mardi 24 février 2015
Best Practice Verschlüsselung mit SALT
Posted on 10:14 by verona
Ich hab kein passendes Unterforum gefunden, daher packe ich meine Frage jetzt hier einfach mal rein.
Ich habe ein Webanwendung, bei der sich ein Benutzer mit seinem eigenen Passwort anmelden kann. Das Passwort habe ich in der DB per SHA2 verschlüsselt abgelegt. Jetzt würde ich gerne das Passwort mit einem SALT-Parameter sicherer machen. In allen Anleitungen dazu lese ich, dass man einfach eine "salt"-Spalte an die USER-Tabelle anhängen soll und dort zu jedem Benutzer einen eigenen SALT-Wert ablegen soll. Dieses Vorgehen halte ich aber für sehr kritisch, denn wenn jemand an die Daten kommt, dann hat er das verschlüsselte Passwort und den SALT-Wert, dann ist die zusätliche Verschlüsselung mit dem SALT ja wieder futsch.
Eigentlich müssten SALT und Passwort doch unabhängig von einander aufbewahrt werden, also Passwort in der DB und SALT in einer ausgelagerten Datei z.B. auf dem App-Server?
Oder bin ich hier auf dem falchen Weg? Was meint ihr?
Ich habe ein Webanwendung, bei der sich ein Benutzer mit seinem eigenen Passwort anmelden kann. Das Passwort habe ich in der DB per SHA2 verschlüsselt abgelegt. Jetzt würde ich gerne das Passwort mit einem SALT-Parameter sicherer machen. In allen Anleitungen dazu lese ich, dass man einfach eine "salt"-Spalte an die USER-Tabelle anhängen soll und dort zu jedem Benutzer einen eigenen SALT-Wert ablegen soll. Dieses Vorgehen halte ich aber für sehr kritisch, denn wenn jemand an die Daten kommt, dann hat er das verschlüsselte Passwort und den SALT-Wert, dann ist die zusätliche Verschlüsselung mit dem SALT ja wieder futsch.
Eigentlich müssten SALT und Passwort doch unabhängig von einander aufbewahrt werden, also Passwort in der DB und SALT in einer ausgelagerten Datei z.B. auf dem App-Server?
Oder bin ich hier auf dem falchen Weg? Was meint ihr?
Best Practice Verschlüsselung mit SALT
Categories: Best Practice Verschlüsselung mit SALT
Inscription à :
Publier les commentaires (Atom)
0 commentaires:
Enregistrer un commentaire