Sicherheit:

Die Version 2.x ist unsere Entwicklerversion. Es werden ständig neue Eigenschaften hinzugefügt.
Antworten
r23
Beiträge: 2625
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Sicherheit:

Beitrag von r23 »

Hallo,

Wordpress und phpBB setzen auf das Framework phpass des Entwicklers Solar Designer – der im Übrigen auch den Passwort-Cracker John the Ripper entwickelt. Phpass setzt standardmäßig auf bcrypt. bcrypt beruht auf dem Blowfish-Algorithmus, bei dem es sich streng genommen gar nicht um einen Hash-, sondern um einen Verschlüsselungsalgorithmus handelt. Bcrypt nutzt einen aufwändigen Schlüsselinitialisierungsalgorithmus und verschlüsselt das resultierende Chiffrat immer wieder abwechselnd mit dem Salt und dem Passwort. Die Zahl der Runden ist eine Potenz von 2, der benutzte Exponent wird der erzeugten Zeichenkette vorangestellt.

Sicherheitsklasse

Phpass funktioniert bereits ab PHP 3.0.18. Möchte man sichergehen, dass Phpass garantiert Bcrypt als Hashfunktion verwendet, sollte man mindestens PHP 5.3.0 verwenden. Erst diese Version integriert Blowfish, Extended-DES und MD5 fest in den Interpreter. Um das in den Vorversionen zu erreichen, kann man den Suhosin Patch einspielen.

http://www.oos-shop.de/doc/phpass/html/


Beste Grüße

Ralf
Antworten