Closed schmijos closed 9 years ago
SHA1 ist nicht so toll, besser bcrypt oder PBKDF2. Die sind gemacht um Passwörter zu speichern.
Gibt zB hier eine Library: https://github.com/rchouinard/phpass (Habe sie selber nie getestet.)
Vorerst wird es sha1 bleiben. Laut Wikipedia gibt es (noch) keine bekannte Kollision.
Btw: Ich vermute dass die Begrenzung von 20 Zeichen eingeführt wurde als wir noch md5 verwendet hatten. Die Begrenzung von 40 in der Datenbank sollte also auch aufgehoben werden wenn man für etwas stärkeres als sha1 offen sein will.
Zum Thema bcrypt gibt es auch etwas für das eingesetzte ZF1 -> http://stackoverflow.com/questions/15432568/bcrypt-with-zend-framework-1-12-x
Das Passwort-Element hat eine Begrenzung auf 20 Zeichen. Dieses Limit sollten wir aufheben (stammt wahrscheinlich aus der Zeit als wir noch md5 verwendet hatten): https://github.com/noproblan/npl-website/blob/develop/library/Npl/Form/Element/Password.php
Siehe: https://blog.knut.me/warum-laengenbeschraenkungen-fuer-passwoerter-nichts-taugen.html Über die Passwörter bei uns: