Loginpasswort richtig hashen - password_hash() & password_verify()

  • Stimmt. Aber beim heartbleed-"bug" ist ja noch das Problem, dass die Zertifikate Müll sind, WENN ich das richtig verstanden hab (da u.U. glaub ich die Schlüssel ausgelesen werden konnten).
    Dewegen müssen ja alle Serverbetreiber erstmal die Lücke schließen, dann neue Zertifikate ran(?dunno),
    und dann erst müssen wohl die Benutzer neue PWs einrichten.
    Ganz schöne Dampfe da am Kacken :D

  • Jiop, da der Heartbleed alles ausgibt, was zum Zeitpunkt der Abfrage entschlüsselt wurde, können das sowohl Nutzerdaten, als auch Public UND Private Keys der Zertifikate sein, wodurch die Angreifer dieses Zertifikiat simulieren und sämtlichen weiteren traffic entschlüsseln können.

    Besonders perfide ist ja, dass keiner eine Ahnung hat, ob und in welchem Umfang man betroffen ist, da es nur eine simple, "normale" Abfrage ist.

  • Man kann auch übertreiben :D

    Bedenke, dass Du evtl doppelte Ausführung bei password_needs_rehash() hast (falls es beim Login gecheckt wird).
    Also sollte immer "Platz" für 2x hashen sein

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!