kennt den Verschlüsselungsrythmus.

    Ich möchte nur mal kurz rein werfen:
    Ich empfehle dir allgemein MD5 nicht.
    Es wurden hier einige Datenbanken geleaked und man bekam bspw. durch diese Seite -> http://md5decrypt.net/ - ganz leicht anzeigen lassen.

    Zitat von c0led

    Ich möchte nur mal kurz rein werfen:Ich empfehle dir allgemein MD5 nicht.
    Es wurden hier einige Datenbanken geleaked und man bekam bspw. durch diese Seite -> http://md5decrypt.net/ - ganz leicht anzeigen lassen.

    Ganz leicht anzeigen geht schon mal gar nicht.
    Das sind einfach gespeicherte Werte in einer Tabelle.
    Wenn dein Passwort nicht test123 heißt, musst dir auch keine Sorgen machen.
    Im Prinzip kann man das mit jedem Hash machen.


    ____________________________________________________________________
    "Weil die Klügeren nachgeben, regieren die Dummen die Welt..."

    Zitat von c0led

    Ich möchte nur mal kurz rein werfen:Ich empfehle dir allgemein MD5 nicht.
    Es wurden hier einige Datenbanken geleaked und man bekam bspw. durch diese Seite -> http://md5decrypt.net/ - ganz leicht anzeigen lassen.

    md5 kann man trotzdem verwenden und noch einen Salt hinzufügen.

    z.B.
    $salt = "6uh356h3uiuifhiuuszf24g4tgb8e";
    $pw = md5($password.$salt);

    Wenn der Salt nirgendswo in der Datenbank aufrufbar ist, ist es meiner Meinung nach relativ sicher.

    Zitat von INCepted

    Ganz leicht anzeigen geht schon mal gar nicht.Das sind einfach gespeicherte Werte in einer Tabelle.
    Wenn dein Passwort nicht test123 heißt, musst dir auch keine Sorgen machen.
    Im Prinzip kann man das mit jedem Hash machen.

    Ich rede auch von den veröffentlichten Datenbanken spezifisch auf RT. -> Weitere Antwort unten.

    Zitat von FroehlicheGurke

    md5 kann man trotzdem verwenden und noch einen Salt hinzufügen.
    z.B.
    $salt = "6uh356h3uiuifhiuuszf24g4tgb8e";
    $pw = md5($password.$salt);

    Wenn der Salt nirgendswo in der Datenbank aufrufbar ist, ist es meiner Meinung nach relativ sicher.

    Wenn man die beste Anwendung dazu findet ist es auch sicher. Ich sah nur oft, dass es bei vielen einfach nicht hin haute. Ich selbst nutzte es daher auch nicht.
    Aber es kann auch an der Inkompetenz der Verwender liegen.
    Daher: Wenn du es nutzt, dann sicher. MD5 ist schon so bekannt, dass es nicht all zu schwer für Gegner war/ist.

    Zitat von c0led

    Ich rede auch von den veröffentlichten Datenbanken spezifisch auf RT. -> Weitere Antwort unten.

    Wenn man die beste Anwendung dazu findet ist es auch sicher. Ich sah nur oft, dass es bei vielen einfach nicht hin haute. Ich selbst nutzte es daher auch nicht.Aber es kann auch an der Inkompetenz der Verwender liegen.
    Daher: Wenn du es nutzt, dann sicher. MD5 ist schon so bekannt, dass es nicht all zu schwer für Gegner war/ist.

    Die Aussage ist immer noch verwerflich. Es ist nicht bekannt, dass MD5 leicht zu knacken ist. Es liegt lediglich daran,
    dass sich manche durch die Hashes Bruteforcen. Wenn du ein sicheres Passwort hast, wird es auch nicht geknackt, egal wie viele
    Datenbanken von dir mit drin geleakt wurden.


    ____________________________________________________________________
    "Weil die Klügeren nachgeben, regieren die Dummen die Welt..."

    Kleines Beispiel an @c0led: Die Kabbo.li User Datenbank (unsicherstes Hotel aller Zeiten) hat nicht einen relevanten md5 Hash den man decrypten kann. Ein sicheres Passwort und das sitzt. Worauf sich eher die Abneigung gegen über md5 wiederspiegelt ist das viele Benutzer einer Webseite eben einfache Passwörter benutzen, weshalb md5 eher in kleinen Projekten ohne große Userdaten seinen Platz finden sollte.

    Alle Daten in der Datenbank auf einem Server der in einem VPN hängt (vom Internet nicht erreichbar) dazu die Daten mit AES oder RSA Verschlüsselt.
    Passwörter sollten mit Hashalgorithmen und Salts gehasht werden.
    Bei der Programmierung sollte geachtet werden das die Variablen nach der Benutzung aus dem Speicher gelöscht werden($v = null;) , und der Server selber alles gesichert ist (PHP Settings usw.)
    Beim Einbruch (erkannt) sollten alle Daten gelöscht werden, sofort Backups sollten ja vorhanden sein - natürlich Verschlüsselt

    Dazu sollten die Daten bei einem Hoster liegen dem du vertrauen kannst, am besten direkt in einem Rechenzentrum FirstColo erweist sich auf diesem Gebiet als eins der besten Unternehmen die ein wirklich Klasse Rechenzentrum betreiben, und auch Mitarbeiter die dir rund um die Uhr helfen.
    Sonst würde mir noch Telekom einfallen die es ernst mit dem Datenschutz meinen, https://www.telekom.com/medien/bild-to…en/fotos/104770

    Zitat von c0led

    Ich möchte nur mal kurz rein werfen:
    Ich empfehle dir allgemein MD5 nicht.
    Es wurden hier einige Datenbanken geleaked und man bekam bspw. durch diese Seite -> md5decrypt.net/ - ganz leicht anzeigen lassen.

    Einfache Passwörter ist mir bekannt, deshabb wird wie unten gesagt ein sogenannter Salt hinzugefügt.
    Der mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen ausgestattet ist.
    Ein Beispiel meinerseits dass ich in Verwendung habe ist : Ja9:,;u38D((E:Jdj98)Aj28

    Falls jemand Lust hat, oder meint MD5 wäre doch so unsicher.
    Hier 2 Hashes, eines mit Salt und eines Ohne. Es Handelt sich um dass gleiche Passwort.

    Normaler Hash ohne Salt : 16d7a4fca7442dda3ad93c9a726597e4
    Hash mit meinem Salt : a3937ffef9f043b12a7708d3cc53cf87

    Zitat von FroehlicheGurke

    md5 kann man trotzdem verwenden und noch einen Salt hinzufügen.

    z.B.
    $salt = "6uh356h3uiuifhiuuszf24g4tgb8e";
    $pw = md5($password.$salt);

    Wenn der Salt nirgendswo in der Datenbank aufrufbar ist, ist es meiner Meinung nach relativ sicher.

    Selbst wenn der Salt aufrufbar wäre, ist es sicher, du kannst ja den Salt nicht einfach aus dem MD5 Hash rauslöschen.
    Beispiel :
    Mit Salt : 174b47b2872f64c8398aae783919af2d
    Hier haste noch den Salt : Ja9:,;u38D((E:Jdj98)Aj28

    @FroehlicheGurke Wenn du dies Schaffst, habe ich vollsten Respekt vor dir.
    Man sollte dazu sagen, man kann nun versch. dinge Testen, klar ist es ist ein Einfaches Passwort wäre mit einer Liste von Passwörtern Knackbar ohne Salt. Mit Salt sehe ich da ein Problem.

    mfg Nico-Cola

    Tyga :love:
    Switch Lanes

    ~ Das Beste am Besten ist das es am Besten ist ~


    R.I.P. FileX

    1. GPU MD5 CRACKER: Found : test1234 hash => 16d7a4fca7442dda3ad93c9a726597e4
    2. GPU MD5 CRACKER: Found: Ja9:,;u38D((E:Jdj98)Aj28test1234 hash => a3937ffef9f043b12a7708d3cc53cf87

    an dem von FroehlicheGurke werkelt die GPU gerade noch

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden