noproblan / npl-website

Contents of the website npl.ch
4 stars 1 forks source link

Passwortlänge ist auf 20 Zeichen begrenzt #36

Closed schmijos closed 9 years ago

schmijos commented 9 years ago

Das Passwort-Element hat eine Begrenzung auf 20 Zeichen. Dieses Limit sollten wir aufheben (stammt wahrscheinlich aus der Zeit als wir noch md5 verwendet hatten): https://github.com/noproblan/npl-website/blob/develop/library/Npl/Form/Element/Password.php

Siehe: https://blog.knut.me/warum-laengenbeschraenkungen-fuer-passwoerter-nichts-taugen.html Über die Passwörter bei uns:

dbrgn commented 9 years ago

SHA1 ist nicht so toll, besser bcrypt oder PBKDF2. Die sind gemacht um Passwörter zu speichern.

Gibt zB hier eine Library: https://github.com/rchouinard/phpass (Habe sie selber nie getestet.)

dbrgn commented 9 years ago

See also: https://stackoverflow.com/questions/15663874/which-implementation-of-bcrypt-is-recommended-for-php-5-3#15664660 und https://stackoverflow.com/questions/4795385/how-do-you-use-bcrypt-for-hashing-passwords-in-php#6337021

schmijos commented 9 years ago

Vorerst wird es sha1 bleiben. Laut Wikipedia gibt es (noch) keine bekannte Kollision.

Btw: Ich vermute dass die Begrenzung von 20 Zeichen eingeführt wurde als wir noch md5 verwendet hatten. Die Begrenzung von 40 in der Datenbank sollte also auch aufgehoben werden wenn man für etwas stärkeres als sha1 offen sein will.

Chuvisco88 commented 9 years ago

Zum Thema bcrypt gibt es auch etwas für das eingesetzte ZF1 -> http://stackoverflow.com/questions/15432568/bcrypt-with-zend-framework-1-12-x