Hallo, Ich hab heute das Geld einbezahlt und hoffe das es bald hier ist .
Aber zu was anderem . Kann und darf ich die Verschlüsselung ändern ? Irgendwo steht ja in den AGBs oder so , das ich an der Software nichts verändern darf ?

Trifft das zu - ja - nein - , hab ich mich verlesen ?
Und falls ich die Verschlüsselung ändern darf ?
Welche findet ihr am besten ?
Blowfish ?
Twofish ?

Danke !

Von welcher Verschlüsselung redest Du?

von der wie die in der Datenbank abgespeichert werden ? Gibt es etwa mehrere ? - also ich meine wo werden sonst noch dinge verschlüsselt ???

Redest du von den Passwörtern?
Und klar darfst du deine Installation ändern. Nur weiter geben darfst du die Dateien nicht.

ja klar rede ich von den passwörtern ;) Deswegen war ich erstaunt wie mich andreas fragte was denn ? Wird etwa mehrers Verschlüsselt außer die passwörter ?

An sich nicht, nur ist dein ersters Sposting derart wirr, dass man es mehrfach lesen muss, um zu verstehen, auf was du hinaus möchtest ...

da die Passwörter mit einem Salt gespeichert werden, ist das denke ich vergeblicher Aufwand, da Anhand einer rainbow table hier eh nichts zu reißen ist

Ein Hash ist für mich keine Verschlüsselung - daher habe ich gefragt.

Du kannst und darfst das verwendete Hash-Verfahren ändern - allerdings dürfte das recht aufwändig sein.

vBulletin verwendet ja MD5 oder ? das kann man ja recht "schnell" knacken .

mit genannten Tabellen, was aber durch den Salt verhindert wird, somit eigentlich den Aufwand nicht Wert

vBulletin verwendet ja MD5 oder ? das kann man ja recht "schnell" knacken .
also ich habe gehört das es Methoden geben soll, mit dennen man MD5 (Das ist ein Fingerabdruck eines Strings oder einer Datei) zurück rechnen kann.
Aber dazu müsste ein Hacker an die Usertabelle kommen.

Die Schwachstelle hier ist Brutforce, die das Passwort knacken soll und das ist im vB garnicht mal so leiucht, da maximal 15 Login versuche möglich sind pro user, und dieser dann für 10 minuten gespeert wird.

nein , das stimmt "so" nicht. Wenn der "hacker" einmal an den Hash gekommen ist , brutet er ihn . Er wird nicht direkt ins Forum "reinbruten" ... Sondern wenn der Hash = 6f1as8f1as4rdfwa , dann wird er das bei seinem PC schön bruten .

Ab da hat das dann nichts mehr mit vBulletin zu tun ! ..
Denk ich halt mal .. ;)

der Hash ist nicht das Passwort!
sondern

Hash = md5( $individuellerSalt . md5($eigentlichesPW))

somit kannst du das nix ausbrühten ;)

aber der hash wird "durch das p.w." errechnet .. und wenn ( z.b. ) man es nur einmal md5 verschlüsselen würde , hätte gleiche p.w. gleiche hashes ..

njein
du meinst das
md5( $individuellerSalt . md5($eigentlichesPW))
an diesen kryptischen Hash (welchen man "theoretisch" in Erfahrung bringen könnte) wird der salt angehängt und daraus ein neuer Hash errechent welcher dann als Prüfsumme gespeichert wird

um das knacken zu können bräuchtest du eine Tabelle mit allen Passwörtern als md5-hash wo wiederum Jedes mit einer Salterweiterung als md5 hash vorliegen

wenn das PW hase + "tw26dh" der salt, ist dein in der DB abgespeicherter Hash nach deiner "Entschlüsselung" womöglich Jäger

nur ist (Jäger + "tw26dh") eben nicht (hase + "tw26dh") sondern ergibt wieder was ganz anderes

aber sieh einfach mal
http://de.wikipedia.org/wiki/Salz_(Kryptologie)

Du kannst aber immernoch die Verschlüsselung ändern wenn du meinst das es was bringt, nur nicht vergessen das Feld des Hashes auf die neue Länger anzupassen (md5 hat ja nur 32 stellen)

tja macht doch mal vorstellungen ?
Nen eigernen salted entwickelen oder eben blowfish ?

1) Mit einem Brute-Force-Angriff kannn man jede Verschlpüsselung knacken - wenn man genügend Rechenleistung und Zeit hat
2) Blowfish ist kein Hash-Algorithmus

aber eine Verschlüsselungsmethode ...

Ähmm..also hat wer ne idee ?

Ich denke, an dieser Stelle sollte dieses Thema ein Ende finden, denn es hat nichts mit "vBulletin Vor dem Kauf" zu tun. Bezogen auf das vBulletin wärest du in einem der Hackforen besser aufgehoben oder du wendest dich an eines der PHP- / MySQL-Foren, die es auch zu Genüge im Netz zu finden gibt.

nö das sehe ich anders.
Es hat mit vB zu tun . Ich will eure Erfahrungen hören !
Und in kein "Hackerboard" gehen ! :) aber oke..

Und in kein "Hackerboard" gehen ! :) aber oke..


Er meinte damit die Seiten www.vbulletin.org und www.vbhacks-germany.org (http://www.vbhacks-germany.org)

aso..sorry ^^ :D

Also, die Methode von vb reicht doch völlig aus - es sei den du bist beim KGB / BND oder CIA und willst das erste offizielle Spionage-Forum eröffnen....:)

Geh das doch mal logisch an: Schwachstelle Nr. 1 ist dein Passwortwahl, verwende sowas wie "Auto" oder "Eis" etc. dann heißt es gute Nacht, egal wie sehr du dein PW in der DB "verschleiert" hast...aber das weißt du sicherlich ja. ;)

Zweitens und sehr, sehr, sehr wichtig ist der Zugang zur DB den hier stehen alle sensiblen Daten drin (PN, nicht öffentliche Threads usw.). Als Forenbetreiber solltest du schauen das gerade hier ein vernünftiges PW und weitere Möglichkeiten zur Sicherheit gewählt worden sind.

Bevor du dir einen abbrichst und vb gleich neu programmieren musst, setzt lieber da an wo es wirklich wichtig ist: gute & lange Passwort die häufig gewechselt werden, sicherer Server, nix illegales machen, Regelmäßige Backups usw. Dann kann man abends auch in ruhe schlafen ;)

MFG Pagan

leider hab ich kein eigernen server und muss wo hosten :(( Hätte so gern nen eigernen server.. .. ähmm ... nene ist mir klar @passwortwahl... @DB sichern .. gut, leider hab ich da ned viel möglichkeiten außer gutes p.w. ?! vllt schick mir mal ICQ nummer.. (wenn du willst.: ) können dann ja mal reden ..

Ich denke, an dieser Stelle sollte dieses Thema ein Ende finden, denn es hat nichts mit "vBulletin Vor dem Kauf" zu tun. Bezogen auf das vBulletin wärest du in einem der Hackforen besser aufgehoben oder du wendest dich an eines der PHP- / MySQL-Foren, die es auch zu Genüge im Netz zu finden gibt.

dito

nö das sehe ich anders.
Es hat mit vB zu tun . Ich will eure Erfahrungen hören !
Und in kein "Hackerboard" gehen ! :) aber oke..

wenn hat es mit einer methode zu tun die vb nutzt aber wie Alluidh schon sagte, ist absolut kein Thema für "Vor dem Kauf" .

Ich will nur mal kurz noch was sagen El Kassam.

Was ich meinte ist, das, solange die Usertabelle nicht in falsche Hände gerät, es einem nichts nützt ein md5 Hash zurück zu rechnen. Um effektiv gegen dein Forum vor zugehen um an die Benutzerdaten zu kommen, müsste er erst mal dein Passwort knacken, oder eben das von der Datenbank. Wenn diese gut sind, kann ein Brutforceangriff mehrere Jahre dauern. Das alles steigt potentiel zur Anzahl der verwendeten Zeichen und länge. So sollte heute ein Passwort mindestens aus Groß und Kleinbuchstaben bestehen sowie zahlen. Das macht dann schon 62 mögliche Zeichen. Auf 8 Stellen wären es 62^8 = 218340105584896 Möglichkeiten. Bei 10000000 Eingaben durch Brutforce pro Sekunde. Würde es hier knapp 2 Tage dauern. Nehmen wir jetzt 10 Sonderzeichen noch dazu erhöht es sich auf 2 Jahre. Nehmen wir jetzt schon 10 Stelle bei 72 Zeichen würde es jetzt schon mehr als 1000 Jahre dauern das Passwort zu knacken. Wir gehen hier immer von Brutforce aus, und das was wir als normalsterblicher als Hardware haben. Kurz um, solange du dein Passwort nicht weiter gibst und einer nicht an die Benutzertabelle kommt, ist das Forum soweit sicher. Kritisch wird es erst wenn er an die Benutzer tabelle kommt oder der Brutforce angriff erfolgreich war, letzeres wird aber durch die Anmeldespeere vom vB auch schon effektiv geblockt.

Es gibt aus technischer Sicht keinen sinnvollen Grund, warum man die Hashmethode, mit der vBulletin die Passwörter schützt, ersetzen sollte. Es wird ja eben doppeltes MD5 mit Salz verwendet - dagegen sind normale MD5 Rainbow Tables unbrauchbar (überhaupt alle Rainbow Tables) und das Zurückrechnen ist selbst mit Großrechnern zu aufwendig.

Der Angreifer müsste schon Passwort UND Salz in Erfahrung bringen, wass er aber nur schafft, wenn er vollen Datenbankzugriff hat - und in dem Fall wäre eh schon alles verloren.

Fazit: Die verwendete Methode gilt als sicher und braucht nicht ersetzt zu werden. :)