crypt() Problem

[simcen]

Hallo Zusammen

In einer Tabelle wird in einer Spalte den Usern ihre Passwört mit crypt() verschlüsselt gespeichert.

Um den ultimativen Komfort zu bieten, habe ich ein "Passwort ändern" Script gebastelt.

Das Problem ist jetzt, dass crypt() bei jedem Aufruf einen anderen String ausgibt, obwohl jedesmal der selbe Parameter angegeben wird (ist halt der Sinn von crypt() ).

Die User müssen bei mir ihr altes Passwort, und 2mal ihr neues Angeben. Aber das Problem, wie gesagt, meistens stimmen die verschlüsselten Passwörter nicht überein.

Hat jemand eine Idee wie ich das lösen kann? Leider kann ich nicht auf ein anderes Verschlüsselungs-Verfahren umsteigen.

MFG epox

[simcen]

Habs rausgefunden =)

Bei crypt() als 2. Parameter einfach das schon verschlüsselte (aus der DB) Passwort angeben.

Funzt =)

[outofbound]

http://de3.php.net/manual/en/function.crypt.php

bitte lernen, was ein salt ist. ;)

Gruss,

Out

[simcen]

genau von da hab ich das ganze. Zuerst hatte ich keine Ahnung was salt ist, doch als ich die Kommentare durchgelesen habe, wurde es mir klar =)

Edit: Auf der englischen Site hab ich sogar ein Beispiel gefunden, was mein Problem gelöst hätte. *von jetzt an nurnoch englisch les*

[standbye]

kauf dir md5 ;))

[outofbound]

Standbye: Ihhh... veraltet... SHA-1... md5 ist "theoretically prooven vulnerable"

Gruss,

Out ;)

[simcen]

crypt() ist sicherer und wird von postfix benutzt, also kann ich nicht einfach md5 passwörter in die db speichern =)

[outofbound]

crypt() ist per default NICHT sicherer, im GEGENTEIL.

und das postfix kein md5 kann, halte ich für ein Gerücht ;)

Gruss,

Out

[s4fuser]

md5 ist "theoretically prooven vulnerable"

Gibt's da irgendwo mehr Infos zu?

[simcen]

http://ch.php.net/manual/en/function.sha1.php
http://www.oreilly.de/artikel/php_sicherheit.html

[outofbound]

http://senderek.de/security/secret-key. ... n.html#md5

Da ist mal ein ganz netter Ansatz. ;)

Gruss,

Out