? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Deutschsprachiges Forum für Diskussionen und Fragen zu MantisBT

Moderators: Developer, Contributor

Post Reply
sflori
Posts: 14
Joined: 08 Nov 2018, 18:09
Location: Germany

? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by sflori »

Moin,

ich nutze Mantis 2.21.x mit lokaler Account-Verwaltung.
$g_login_method ist per default auf MD5 konfiguriert.

Könnt ihr mir bei folgenden Fragen helfen, die mir das Handbuch nicht beantworten konnte:

1.
Warum ist "CRYPT_FULL_SALT" deprecated? Gesalzene Hashes klingen doch nicht schlecht...
2.
Wofür braucht man das $g_crypto_master_salt, wenn die Passwörter nach MD5 ungesalzen gehashed werden?

Danke und viele Grüße. Flo.
atrol
Site Admin
Posts: 8366
Joined: 26 Mar 2008, 21:37
Location: Germany

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by atrol »

CRYPT_FULL_SALT war wohl nie richtig implementiert und wurde bereits 2003 entfernt, s.
https://github.com/mantisbt/mantisbt/co ... dcbef9638f

crypto_master_salt wird z.B. beim Generieren des Session Keys und beim Generieren des Bestätigngcodes für das Zurücksetzen eines Passwortes verwendet.
Please use Search before posting and read the Manual
sflori
Posts: 14
Joined: 08 Nov 2018, 18:09
Location: Germany

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by sflori »

Danke für die Info. :)

Ich bin ein bisschen nervös, weil die Passwörter ungesalzen als MD5-Hash gespeichert werden. Die Hälfte der Kennwörter meiner Nutzer konnte ich instant entschlüsseln...

Macht es Sinn, ein Ticket für MantisBT zu erfassen, das die Umstellung von MD5 auf gesalzen MD5 oder -noch besser- ein aktuelleres Hash-Verfahren beinhaltet?


Bye. Flo.
atrol
Site Admin
Posts: 8366
Joined: 26 Mar 2008, 21:37
Location: Germany

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by atrol »

Please use Search before posting and read the Manual
sflori
Posts: 14
Joined: 08 Nov 2018, 18:09
Location: Germany

Re: ? Sicherheit beim Speichern von Passwörtern (Salt, MD5)

Post by sflori »

Gut zu wissen!

Danke für den tollen Einsatz! :)


Viele Grüße. Flo.
Post Reply