Passwort Anmeldung realisieren

[Joghurt]

Ich ging von einem anderen Problem aus, nämlich dass du verhindern willst, das jemand ein Kennwort auf ein gewünschtes setzen kann, ohne dass er selbst eins hat.

Beispiel: Ich will das Programm nutzen, kenne aber das Kennwort nicht, weiss aber, dass das Kennwort als MD5 gehasht ist. Dann errechne ich die MD5 von "Hallo", speichere diesen in der Passwortdatei und kann das Programm durch Eingabe von "Hallo" nutzen.
Gegen diesen Angriff hilft das Salt, da ich dieses ja nicht kenne und dementsprechend nicht den richten Hash berechnen kann. (Die Verwendung eines kryptographischen Hashes habe ich einfach mal vorrausgesetzt)

Ich kenne aber nach wie vor das Problem nicht

(Übrigens heißt es ja auch "Das Salz in der Suppe" und nicht "Das Salt in der Suppe", von daher kann man im Deutschen auch ohne weiteres von Salz reden)

[sticky bit]

Ich ging von einem anderen Problem aus, nämlich dass du verhindern willst, das jemand ein Kennwort auf ein gewünschtes setzen kann, ohne dass er selbst eins hat.

Beispiel: Ich will das Programm nutzen, kenne aber das Kennwort nicht, weiss aber, dass das Kennwort als MD5 gehasht ist. Dann errechne ich die MD5 von "Hallo", speichere diesen in der Passwortdatei und kann das Programm durch Eingabe von "Hallo" nutzen.
Gegen diesen Angriff hilft das Salt, da ich dieses ja nicht kenne und dementsprechend nicht den richten Hash berechnen kann. (Die Verwendung eines kryptographischen Hashes habe ich einfach mal vorrausgesetzt)

Naja, gut, ich gehe davon aus, dass Schreiben ein Stück höher priveligiert ist als Lesen, ergo es nicht unwahrscheinlich ist, dass jmd. ders geschafft hat Schreibrechte auf die Passwortdatei zu bekommen wohl eh an alles andere auch rann kommt. Aber gut, OK für den Fall dass er nur auf die Passwortdatei schreiben darf, aber keinen, nicht mal lesenden Zugriff auf die anderen Daten an die er will hat, oder die Laufzeit des Systems braucht...
Den einzigen Fall, den ich mir jetzt konstruieren kann wäre so eine Art Kopierschutz bzw. Lizenz-Registrierung, also Software läuft nur nach Eingabe eines "Passworts", welches gehasht in einer Datei steht, die dem Benutzer aber gehört und mit der er machen kann was er will...

Ich kenne aber nach wie vor das Problem nicht

Dito.

(Übrigens heißt es ja auch "Das Salz in der Suppe" und nicht "Das Salt in der Suppe", von daher kann man im Deutschen auch ohne weiteres von Salz reden)

Kenne den Ursprung des Wortes im Englischen nicht, also warum das Dingen "Salt" heisst und nicht anders. Wenn du dazu ne Erklärung hast und aus der ersichtlich wird, dass das tatsächlich auf das (Koch)Salz das wir uns ins Essen schütten zurückzuführen ist...?
Befremdend anhören tut sichs trotzdem, auch wenn ich nicht gerade der Fan von den ganzen Anglizismen bin, auch nicht in der IT, aber auch nicht konsequent dagegen...

[tsluga]

Ach Leute, ich bin auch blöd, kann ich mal ganz ehrlich sagen

Ich schreibe hier ins C/C++ Forum für Linux/Unix, ist ja klar, wenn die Passwort Datei z.B. unter /home/tsluga/prog liegt, kein anderer bis auf root dran kommt und die Datei manipulieren kann, ich versuche das für Windows zu lösen, wo Leute die Passwort Datei manipulieren/verändern/austauschen können.

Windows Probleme im Unix Forum, ist ja klar, jetzt weiß ich endlich, wieso keiner mein Problem verstanden hat

Vielleicht hat mal einer eine Lösung fuer Windows !

[Waxolunist]

Programm wird unter Linux benutzt und kommt ins normale /home/user/ Verzeichnis.

Na, so schnell deine Meinung geändert?

Du bist ja sprunghafter als ein österreichischer Politiker.

Vielleicht solltest du dich an ein Dritt-programm wenden, z.B. Keepass

http://keepassx.sourceforge.net/

und darüber deine Anmeldung realisieren. Gibts für so ziemlich jede Plattform und du musst dir keine Gedanken mehr machen.

[anda_skoa]

ich versuche das für Windows zu lösen, wo Leute die Passwort Datei manipulieren/verändern/austauschen können.

Hmm, Windows 9x?
Jedes andere Windows sollte kein Problem damit haben, die Benutzer Dateien und ich glaube sogar die Registry Zweige der Benutzer voreinandere zu sichern.

Ciao,
_

[Liberty]

Moin,

auch auf die Gefahr hin, dass ich hier ein schon totgelaufenes Thema wieder ausgrabe, ABER:

Hat eigentlich irgendwer von uns schon irgendwie verstanden, WORUM es hier eigentlich geht??? Also ich hab' mir eben diesen Thread nochmal in seiner Gesamtheit zu Gemüte geführt und ich habe keinen blassen Schimmer, was eigentlich warum geschützt werden musst, geschweige denn, wie schützenswert die Daten sind (im Hinblick auf Hardwarelösungen wie USB-Dongles müsste das ja auch geklärt werden) und in welchem Umfeld das Produkt eingesetzt werden soll (Es ist ja immer noch ein Unterschied, ob ich meine - natürlich überhaupt nicht vorhandene - Pornosammlung vor meiner Freundin verstecken möchte, oder ob ich Daten des Schutzbereich 2 zwingend geheimhalten muss).

BTW: Gehört dieser Thread zum gleichen Projekt?

So long,
Liberty

[RapidMax]

Hat eigentlich irgendwer von uns schon irgendwie verstanden, WORUM es hier eigentlich geht???

Mir geht es auch so. Ich kann es aber trotzdem nicht lassen, auf die folgende Lektüre hinzuweisen: Security Engineering - The Book.

Gruss, Andy