Wie werden im Shop die Passwörter verschlüselt?

[0815]

Hallo,

da ich Post vom Landesdatenschutzbeauftragten erhalten habe und u.a. die Verschlüsselung der Kundenpasswörter ein Thema sind, würde ich gerne wissen, wie diese Daten im Shop Shopsystem verschlüsselt/gespeichert werden.

Im bisherigen Schriftverkehr habe ich mitgeteilt, dass die Passwörter als MD5-Hashwert in der Datenbank gespeichert werden.
Ist diese Aussage richtig?

Linkback: https://www.modified-shop.org/forum/index.php?topic=30899.0

[Fubu]

Hallo,
das sollte MD5 sein

ist lesenswert: BETA MODUL: Passwörter sicherer Verschlüsseln mit PHPass

[0815]

Zu MD5 hat mir der Landesdatenschutzbeauftragte mitgeteilt, dass der Hash-Algortihmus MD5 veraltet ist und bekannte Schwächen aufweist. Er entspricht nicht dem aktuellen Stand der Technik gemäß den Empfehlungen des BSI.
Hinweise zum aktuellen Kenntnisstand in Sachen Hash-Algortihmus findet man in den technischen Richtlinien zu kryptographischen Verfahren des BSI auf S. 38 --> http://srlp.de/6jk

Ich wurde aufgefordert, diese kritische Sicherheitslücke bis zum 01.12.2014 zu schließen.

[Ceciro]

Wenn du dem Link von Fubu folgst...

hast du in 10 Minuten 60 stellige Passwörter (statt 32) in der Datenbank. Dort ist auch ein Hintergrundartikel zur MD5 Problematik als Link hinterlegt.

Gruß Cicero

[0815]

Hallo,

ich habe das nur überflogen, weil ich erst später die Zeit dazu habe, mich mit dem Thema ausführlicher zu beschäftigen.

Was mich kurzfristig brennend interessiert hatte, war die Frage, ob der modified aktuell eine Verschlüsselung verwendet, von der BSI und Landesdatenschutzbeauftragter abraten, bzw. mich zur Änderung auffordern.

Dem scheint zu meiner Verwunderung wohl so zu sein.

Danke schon mal für die Links.

[Fubu]

ich denke in der 2er Version sollte das MD5 geändert sein.

Das ist z.B. ein Grund warum ich noch nicht Update.

Naja wir haben jetzt 2014 Angekündigt wurde die 2er 2013, bau dir das schnellstens ein sonst könnte es teuer werden

Ich muß auch noch zum Anwalt und da kann ich Ihn gleich mal Fragen ob muß oder nicht.

[noRiddle (revilonetz)]

...
Ich wurde aufgefordert, diese kritische Sicherheitslücke bis zum 01.12.2014 zu schließen.

Das ist nicht wirklich eine Sicherheitslücke, und schon gar keine kritische. Der Datenschutzbeauftragte hat einfach nur nachgeplappert was er irgendwo gelesen hat.
Eine Sicherheitslücke sind zu kurze Passworte und das Bestehen derselben aus nachvollziehbaren Zeichenfolgen.

Würde ein Shop gehackt und Zugriff auf die Datenbank erlangt, wäre es unter Umständen etwas einfacher von den md5-Passworten durch Querschlüsse einige zu knacken, unter anderem, bei einfachen Passworten,  auch mittels Rainbow-Tables, als es mit SHA-1 und Salt Hashes o.ä. möglich wäre.

Eine wirkliche Sicherheitsverbesserung wäre den Kunden zu zwingen sein Passwort mit einer bestimmten Zeichnanzahl und dem Vorkommen von Zeichen aus bestimmten Kategorien zu wählen
(z.B. min.1 Groß.- mind. ein Kleinbuchstabe, mind. eine Zahl, mind. ein nicht alphanumerisches Zeichen
(z.B. (, /, ')).

Daß ein solches Vorgehen manchen Zeitgenossen davon abhält überhaupt ein Kundenkonto zu erstellen ist dabei nicht beachtet.

Gruß,
noRiddle

[0815]

ich denke in der 2er Version sollte das MD5 geändert sein.

Das ist z.B. ein Grund warum ich noch nicht Update.

Sorry, aber ich verstehe bei Deinem Beitrag leider nur Bahnhof.

Welche 2er Version? Und warum machst Du kein Update wenn es in der "2er Version" (?) geändert wurde?

 :

[noRiddle (revilonetz)]

Er redet von der kommenden modified-Version 2.0.
Mit "noch nicht upgedatet" meint er wohl, daß er nicht auf 1.06 geht bis die 2.0 kommt um nicht 2 x updaten zu müssen (habe ich so gedeutet weil es sonst keinen Sinn macht).

Gruß,
noRiddle

[Fubu]

meint er wohl, daß er nicht auf 1.06 geht bis die 2.0 kommt um nicht 2 x updaten zu müssen

richtisch