Loginpasswort richtig hashen - password_hash() & password_verify()

Schon festgestellt? Dem Forum sind gerade alle Interaktionsmöglichkeiten genommen. :(

Mehr dazu unter: Abstimmung über das Forum

  • Stimmt. Aber beim heartbleed-"bug" ist ja noch das Problem, dass die Zertifikate Müll sind, WENN ich das richtig verstanden hab (da u.U. glaub ich die Schlüssel ausgelesen werden konnten).
    Dewegen müssen ja alle Serverbetreiber erstmal die Lücke schließen, dann neue Zertifikate ran(?dunno),
    und dann erst müssen wohl die Benutzer neue PWs einrichten.
    Ganz schöne Dampfe da am Kacken :D

  • Jiop, da der Heartbleed alles ausgibt, was zum Zeitpunkt der Abfrage entschlüsselt wurde, können das sowohl Nutzerdaten, als auch Public UND Private Keys der Zertifikate sein, wodurch die Angreifer dieses Zertifikiat simulieren und sämtlichen weiteren traffic entschlüsseln können.


    Besonders perfide ist ja, dass keiner eine Ahnung hat, ob und in welchem Umfang man betroffen ist, da es nur eine simple, "normale" Abfrage ist.

  • Wenn ich meinen Cost auf 20 setze, klappt das ganze nichtmehr... :D
    Nach 30s is Schluss ^^

    Dateien

    • CPUkocher.png

      (52,28 kB, 152 Mal heruntergeladen, zuletzt: )

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von wolf ()

  • Man kann auch übertreiben :D


    Bedenke, dass Du evtl doppelte Ausführung bei password_needs_rehash() hast (falls es beim Login gecheckt wird).
    Also sollte immer "Platz" für 2x hashen sein