Ergebnis 1 bis 6 von 6

Thema: Sonderzeichen in Passwörtern

  1. #1
    Teeny
    Registriert seit
    06.01.2014
    Beiträge
    27
    Danke
    1
    Bekam 1 mal "Danke" in 1 Posting

    Standard Sonderzeichen in Passwörtern

    Hallo zusammen!

    Beim Thema Passwörter gehen ja die Meinungen immer wieder auseinander (wie lang, welche Zeichen, usw.)

    Ich habe mich gefragt in wie fern Sonderzeichen in Passwörtern problematisch werden könnten (Stichwort: SQL-Injection)

    Auch hier gehen die Meinungen auseinander:
    Die einen sagen das PW wird ja direkt nach der Eingabe gehasht und ist deshalb ungefährlich und die anderen sagen man sollte bestimmte Zeichen im PW auf jeden Fall verbieten.

    Na was den nun? Es können ja nicht beide Seiten recht haben.

    Was meint ihr dazu?

    Grüße, Kemos
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!
    Geändert von Kemos (22.01.2014 um 19:06 Uhr)

  2. #2
    Prinz(essin)
    Registriert seit
    26.03.2013
    Beiträge
    835
    Danke
    20
    Bekam 76 mal "Danke" in 75 Postings

    Standard AW: Sonderzeichen in Passwörtern

    Zitat Zitat von Kemos Beitrag anzeigen
    Na was den nun? Es können ja nicht beide Seiten recht haben.
    Warum denn nicht?

    Wenn du gleich das Passwort hasht, was kann dann passieren? Genau, nichts.

    Und wenn du es nicht hasht, dann muss du was machen? Genau, gefähliche Zeichen nicht an die SQL-Abfrage gelangen lassen und dafür gilt es den Kontextwechsel zu beachten, steht aber auch alles im PHP-HANDBUCH, welches man mindeste einmal im Leben gelesen haben sollte.
    LESEN --> http://php.net/manual/de/security.da...-injection.php

  3. #3
    Meister(in) Avatar von lukasn
    Registriert seit
    23.02.2008
    Ort
    Schweiz
    Alter
    27
    Beiträge
    491
    Danke
    2
    Bekam 12 mal "Danke" in 11 Postings

    Standard AW: Sonderzeichen in Passwörtern

    Zitat Zitat von explanator Beitrag anzeigen
    Und wenn du es nicht hasht, dann muss du was machen? [...]
    ... Sofort damit aufhören irgendwelche Passwortfunktionen zu schreiben und noch mal über die Bücher gehen. Es gibt keinen Anwendungsfall, in welchem Passwörter unverschlüsselt an die Datenbank gehen dürfen. Selbst wenn das Passwort aus irgend einem Grund wieder im Klartext benötigt wird (Proxyauth, Singe Sign In oder so) *muss* es verschlüsselt werden, einfach icht mit einem Hash sonder mit einer 2-Weg Verschlüsselung.


    Edit @Thread: In Zeiten wo Texte eigentlich Ausschliesslich in Unicode oder äquivalenten Formaten gespeichert werden gibt es eigentlich keinen Grund mehr, Sonderzeichen in Passwörtern zu verbieten. Wenn dadurch eine SQL-Injection möglich wird hast du ganz andere Probleme. Für den User kann es aber empfehlenswert sein, gewisse Zeichen zu vermeiden, sofern er mit verschiedenen Zeichenbelegungen arbeitet. Es kann genz schön nervig sein, auf einer Französischen oder UK Tastatur nach einem Sonderzeichen zu suchen. Trotzdem sollte der User die Möglichkeit haben, ein beliebig komplexes Passwort zu verwenden.

    Gruss,
    -Lukas
    Geändert von lukasn (22.01.2014 um 20:43 Uhr)

  4. #4
    Prinz(essin)
    Registriert seit
    26.03.2013
    Beiträge
    835
    Danke
    20
    Bekam 76 mal "Danke" in 75 Postings

    Standard AW: Sonderzeichen in Passwörtern

    Du wohnst also auch in einem Tresor?

    Die Hashfunktionen reichen völlig aus und ob Passwörter verschlüsselt oder gehasht sind ist ziemlich egal sofern man beim Hash auf moderne PHP-Funktionen wie https://php.net/manual/de/book.password.php zurückgreift. Dies setzt natürlich PHP 5.5 voraus.
    Geändert von explanator (23.01.2014 um 00:01 Uhr)

  5. #5
    Meister(in) Avatar von lukasn
    Registriert seit
    23.02.2008
    Ort
    Schweiz
    Alter
    27
    Beiträge
    491
    Danke
    2
    Bekam 12 mal "Danke" in 11 Postings

    Standard AW: Sonderzeichen in Passwörtern

    Eh, wat? Lies doch meinen Post nochmal. Ich beziehe mich auf deine Aussage "Wenn du es nicht hasht". Natürlich sind die eingebauten Hashfunktionen gut genug, so lang man mal von md5 und sha1 absieht.

    Ich hab den Zitierten text so verstanden, als werde das Passwort im Klartext gespeichert, und dafür gibt es definitiv keine Berechtigung. Falls ich dich da falsch verstanden have, Bitte zu entschuldigen

  6. #6
    Prinz(essin)
    Registriert seit
    26.03.2013
    Beiträge
    835
    Danke
    20
    Bekam 76 mal "Danke" in 75 Postings

    Standard AW: Sonderzeichen in Passwörtern

    OK, Missverständnisse auch von meiner Seite.

    Also nochmal: allen Angaben die von aussen kommen Misstrauen. Whitelist einsetzen oder Eingaben auf Plausibilität prüfen, Kontextwexhsel zu SQL beachten, Passwörter nie im Klartext in die DB speichern. UTF-8 als Zeichencodierung verwenden.

    Besser?
    Geändert von explanator (23.01.2014 um 11:58 Uhr)

Ähnliche Themen

  1. Sonderzeichen im NetBeans IDE 7.1
    Von Unregistriert im Forum Forum für alle anderen Programmiersprachen
    Antworten: 0
    Letzter Beitrag: 28.01.2012, 17:36
  2. META mit Sonderzeichen
    Von andyman im Forum HTML & CSS Forum
    Antworten: 5
    Letzter Beitrag: 28.12.2009, 18:54
  3. eine Frage - Verschlüsselung von Passwörtern
    Von haillo im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 12
    Letzter Beitrag: 14.11.2008, 22:56
  4. Schutz von Passwörtern auf php Seiten
    Von Ascy im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 4
    Letzter Beitrag: 16.07.2006, 05:05
  5. sonderzeichen
    Von im Forum Computer - Internet Forum
    Antworten: 2
    Letzter Beitrag: 19.09.2005, 17:39

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •