Wie immer geiles und informatives Video 💪🏼

Sword Art Online

Cooles und informatives Video. Das man ordentlich salzen sollte war mir bekannt, gepfeffert hab ich bis jetzt aber noch nicht.

Gut gewürztes Video!

Jap, das Video bringt's mal auf den Punkt. Salt alleine bringt mal so gar nix, wenn der Mechanismus des Salzens selbst zu einfach ist. Da muss man sich schon was ausdenken, damit das auch wirklich wirkt. Pfeffern ist auch supi, aber nur so lange, wie der Pfeffer nicht offensichtlich ist. Ich verwende bei dem Teil gerne mal code obfuscation. Der Pepper ist im ganzen System verteilt und wird sehr kryptisch zusammengesetzt. Das ist besonders bei Sprachen wie JavaScript wichtig, da diese nicht kompiliert werden. Wenn dann noch Anwendungsserver und Datenbank auf der selben Maschiene laufen ist ein einfaches "In einer config-datei" auch wieder Schmarrn. Am besten heißt die variable dann noch pepper.

Sehr schmackhaft! :)

Danke ich glaube das Video hat mir vllt theoretisch geholfen

Guter Content!

Es gibt auch Hash-Algos die für Passworthashing ausgelegt sind wie PBKDF2. Würzen diese die Passwörter auch automatisch, sodass man bis auf den Hash generieren und speichern gar nichts mehr tun muss oder wo genau liegen die Vorteile bei denen? Sind sie schneller?

Perfekt :)

Food Wars! Shokugeki no Soma hätte besser als Anime dazu gepasst :3 (Aber ehre das du SAO genommen hast!)

Cool! Pfeffer kannte ich bislang garnicht. Nur zum Verständnis: Jedee Nutzer bekommt ein zufällig generierten Salt, der wird am besten in einer anderen Datenbank oder cfg Datei gespeichert (im Klartext)? Und Pfeffer kann hardcoded im Quellcode stehen, oder? Wie sieht es da mit der Datensicherheit aus? Ich kann ja bei kompilierten Dateien den Code teilweise dekompilieren oder auf die entsprechende PHP Datei auf dem Server zugreifen. Das wäre ja nur semi sicher.

2:05 Moment, warum sollte der angreifer die zeit mit dem hash berechnen verbringen? Das salt liegt doch auf dem zielsystem und nicht beim client und der hash wird dort berechnet .. oder war das darauf bezogen, dass man zugriff auf eine db hat und nun die Passwörter aus den hashes holen will?

Sehr gut erklärt. Werde Dein Video weiterempfehlen, wenn Kollegen sich mit dem Hashen nicht recht auskennen. [klugscheissen on] Die gängigen Hashfunktionen basieren meines Wissens nach aber nicht (wie asymmetrische Kryptosysteme) auf den Mathematikproblemen, sondern auf komplexen Verschiebungen, Vertauschungen und Wechseln auf Bitebene, was sie erheblich schneller und hardwarenäher macht. Allerdings ist asymmetrische Verschlüsselung auch ein guter Hashersatz, wenn die Inputlänge konstant und geeignet ist. So kann man ggf. den Nachschlüssel für Strafverfolgung realisieren, weil der Gegenschlüssel im Tresor bleibt oder gleich beim Gericht hinterlegt ist. [klugscheissen off]

Verstehe ich es richtig, dass salzen und pfeffern aufgabe der website ist, die ich besuche? Und nicht meine aufgabe. Das meine aufgabe lediglich darin besteht ein langes, gutes passwort zu wählen?

Ich bin jetzt (leider oder glücklicherweise) auch mit der Aufgabe betreut ein log-in verfahren zu implementieren. Pfeffer in den Scource-code zu schreiben bekomm ich hin, aber mit dem salzen bin ich noch etwas verwirrt. Mein naiver Ansatz wäre jetzt, einfach eine zweite Datenbank für die Salze zu machen. Aber wie Speicher ich die sicher ab? Die gehashed zu speichern und dann zu enthashen um sie an das User Password dran zuhängen klingt ja relativ dumm, weil zum hashen ja Einwegsfunktionen benutzt werden. Im Klartext bringts mir ja aber auch nicht viel, weil wenn die erste DB weg ist, die zweite ja eventuell mitbetroffen sein kann. Kann mir jemand gute rescourcen zu dem Thema empfehlen oder einen Ansatz geben?

Hallo, gut erklärt. Gibt es dazu auch ein Video wie man dass z.b. mit VBA in MS Access macht. Danke und Gruss aus der Schweiz.

zum Passwort sichern braucht man Salt und Pfeffer. (Haha, sehr witzig. Was willst du jetzt damit sagen?) Dies findet man auch in der IT Sicherung (warte mal, was? Das war kein Witz? o.o)

0:44 haha die Namen :D

Da du dich ja mit dem Thema relativ gut auskennst: Eine Frage zur Passworthashing. Welcher Hashingalgo wäre deiner Meinung nach am besten bzw. kann man irgendwo nachsehen, welcher Algorithmus derzeitig am sichersten angesehen wird. Ich würde gerne eine Passworthashfunktion sicherer machen, als diese gerade ist.

Danke sehr Informativ, auch wenn ich alles schon wusste. Wo bleibt der Discord-Server?

Salt 'n' Pepper, bekomm ich sofort nen Ohrwurm.

Ist am sichersten (Starkes Passwort+ salz&Pfeffer + 2-Faktor dings), oder geht es noch besser?🙃

Aber, was ich nicht ganz verstehe: Wie sollte ich das Salt speichern? Wenn jemand auf die Datenbank Zugriff hat, hat er ja auch das Salt, und somit ist es wieder relativ einfach, oder nicht?

Asuna und kirito aus sao????

Überlegung: Hash von Benutzername und Passwort. der Hash des Passwortes wird ausgewertet, um zu entscheiden, ob für den nächsten Schritt der Namens- oder der Passwort-Hash verwendet wird. Der gewählte Hash wird ausgewertet, um nach der selben Auswertung wie oben zwei Werte zu ermitteln: erstes Zeichen und Länge des Salt. Dann wird der Salt entsprechend aus dem jeweils anderen Hashwert bezogen (also ab Stelle 5, 9 Stellen lang, als Beispiel). Dann wird das Klartext-Passwort + Salt (oder anders rum) gehasht und dieser Wert kommt, zusammen mit einer "genormten" Version des Benutzernamens (z.B. alles lowercase), in die DB. Ergebnis: Der Salt muss nicht mehr gespeichert werden sondern wird durch korrekte, case-sensitive Angabe von Benutzername und Passwort ermittelt. Wäre das besser oder schlechter als ein individuell vergebener, zufälliger aber gespeicherter salt?

Jetzt hab ich Hunger

Nice

Wo studierst du?

😂eugeo=senpai Hat das keio.ac in den Domainnamen eine tiefere Bedeutung?

Und man kann sich darauf verlassen das Webseiten die beiden Gewürze auch wirklich anwenden?

Ich bräuchte Hilfe mit einem Python-Pogramm: Es soll eine quadratische Tabelle mit 16 Zeilen und 16 Spalten erzeugt werden. Die Werte der Tabellenelemente sind die Zahlen von 0 - 255 (256 dezimale Bytewerte) und müssen aus den Tabellenparametern (Tabellengröße, Zeilenzählwert, Spaltenzählwert) berechnet werden. Sodann die Tabellenstruktur in Tabellenform anzeigen: [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15] [16,..............., 31] [...............] [240,....., 255]

Großer Sao fan... so einer also ¬0¬ ... Ich auch xD

irre gut erklärt

Haha auch ein SAO Fan?

epic weeb

Moin, 2:00 ich habe mich gefragt, warum bei mir mit "echo Passwort |sha256sum" eine anderer, kürzerer Hashwert raus kommt. Hier die Versuche. Das dritte stimmt überein...: echo Passwort |sha256sum a4722c7e39b6c2138189c39494223b3446ffdde4d82241036a101bc2ab52c86f - sha256sum < Passwort e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 - echo -n Passwort |sha512sum aaf6a7d781d14ad069bf26988cbda52043197c14f3a9762778a7ba9d31bebce0bfbb27368e39c18471dc611731877cd4796b80c660ff9be2d0d63eaa649c4c1d - LG juck.