Passwörter sicher speichern

Im Blog www.php-einfach.de kann man lesen, dass ein Laptop nicht mal eine Sekunde braucht, um 1 Millionen Hashs mit einem bestimmten Passwort zu vergleichen (ein Hash ist die Verschlüsselung eines Passworts). Mit leistungsfähiger Hardware können rund 8,5 Milliarden MD5-Hashs oder 3 Milliarden SHA1-Hashs pro Sekunde mit einem Passwort verglichen werden. Dass die Methoden MD5 und SHA1 nicht sicher genug sind, hat sich aber noch nicht rumgesprochen.

Die bessere Methode steht mit der PHP-Version 5.5 zur Verfügung. Ein starker Algorithmus, der ständige Wechsel des Hashs für ein und das selbe Passwort und die Verhinderung unendlicher Passwort/Hash-Abfragen dürfte es Hackern in Zukunft schwer(er) machen, sich in die Datenbank einzuloggen und Schaden anzurichten.

php-einfach.de bietet nicht nur Informationen zum Thema, sondern auch Lösungen. Für einen Newsletter liefert dieser Blog alle Scripts, die erforderlich sind, um Datenklau und Datenlöschung durch Angreifer zu verhindern.

Natürlich kann man das Subscriben und Unsubscriben auch per Email betreiben. Die Methode ist nicht besonders unsicher, weil die Authentifizierung über die Emailadresse erfolgt. Aber erstens funktioniert das nicht mit allen Browsern (z.B. Safira) und zweitens wissen viele Abonennten nicht mehr, mit welcher Emailadresse sie sich angemeldet hatten. Die Aktualisierung des Adressenmaterials lässt sich auch mit dieser Methode betreiben, wenn das Newsletter-Programm es unterstützt. Die Datenbank-Methode dürfte eleganter sein. Der Anschluss an das Newsletter-Programm kann direkt erfolgen oder über die Windows-Schnittstelle ODBC.