Der Betreff sagt alles:
Warum in aller Welt wird diese Option noch in der Installation angeboten? Wie kann man Passwörter heute denn überhaupt noch unverschlüsselt ablegen?
Ich würde empfehlen, diesen alten Zopf abzuschneiden - das ist echt peinlich (sorry)! ....
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
-
Weltfriede
- Beiträge: 17
- Registriert: 8. Jan 2012, 22:26
-
Gregor.Harlan
- Entwickler
- Beiträge: 1130
- Registriert: 4. Jun 2007, 10:35
- Wohnort: Frankfurt am Main
Re: Plaintext-Passwort
Hallo Weltfriede,
es wird ja niemand gezwungen, diese Option zu wählen, ich würde es auch nicht empfehlen
Für die neue Version (5.0) wurde dieser Zopf aber bereits abgeschnitten...
Gruß, Gregor
es wird ja niemand gezwungen, diese Option zu wählen, ich würde es auch nicht empfehlen
Für die neue Version (5.0) wurde dieser Zopf aber bereits abgeschnitten...
Gruß, Gregor
Friends Of REDAXO: Gemeinsame REDAXO-Entwicklung!
-
Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Re: Plaintext-Passwort
Hi Weltfriede,
diese Option ist noch da, da wenn man von alten versionen upgraded und diese noch als Default auf "keine Verschlüsselung" ausgeliefert wurden (lange her aber diese gibt es noch).
Man muss aber auch dazu sagen, dass alleine das verschlüsseln von Passwörtern nur sehr wenig mehr Sicherheit bringt, als ein klartext passwort.
Gruß,
Markus
diese Option ist noch da, da wenn man von alten versionen upgraded und diese noch als Default auf "keine Verschlüsselung" ausgeliefert wurden (lange her aber diese gibt es noch).
Man muss aber auch dazu sagen, dass alleine das verschlüsseln von Passwörtern nur sehr wenig mehr Sicherheit bringt, als ein klartext passwort.
Gruß,
Markus
-
Weltfriede
- Beiträge: 17
- Registriert: 8. Jan 2012, 22:26
Re: Plaintext-Passwort
Hallo,
sehe ich alles ein und gut, dass das mit version 5 nicht mehr dabei sein wird.
An welcher Stelle in der Konfiguration (Master.inc.php?) wird denn die Option gesetzt, ob verschlüsselt ist oder nicht?
sehe ich alles ein und gut, dass das mit version 5 nicht mehr dabei sein wird.
An welcher Stelle in der Konfiguration (Master.inc.php?) wird denn die Option gesetzt, ob verschlüsselt ist oder nicht?
Natürlich hängt auch viel von der Qualität des Passworts ab. Trotzdem würde ich diese von Dir gemachte Aussage so erstmal hinterfragen.Man muss aber auch dazu sagen, dass alleine das verschlüsseln von Passwörtern nur sehr wenig mehr Sicherheit bringt, als ein klartext passwort.
-
Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Re: Plaintext-Passwort
Hi,
Entscheidend ist ein sog. SALT, allein gehaste passwörter (md5, sha1) lassen sich zum teil schon alleine nach 3 sekunden googeln "entschlüsseln".
Gruß,
Markus
Du kannst dein Passwort noch solange wählen oder aus wilden Zeichen zusammensetzen. Das trägt nur unwesentlich zur "Sicherheit" bei.Weltfriede hat geschrieben:Natürlich hängt auch viel von der Qualität des Passworts ab. Trotzdem würde ich diese von Dir gemachte Aussage so erstmal hinterfragen.
Entscheidend ist ein sog. SALT, allein gehaste passwörter (md5, sha1) lassen sich zum teil schon alleine nach 3 sekunden googeln "entschlüsseln".
Gruß,
Markus
-
Weltfriede
- Beiträge: 17
- Registriert: 8. Jan 2012, 22:26
Re: Plaintext-Passwort
Hallo Markus,
Dass es Kollisionen beim MD5-Algorithmus gibt, ist nichts Neues; auch dass MD5-Abbildungen vieler Passwörter im Netz kursieren - alles richtig. Aber...
Wie kommst Du zu der Aussage denn? Beziehst Du Dich auf Regenbogen-Tabellen?
Dass es Kollisionen beim MD5-Algorithmus gibt, ist nichts Neues; auch dass MD5-Abbildungen vieler Passwörter im Netz kursieren - alles richtig. Aber...
... genau das halte ich nicht für richtig.Du kannst dein Passwort noch solange wählen oder aus wilden Zeichen zusammensetzen. Das trägt nur unwesentlich zur "Sicherheit" bei.
Wie kommst Du zu der Aussage denn? Beziehst Du Dich auf Regenbogen-Tabellen?
-
Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Re: Plaintext-Passwort
Hi,
Aber bevor diese Grundsatzdiskussion noch weiter ausartet, würde ich dann hier gerne das Thema beenden.
Gruß,
Markus
Jepp.Weltfriede hat geschrieben: Wie kommst Du zu der Aussage denn? Beziehst Du Dich auf Regenbogen-Tabellen?
Aber bevor diese Grundsatzdiskussion noch weiter ausartet, würde ich dann hier gerne das Thema beenden.
Gruß,
Markus