? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Deutschsprachiges Forum für Diskussionen und Fragen zu MantisBT

Moderators: Developer, Contributor

Post Reply
sflori
Posts: 14
Joined: Nov 08, 2018 1:09 pm
Location: Germany

? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by sflori » Jun 23, 2019 7:16 pm

Moin,

ich nutze Mantis 2.21.x mit lokaler Account-Verwaltung.
$g_login_method ist per default auf MD5 konfiguriert.

Könnt ihr mir bei folgenden Fragen helfen, die mir das Handbuch nicht beantworten konnte:

1.
Warum ist "CRYPT_FULL_SALT" deprecated? Gesalzene Hashes klingen doch nicht schlecht...
2.
Wofür braucht man das $g_crypto_master_salt, wenn die Passwörter nach MD5 ungesalzen gehashed werden?

Danke und viele Grüße. Flo.

atrol
Site Admin
Posts: 7690
Joined: Mar 26, 2008 4:37 pm
Location: Germany

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by atrol » Jun 24, 2019 3:13 pm

CRYPT_FULL_SALT war wohl nie richtig implementiert und wurde bereits 2003 entfernt, s.
https://github.com/mantisbt/mantisbt/co ... dcbef9638f

crypto_master_salt wird z.B. beim Generieren des Session Keys und beim Generieren des Bestätigngcodes für das Zurücksetzen eines Passwortes verwendet.
Please use Search before posting and read the Manual

sflori
Posts: 14
Joined: Nov 08, 2018 1:09 pm
Location: Germany

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by sflori » Jun 27, 2019 6:00 am

Danke für die Info. :)

Ich bin ein bisschen nervös, weil die Passwörter ungesalzen als MD5-Hash gespeichert werden. Die Hälfte der Kennwörter meiner Nutzer konnte ich instant entschlüsseln...

Macht es Sinn, ein Ticket für MantisBT zu erfassen, das die Umstellung von MD5 auf gesalzen MD5 oder -noch besser- ein aktuelleres Hash-Verfahren beinhaltet?


Bye. Flo.

atrol
Site Admin
Posts: 7690
Joined: Mar 26, 2008 4:37 pm
Location: Germany

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by atrol » Jun 27, 2019 6:55 am

Please use Search before posting and read the Manual

sflori
Posts: 14
Joined: Nov 08, 2018 1:09 pm
Location: Germany

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by sflori » Jun 27, 2019 7:17 pm

Gut zu wissen!

Danke für den tollen Einsatz! :)


Viele Grüße. Flo.

Post Reply