Arcardys Authentifizierungsalgorithmen

MR 20160410T01:04:29Z 000 <arcardy@webchat> root?!
MR 20160410T01:04:35Z 000 <arcardy@webchat> https://orakel.has.enough.coffee/everyware/e2f2baf0-85d4-464a-8977-a40445d99337
MR 20160410T01:04:38Z 000 <Lulu> So weit ist noch niemand in die Tiefen des Weltalls vorgedrungen. :D
MR 20160410T01:04:41Z 000 <arcardy@webchat> wieso verschlüsselung?
MR 20160410T01:04:44Z 000 <sebulon@webchat> denn das, was über dieses Wurmloch von einer Ebene in die andere eingespeist wird, bestimmt auch, was die galaxie beinhaltet
MR 20160410T01:04:51Z 000 <sebulon@webchat> ^^
MR 20160410T01:04:53Z 000 <arcardy@webchat> ich habe gesagt passwörter mit sha1 hashen und in die datenbank
MR 20160410T01:05:06Z 000 <Lulu> Das ist 1:!
MR 20160410T01:05:09Z 000 <arcardy@webchat> das ist keine verschlüsselung, meine güte..
MR 20160410T01:05:09Z 000 <Lulu> *1:1
MR 20160410T01:05:52Z 000 <sebulon@webchat> ich verschlüsse mit Aie, das ist viel besser
MR 20160410T01:06:39Z 000 <Lulu> arcardy@webchat: Wo willste bei PGP eig. den Private-Key speichern?
MR 20160410T01:06:52Z 000 <arcardy@webchat> auf meienm rechner
MR 20160410T01:06:59Z 000 <Lulu> Die PW per PGP versclüsselt zu speichern ist ja schon mal was.
MR 20160410T01:07:01Z 000 <arcardy@webchat> den public kesy dann in meine forensignatur oder so
MR 20160410T01:07:05Z 000 <arcardy@webchat> nein
MR 20160410T01:07:10Z 000 <arcardy@webchat> die passwörter per sha1 hashen
MR 20160410T01:07:17Z 000 <arcardy@webchat> und geheimen dateien per pgp 4096
MR 20160410T01:07:19Z 000 <arcardy@webchat> meine güte
MR 20160410T01:07:28Z 000 <Lulu> Und damit machts wieder 0 Sinn.
MR 20160410T01:07:32Z 000 <arcardy@webchat> ihr versteht mich nicht das sind unterschiedliche sachen
MR 20160410T01:07:34Z 000 <arcardy@webchat> lulu du verstehst mcih nich
MR 20160410T01:07:55Z 000 <Lulu> Dann erklär mal.
MR 20160410T01:08:09Z 000 <arcardy@webchat> so.. thema: wie speichere ich passwörter in meiner mssql datenbank
MR 20160410T01:08:24Z 000 <arcardy@webchat> schritt 1: formular erstellen und escape zeichen verbieten.
MR 20160410T01:08:38Z 000 <arcardy@webchat> schritt 2: das eigegebene passwort per sha1 hashen
MR 20160410T01:08:45Z 000 <root> Schritt 1 ist schonmal falsch
MR 20160410T01:08:46Z 000 <sebulon@webchat> das ist wie wenn du deine Tür abschließt, zum briefkasten gehst und den schlüssel reinwirfst...
MR 20160410T01:08:48Z 000 <Lulu> 1) Warum Zeichen verbieten?
MR 20160410T01:08:52Z 000 <gatheringxp> schritt 2: per password_hash() einen wirklich SICHEREN Hash erstellen
MR 20160410T01:09:00Z 000 <arcardy@webchat> schritt 3: das eingegebene passwort mit dem hash aus der datenabk vergleichen, der bei der registrierung verwendet wurde
MR 20160410T01:09:11Z 000 <root> wie sieht es aus mit Salt usw?
MR 20160410T01:09:17Z 000 <arcardy@webchat> also wenn er sich registrit hat wird der sha1 hash des passworts in der mssql datenbank gespeichert
MR 20160410T01:09:40Z 000 <Lulu> Uuuuuund du bist raus.
MR 20160410T01:09:41Z 000 <arcardy@webchat> ja dann nimm md5
MR 20160410T01:09:46Z 000 <arcardy@webchat> nööö
MR 20160410T01:09:49Z 000 <arcardy@webchat> wieso denn? :D
MR 20160410T01:10:05Z 000 <Lulu> Uuuuuuuund md5 bist du noch mehr raus.
MR 20160410T01:10:11Z 000 <arcardy@webchat> ja sha1 iust outdated
MR 20160410T01:10:13Z 000 <gatheringxp> Arcardy - Extra für Leute wie dich wurde password_hash() erfunden. Hör auf den Entwicklern ins Gesicht zu spucken und nutz es!
MR 20160410T01:10:13Z 000 <arcardy@webchat> nimm was anderes
MR 20160410T01:10:15Z 000 <arcardy@webchat> meine güte
MR 20160410T01:10:22Z 000 <arcardy@webchat> ok mach ich
MR 20160410T01:10:31Z 000 <arcardy@webchat> danke für den tipp, endlich mal ein kompetenter entwickler
MR 20160410T01:11:01Z 000 <Lulu> Der dir auch nicht md5 und sha1 empfiehlt. ;)
MR 20160410T01:11:11Z 000 <arcardy@webchat> jaaa
MR 20160410T01:11:20Z 000 <arcardy@webchat> ich weiß sha1 ist outdated aber im prinzip stimmt meine lösung
MR 20160410T01:11:26Z 000 <arcardy@webchat> dann nehm ich password hash und dann ist alles gut
MR 20160410T01:12:35Z 000 <Lulu> /me wollte grade schreiben "Du bist dem Kevin entgangen".
MR 20160410T01:12:41Z 000 <Lulu> Aber ne, noch lange nicht.
MR 20160410T01:12:47Z 000 <sebulon@webchat> ich find mein Aie-system immer noch besser
MR 20160410T01:13:12Z 000 <sebulon@webchat> Aie == Alea iacta est
MR 20160410T01:13:24Z 000 <Lulu> Wozu eig Passwörter? Ein Zertifikat wäre auch nett. ^^
MR 20160410T01:13:54Z 000 <root> Auth mit Client-Cert? Das überfordert doch die Leute …
MR 20160410T01:14:09Z 000 <Lulu> Ist doch _sein_ arcardyware
MR 20160410T01:14:15Z 000 <root> und so wirklich sicherer wirds dadurch wohl auch nicht …
MR 20160410T01:14:24Z 000 <sebulon@webchat> noch besser, tetris
MR 20160410T01:14:40Z 000 <sebulon@webchat> die leute müssen jedes mal tetris mindestens bis level 50 spielen
MR 20160410T01:14:51Z 000 <Lulu> root: Mein Zertifiat für bw5rws.tk gilt btw ach noch bestimmt n 3/4 Jahr. :D
MR 20160410T01:14:55Z 000 <sebulon@webchat> und müssen bei jedem authentifizierungsvorgang genau dieselbe abfolge der steine packen
MR 20160410T01:15:08Z 000 <root> Lulu: :)
MR 20160410T01:16:25Z 000 <sebulon@webchat> oder noch besser
MR 20160410T01:16:30Z 000 <sebulon@webchat> eine 3wege authentifizierung
MR 20160410T01:17:23Z 000 <sebulon@webchat> per Email das bild vom Iris-scan
MR 20160410T01:17:33Z 000 <sebulon@webchat> per SMS das passwort
MR 20160410T01:18:09Z 000 <sebulon@webchat> und per Post den stuhlgang der mit dem geigerzähler auf ebenmäßigen Kernzerfall geprüft wird
MR 20160410T01:18:18Z 000 <sebulon@webchat> das sollte individuell genug sein
MR 20160410T01:19:30Z 000 <gatheringxp> Und dann laufen die Pakete ständig aus. Der arme Bote ...
MR 20160410T01:19:45Z 000 <root> sebulon@webchat: du meinst den Kirschkernzerfall?