PHP-Passwortverwaltung

[macindy]

Hallo zusammen!

Kennt jemand von euch eine sichere Passwortverwaltung die auf PHP/MySQL basiert?

 

[bastilian]

Warum gerade PHP/MySQL Kombination?

find ich nicht sicher.

Wenn du es auf deinem Rechner laufen lassen willst kann ich Ruby on Rails in Kombiation mit SQLite DB empfehlen bzw. anbieten.

 

[.holger]

@Macindy ich hab mal ein kleins LoginScript für ein kleines CMS, das ich für ne Band geschrieben habe, gecodet. Wie sicher das ist kann ich nicht beurteilen, aber noch hat es keine Probleme gegeben. Leider ist das ganze sehr stark in der Seite eingebunden, so dass ich dir das nicht eben so schnell zuschicken kann.

guck dir mal http://www.tutorials.de/forum/showthread.php?t=9684 an, das ganze ist nämlich relativ schnell geschrieben. (und dran denken, die Passwörter immer md5-verschlüsselt abspeichern)

 

[Sir Q]

Passwort-Verwaltung?
Du möchtest deine Passwörter schnell auffindbar mit PHP-Frontend in MySQL abspeichern?
Vergiss es - es gibt keine sichere möglichkeit daten in MySQL zu speichern, außer als MD5-Hash - und der ist nicht rückrechenbar, also nicht wirklich zum abrufen von kennwörtern geeignet.

Du möchtest den Zugriff auf eine Webseite per PHP/MySQL reglementieren?
Das Passwort als MD5-Hash in die Tabelle schreiben und dann mit "… WHERE password = MD5('$testPaswd') … " gegentesten. Dann wird nämlich verglichen, ob der MD5-Hash aus $testPaswd dem MD5-Hash in der Tabelle entspricht. Wenn ja - muß beiden Hashes der gleiche String zugrunde gelegen haben - wenn nicht, nicht.

 

[duderino]

Hmm, ich tendiere mittlerweile eher zu SHA1 als zu MD5. Kennst sich damit jemand genauer aus? In älteren Projekten und in den meisten freien Scripten wird ja der MD5 Hash benutzt.

 

[tjp]

Hmm, ich tendiere mittlerweile eher zu SHA1 als zu MD5. Kennst sich damit jemand genauer aus?

SHA1 gilt als "geknackt" (such mal nach Schneier und SHA1), das sollte man gleich gar nicht mehr verwenden. MD5 nun ja, auch da gibt es mittlerweile starke Bedenken dagegen (Stichworte Eurocrypt 2005, MD5). Es ist nicht so, daß das ganze leicht zu brechen wäre, aber da neusten Forschungsergebnisse diese Schwachstellen aufgedeckt haben, geht man davon aus, daß die Verfahren auch noch andere Schwächen aufweisen.

 

[tjp]

Kennt jemand von euch eine sichere Passwortverwaltung die auf PHP/MySQL basiert?

Sicher und Passwortverwaltung sind unterschiedliche Dinge. Es gibt eigentlich nur eine sichere Lösung, die mußt Dir die Passworte merken. Das würde ich vorallem für die wichtigen Verbindungen machen. Man sollte sich die Passworte auch an einem sicheren Ort aufbewahren. Das bedeutet, garantiert nicht auf einem Computer, sondern irgend wo in einem Notizbuch auf das niemand einen Zugriff hat.

 

[xenxox]

Meinst du etwas in Richtung eines Passwordstores ? Die gesammelten Passwörter an einem virtuellen Platz - verschlüsselt und du musst dir nur noch ein Passwort merken um den Safe zu öffnen?

 

[b0rsten]

Der Thread ist zwar schon etwas älter, aber vielleicht hat ihn ja der ein oder andere noch im Abo.

Wie wärs mit savr.de ? Dort kann man online seine Passwörter verwalten, das ganze läuft über eine HTTPS-Verbindung und einer sicheren Verschlüsselung der eingegebenen Daten.

 

[Atelis]

also mein firefox kann die "identität von plesk als vertrauenswürdige webseite nicht bestätigen"...
ich würde sowas nicht machen - der sicherste platz ist immernoch in meinem kopf.

 

[DivDax]

Eine Passwortverwaltung mit PHP/MySQL zu realisieren sollte kein Problem sein.
Die Daten sollte man zur Sicherheit allerdings nur verschlüsselt (AES 128bit) speichern.

SHA1 oder MD5 wäre bei einer Passwortverwaltung nicht sehr nützlich, da dies nur eine
"Einwegverschlüsselung" ist. Gespeicherte Passwörter könnten somit nicht mehr eingesehen werden.

 

[AgentSmith]

Wie wärs mit savr.de ? Dort kann man online seine Passwörter verwalten, das ganze läuft über eine HTTPS-Verbindung und einer sicheren Verschlüsselung der eingegebenen Daten.

Bevor ich einem fremden Dienst meine Passwörter sage, riskiere ich lieber einen Gedächtnisverlust, nach welchem ich mich nirgends mehr Einloggen kann. Mir wurst, ob die HTTPS anbeiten und die Daten verschlüsselt speichern.. wenn ich mir die Passwörter dort wieder anzeigen lassen kann, dann sind sie entschlüsselbar gespeichert -> unsicher.

 

[DivDax]

Ich hätte auch ein eher unwohles Gefühl dabei meine Passwörter bei einem solchen Dienst zu speichern, aber seit wann ist AES 256bit unsicher?

 

[Herr Sin]

Aber nochmals die Frage: Kennt jemand ein Script, welches man bei seinem eigenen Provider (oder auf dem eigenen Rechner) mittels PHP & MySQL installieren kann und komfortabel seine Passwörter verwalten kann?

 

[AgentSmith]

Klick, ist aber keine Freeware.

 

[tjp]

Aber nochmals die Frage: Kennt jemand ein Script, welches man bei seinem eigenen Provider (oder auf dem eigenen Rechner) mittels PHP & MySQL installieren kann und komfortabel seine Passwörter verwalten kann?

PHP und sicher ist nicht miteinander vereinbar. Offline in einem Heft ist alle mal sicherer als auf dem Computer!

 

[Herr Sin]

PHP und sicher ist nicht miteinander vereinbar.

Auch nicht, wenn die Passwörter in der Datenbank verschlüsselt liegen? Was sind da die Schwachstellen (vielleicht versteh ich es ja sogar - habe nämlich nicht den großen Plan von PHP & Sicherheit)?

 

[AgentSmith]

Auch nicht, wenn die Passwörter in der Datenbank verschlüsselt liegen? Was sind da die Schwachstellen (vielleicht versteh ich es ja sogar - habe nämlich nicht den großen Plan von PHP & Sicherheit)?

Eigentlich ganz einfach: Verschlüsselt ist im Grunde nur dann sicher, wenn es eine Einweg-Verschlüsselung ist. So eine wird zum Beispiel hier im Forum benutzt, für das Benutzerkennwort. (Und zwar für gewöhnlich diese Variante: MD5)
Bei der Registrierung wird das Passwort, dass du angibst, mit einer Verschlüsselung, die man nicht wieder umkehren kann, in der Datenbank abgespeichert, ein sogenannter "Hash" deines Passworts ist das. Jedes mal, wenn du dich dann hier einloggst, gibst du dein Passwort zwar wieder "normal" an, aber intern passiert Folgendes: Das, was du beim aktuellen Einlog-Voersuch angegeben hast, wird wieder mit derselben Methode verschlüsselt und dann mit dem gespeicherten Hash verglichen. Nur in dem Fall, dass das Kennwort, dass du beim Einloggen angegeben hast dasselbe wie bei der Registrierung war, stimmen auch die Hashes überein, und du wirst eingeloggt. Aber vom Hash ist es trotzdem unmöglich einen Rückschluss auf das Klartext-PW zu ziehen. Das ist dann eigentlich ziemlich sicher, ohne BruteForce keine Chance, da was zu knacken.

Bei einer Passwortverwaltung müsste man sich ja aber die Passwörter wieder im Klartext anzeigen lassen können, also kann man sie nicht mit einer Einwegverschlüsselung speichern, sondern muss eine Verschlüsselung wählen, die auch wieder rückgängig zu machen ist. Und das ist per se deutlich unsicherer als Hashes zu verwenden.

Eine wirklich gute (AES z.B.) Verschlüsselung, eine richtig gutes Masterpasswort und eine über SSL laufende Verbindung würden es schon SEHR, sehr sicher machen, klar.
Aber die wenigsten PHP-Anwendung genügen diesen Ansprüchen, da hat tjp schon Recht.

 

[Skeeve]

Bevor ich einem fremden Dienst meine Passwörter sage, riskiere ich lieber einen Gedächtnisverlust,

Genau! Andererseits: Was spricht dagegen, die Passworte dort "verschlüsselt" zu speichern?

Beispiel: Mein Passwort ist "0b371><". Ich speichere "Der dicke Freund" und schon weiß ich wieder, was mein Passwort ist Ihr auch?

 

[AgentSmith]

Beispiel: Mein Passwort ist "0b371><". Ich speichere "Der dicke Freund" und schon weiß ich wieder, was mein Passwort ist Ihr auch?

Das ist natürlich echt keine schlechte Idee, ja. Aber dann brauche ich ja bei mir auch irgendwie wieder eine Liste, was wofür steht, und der Komfort, den sich viele von so einem Online-Passwort-Manager wünschen, geht wieder flöten.