Page 1 of 1

? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Posted: Jun 23, 2019 7:16 pm
by sflori
Moin,

ich nutze Mantis 2.21.x mit lokaler Account-Verwaltung.
$g_login_method ist per default auf MD5 konfiguriert.

Könnt ihr mir bei folgenden Fragen helfen, die mir das Handbuch nicht beantworten konnte:

1.
Warum ist "CRYPT_FULL_SALT" deprecated? Gesalzene Hashes klingen doch nicht schlecht...
2.
Wofür braucht man das $g_crypto_master_salt, wenn die Passwörter nach MD5 ungesalzen gehashed werden?

Danke und viele Grüße. Flo.

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Posted: Jun 24, 2019 3:13 pm
by atrol
CRYPT_FULL_SALT war wohl nie richtig implementiert und wurde bereits 2003 entfernt, s.
https://github.com/mantisbt/mantisbt/co ... dcbef9638f

crypto_master_salt wird z.B. beim Generieren des Session Keys und beim Generieren des Bestätigngcodes für das Zurücksetzen eines Passwortes verwendet.

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Posted: Jun 27, 2019 6:00 am
by sflori
Danke für die Info. :)

Ich bin ein bisschen nervös, weil die Passwörter ungesalzen als MD5-Hash gespeichert werden. Die Hälfte der Kennwörter meiner Nutzer konnte ich instant entschlüsseln...

Macht es Sinn, ein Ticket für MantisBT zu erfassen, das die Umstellung von MD5 auf gesalzen MD5 oder -noch besser- ein aktuelleres Hash-Verfahren beinhaltet?


Bye. Flo.

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Posted: Jun 27, 2019 6:55 am
by atrol

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Posted: Jun 27, 2019 7:17 pm
by sflori
Gut zu wissen!

Danke für den tollen Einsatz! :)


Viele Grüße. Flo.