Passwort zu lang
Passwort zu lang
Ich benutze für gewähnlich MD5-Hashes in Hex als Passwörter. => 32 zeichen.
Das Debianforum sagt mir allerdings dass mein Passwort zu lange ist.
Könnte man das nicht auf 256 oder so erhöhen wie das sonst bei den meisten Textfeldern üblich ist? Ich meine das Debianforum macht doch in der datenbank -hoffentlich- sowieso einheitlich große hashes draus.
Ansosnten noch die kleine anmerkung dass man in HTML auch vorherh angeben kann wie große das maximal sein soll. Dann wundert man sich wenigstens nicht über die obskre Fehlermeldung.
Das Debianforum sagt mir allerdings dass mein Passwort zu lange ist.
Könnte man das nicht auf 256 oder so erhöhen wie das sonst bei den meisten Textfeldern üblich ist? Ich meine das Debianforum macht doch in der datenbank -hoffentlich- sowieso einheitlich große hashes draus.
Ansosnten noch die kleine anmerkung dass man in HTML auch vorherh angeben kann wie große das maximal sein soll. Dann wundert man sich wenigstens nicht über die obskre Fehlermeldung.
Re: Passwort zu lang
Gibt's denn dazu schon was Neues? (@feltel)
Ich bin ein grosser Verfechter von langen Passwoertern, d.h. Passphrases, deshalb faende ich es schoen, wenn es die Begrenzung auf 32 (?) Zeichen nicht gaebe. Mit meinem eigenen Passwort bleibe ich zwar darunter, bin aber nicht allzuweit davon entfernt.
Ich habe gelesen, dass sehr lange Passwoerter (~1MB) sehr viel Arbeitsspeicher brauchen. 128 oder 256 Zeichen sollten aber kein Problem darstellen.
Kann man das denn bei phpBB einstellen?
Ich bin ein grosser Verfechter von langen Passwoertern, d.h. Passphrases, deshalb faende ich es schoen, wenn es die Begrenzung auf 32 (?) Zeichen nicht gaebe. Mit meinem eigenen Passwort bleibe ich zwar darunter, bin aber nicht allzuweit davon entfernt.
Ich habe gelesen, dass sehr lange Passwoerter (~1MB) sehr viel Arbeitsspeicher brauchen. 128 oder 256 Zeichen sollten aber kein Problem darstellen.
Kann man das denn bei phpBB einstellen?
Use ed once in a while!
Re: Passwort zu lang
Welchen Zweck hat ein langes Passwort? Der Sicherheit dient es bestimmt nicht.
-
- Beiträge: 2049
- Registriert: 18.03.2012 21:13:42
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: Passwort zu lang
Doch. Ein einstelliges Passwort lässt sich ohne Probleme auch ohne Programm erraten...
Hilf mit unser Wiki zu verbessern!
Re: Passwort zu lang
Klar. Wenn man weiß dass das Passwort einstellig ist
Warum Passwörter erraten wenn sie unverschlüsselt übertragen werden, der Rechner Schadcode enthält oder der Server aufgrund einer Sicherheitslücke gehackt werden kann. Dann kann man das Passwort in beliebiger Länge einfach mitlesen. Ach und anstatt die verschlüsselten Passwörter auf dem Server zu entschlüsseln (z.B. MySQL-Datenbank) würde ich natürlich an der Webanwendung ansetzen, da sich ja von Zeit zu Zeit die Benutzer auch anmelden, funktioniert sogar bei SSH-Servern Wie gesagt ich sehe keinen Sicherheitsgewinn ab sagen wir 4 Zeichen. Gibt es ordentliche Challenge-Response-Verfahren auf JavaScript-Basis, um nicht bei jeder Anmeldung das Passwort im Klartext zu übermitteln (ähnlich ZeroBin) ?
Warum Passwörter erraten wenn sie unverschlüsselt übertragen werden, der Rechner Schadcode enthält oder der Server aufgrund einer Sicherheitslücke gehackt werden kann. Dann kann man das Passwort in beliebiger Länge einfach mitlesen. Ach und anstatt die verschlüsselten Passwörter auf dem Server zu entschlüsseln (z.B. MySQL-Datenbank) würde ich natürlich an der Webanwendung ansetzen, da sich ja von Zeit zu Zeit die Benutzer auch anmelden, funktioniert sogar bei SSH-Servern Wie gesagt ich sehe keinen Sicherheitsgewinn ab sagen wir 4 Zeichen. Gibt es ordentliche Challenge-Response-Verfahren auf JavaScript-Basis, um nicht bei jeder Anmeldung das Passwort im Klartext zu übermitteln (ähnlich ZeroBin) ?
Re: Passwort zu lang
Würde ich so nciht sagen. Bei so kurzen Passwörtern würde ich sagen, dass die eine Entropie von 4 Bit haben. (Das ist der denn man hat, wenn man zufällig zeichen aus einem Englischen/Deutschen Text rauszieht (john arbeitet so im incremental mode). Zum vergleich: Die Entropie im Grundgesetz beträgt unter 1,9Bit)uname hat geschrieben:Wie gesagt ich sehe keinen Sicherheitsgewinn ab sagen wir 4 Zeichen.
d.h. im schnitt (2^4)^4/2 Versuche. Hier auf meiner Leitung, die im Moment in etwa 40MBit/s macht braucht die hydra gerade etwa 250ms pro Versuch (Was sich eigentlich nochmal vervielfachen lassen solte. Ich denke 10 ms sollten da eigentlich locker drin sein. Kein plan warum das so lahm läuft.) => Im schnitt etwa 2h für 4stellige passwörter. Durchaus machbar. Und da kann man bestimmt optimieren. Wenn man da dran arebitet kommt man bestimmt mit unter 10 min hin.
Wenn du Chinesisch tippst siht's natürlich deutlich anders aus. Da reicht 4Stellig locker.
Bruacht mak kein JS führ ist schon in HTTP eingebaut nennt sich Digest Access Authentication oder von Microsoft NTLM HTTP Authentication. Wird beides nicht eingesetzt, weil https deutlich sicherer (Bei aktiviertem Javascript kann man so ziemlich jedes Challange Response ohne probleme Brechen. Einschließlich der genannten.), performanter und vor allem schöner (man kann eigene loginfelder desighnen statt, dass der nutzer irgend ein popup bekommt) ist.uname hat geschrieben:Gibt es ordentliche Challenge-Response-Verfahren auf JavaScript-Basis, um nicht bei jeder Anmeldung das Passwort im Klartext zu übermitteln (ähnlich ZeroBin) ?
Dazu gibt's clientseitiges hashing und https. Die üblichen Tools Funktionieren nur hier nicht, weil das passwortfeld zu klein für die üblichen MD5-Hashes sind.uname hat geschrieben:Webanwendung ansetzen, da sich ja von Zeit zu Zeit die Benutzer auch anmelden
Versthe ich nicht. Da schmeist man doch einmal md5sum drüber und nach spätestens 4ms ist das dann schön 16byte groß. Der interne Status von MD5 ist doch ~16*4=64Byte. Das kann den Braten nicht fett machen. Für andere Hashingvrfahren dürfte das änlich aussehen.Meillo hat geschrieben:ch habe gelesen, dass sehr lange Passwoerter (~1MB) sehr viel Arbeitsspeicher brauchen. 128 oder 256 Zeichen sollten aber kein Problem darstellen.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Passwort zu lang
Kannst du oder sonstwer mir sagen was beim Webserver (Anwendung z.B. phpBB) wirklich als "Passwort" ankommt. Also beim SSH-Server kommt das Passwort laut strace immer im Klartext an. Aber vielleicht hast SSH ja auch nicht diesen hohen Sicherheitsgedanken wie Webserver und dahinterliegende Webanwendungen wie phpBB.wanne hat geschrieben:Dazu gibt's clientseitiges hashing und https.
Re: Passwort zu lang
Keine Ahnung, ich habe nur das gelesen: https://tracker.phpbb.com/browse/PHPBB3-11873wanne hat geschrieben:Versthe ich nicht. Da schmeist man doch einmal md5sum drüber und nach spätestens 4ms ist das dann schön 16byte groß. Der interne Status von MD5 ist doch ~16*4=64Byte. Das kann den Braten nicht fett machen. Für andere Hashingvrfahren dürfte das änlich aussehen.Meillo hat geschrieben:ch habe gelesen, dass sehr lange Passwoerter (~1MB) sehr viel Arbeitsspeicher brauchen. 128 oder 256 Zeichen sollten aber kein Problem darstellen.
Use ed once in a while!
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Passwort zu lang
Das Datenbanklayout von phpBB 3.0 sieht für das Passwort- und das Neues-Passwort-Feld Varchar 40 vor. Man könnte jetzt zwar ohne Probleme das Feld verlängern, die Frage ist dann jedoch, ob alle passwort-relevanten Funktionen mit längeren Hashes klar kommen. phpBB 3.1 ist gerade im Betazyklus und das dortige Datenbanklayout sieht für das Passwortfeld 255 Zeichen vor. Auch im Sinne eines bald anstehenden möglichst reibungslosen Upgrades würde ich gerne von einer Änderung am Datenbanklayout absehen.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Passwort zu lang
Ja irgend wo intern mag er das PW im klartext vorhalten. Aber ankommen tut es verschlüsselt. Und das kan ein eigener SSH-Server dann schlicht nicht entschlüsseln. Also wenn du deinen eigenen aufsetzt hast du keine cance der kann das dann nicht entschlüsseln.uname hat geschrieben:Also beim SSH-Server kommt das Passwort laut strace immer im Klartext an.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Passwort zu lang
Soll heißen, wenns soweit ist, gibts die Möglichkeit längerer Passwörter. Ist doch gut... und bis es soweit ist, bin ich auch dafür, die Füße stillzuhalten. Hashes als Passwörter sind sicher cool, aber ein statistischer Ausreißer.feltel hat geschrieben:Das Datenbanklayout von phpBB 3.0 sieht für das Passwort- und das Neues-Passwort-Feld Varchar 40 vor. Man könnte jetzt zwar ohne Probleme das Feld verlängern, die Frage ist dann jedoch, ob alle passwort-relevanten Funktionen mit längeren Hashes klar kommen. phpBB 3.1 ist gerade im Betazyklus und das dortige Datenbanklayout sieht für das Passwortfeld 255 Zeichen vor. Auch im Sinne eines bald anstehenden möglichst reibungslosen Upgrades würde ich gerne von einer Änderung am Datenbanklayout absehen.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Passwort zu lang
Warum Kann ich dann maximal 30stellige Passwörter benutzen?feltel hat geschrieben:Neues-Passwort-Feld Varchar 40 vor.
Speichern wir die Passwörter im Klartext?feltel hat geschrieben:Das Datenbanklayout
Bleibt folgendes:
In das HTML im entsprechenden PHP ein 'maxlength = "30"' ind dass passwort feld einzubauen stört keinen.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Passwort zu lang
Das müsste im Style die template/ucp_profile_reg_details.html und die ucp_register.html sein.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Passwort zu lang
In der DB sollten doch nur Hashes stehen, oder ist das bei phpBB anders? Hashes sollten eine fixe Laenge haben. Damit sollte kein Aenderung an der DB noetig sein. Alleine die Eingabemaske (und die Logik dahinter) sollte angepasst werden muessen.wanne hat geschrieben:Warum Kann ich dann maximal 30stellige Passwörter benutzen?feltel hat geschrieben:Neues-Passwort-Feld Varchar 40 vor.Speichern wir die Passwörter im Klartext?feltel hat geschrieben:Das Datenbanklayout
Use ed once in a while!