Längeeines mit crypt() erzeugten Passwortes

Hallo,

leider konnte ich auch nach länegrem "googlen" keine Antwort finden.

Ich bin dabei eine Art Benutzerverwaltung für meinen Server zu schreiben
und möchte dabei durch ein php-Formular die eingaben zu den Benutzern
machen. Diese Daten speichere ich in einer mysql DB.

Um aber die DB korrekt designen zu können muss ich wissen wie lang ein mit
crypt() erzeugtes Passwort maximal werden kann.

Ein mit md5() erzeugtes Passwort hat ja immer dieselbe Länge von 32
Zeichen, nur wie ist es mit crypt()?

Ich benutze einen SuSE 9.1 mit PHP 4.3.4

Vielen Dank schonmal für eure Mühe

Liebe Grüsse
Sascha
--
end
Zwei Dinge sind unendlich: Das Universum und die menschliche Dummheit.
Aber beim Universum bin ich mir nicht ganz sicher. (Albert Einstein)

Re: Längeeines mit crypt() erzeugten Passwortes

Sascha Lebeda wrote:
> Um aber die DB korrekt designen zu können muss ich wissen wie lang ein mit
> crypt() erzeugtes Passwort maximal werden kann.

CRYPT(3)

[...]
The returned value points to the encrypted password, a series of 13
printable ASCII characters (the first two characters represent the salt
itself). [...]

Servus, Andreas

Re: Längeeines mit crypt() erzeugten Passwortes

Sascha Lebeda schrieb am 01. Nov 2004 in de.comp.lang.php.datenbanken:

> Hallo,

> leider konnte ich auch nach länegrem "googlen" keine Antwort finden.

> Ich bin dabei eine Art Benutzerverwaltung für meinen Server zu schreiben
> und möchte dabei durch ein php-Formular die eingaben zu den Benutzern
> machen. Diese Daten speichere ich in einer mysql DB.

> Um aber die DB korrekt designen zu können muss ich wissen wie lang ein mit
> crypt() erzeugtes Passwort maximal werden kann.

Man sollte Passwörter NIE ge-crypted speichern, immer md(5).
Passwärter sollten normalerweise nicht reproduzierbar sein.

(Bei "Passwort vergessen" einfach neues Passwort generieren, mit md5()
speichern und zumailen, aber NICHT auslesen und de-crypten.)

> Ein mit md5() erzeugtes Passwort hat ja immer dieselbe Länge von 32
> Zeichen, nur wie ist es mit crypt()?

s.o.

> Ich benutze einen SuSE 9.1 mit PHP 4.3.4

> Vielen Dank schonmal für eure Mühe

Nur so meine Gedanken ...

> Liebe Grüsse
> Sascha

Knut

--
Antworten bitte in die Newsgroup.

Newsoffice.de - Die Onlinesoftware zum Lesen und Schreiben im Usenet

Re: Längeeines mit crypt() erzeugten Passwortes

Zwei Dinge sind unendlich: Das Universum und die menschliche Dummheit.
Aber beim Universum bin ich mir nicht ganz sicher. (Albert Einstein)

Re: Länge eines mit crypt() erzeugten Passwortes

Knut Kohl schrieb:

> (Bei "Passwort vergessen" einfach neues Passwort generieren, mit md5()
> speichern und zumailen, aber NICHT auslesen und de-crypten.)

Wozu verschlüssel ich ein Passwort, wenn ichs dann im Klartext durchs
Netz schick?

Meinjanur...

gruss, heli

Re: Länge eines mit crypt() erzeugten Passwortes

Knut Kohl schrieb:

> Sascha Lebeda schrieb:
>> Um aber die DB korrekt designen zu können muss ich wissen wie lang ein
>> mit crypt() erzeugtes Passwort maximal werden kann.
>
> Man sollte Passwörter NIE ge-crypted speichern, immer md(5).
> Passwärter sollten normalerweise nicht reproduzierbar sein.

Du hast grundsätzlich recht. Nur ist crypt ebenso eine Einweg-Methode,
kann also nicht entschlüsselt werden.


Gruß, JPM

--
SPAMSCHUTZ: Meine E-Mail Adresse ist verschlüsselt.
Wenn Du mir per Mail antworten möchtest, führe bitte
zweimal ROT-13 auf meiner E-Mail Adresse aus.

Re: Länge eines mit crypt() erzeugten Passwortes

Sascha Lebeda schrieb:

> begin Am 03.11.2004, schrieb Knut Kohl:
>> Man sollte Passwörter NIE ge-crypted speichern, immer md(5).
>> Passwärter sollten normalerweise nicht reproduzierbar sein.
>
> Da stimme ich dir im Grundsatz ja zu, nur arbeite ich an einer Datenbank
> gestützten Benutzeradministration (aehnlich wie webmin, nur auf ein paar
> Anwendungen beschränkt). Hierbei ist es notwendig, dass ich ein vom System
> lesbares Passwort erzeuge und dies geht meineswissens nur mit crypt().

Dann erweitere Dein Wissen. ;-)
md5() existiert in PHP und auch in MySQL. Vergleiche wären kein Problem,
falls Du das meintest.

Was meinst Du eigentlich mit "vom System lesbar"? Soll es
entschlüsselbar sein? Das ginge mit crypt() eh nicht.

Gruß, JPM

--
SPAMSCHUTZ: Meine E-Mail Adresse ist verschlüsselt.
Wenn Du mir per Mail antworten möchtest, führe bitte
zweimal ROT-13 auf meiner E-Mail Adresse aus.

Re: Längeeines mit crypt() erzeugten Passwortes

Helmut Chang schrieb am 04. Nov 2004 in de.comp.lang.php.datenbanken:

> Knut Kohl schrieb:

>> (Bei "Passwort vergessen" einfach neues Passwort generieren, mit md5()
>> speichern und zumailen, aber NICHT auslesen und de-crypten.)

> Wozu verschlüssel ich ein Passwort, wenn ichs dann im Klartext durchs
> Netz schick?

Na ja, was von Klartext stand bei mir nicht ...

"neu und mailen" kann heißen:

- Einwegpasswort, welches sofort geändert werden muß
ODER
- Aktivierungslink, der Passwortneueingabe erfordert und prüft ob
Loginname und der verschlüsselte Name im Link übereinstimmen

-> Dann kann der Link zwar abgefangen werden, aber ohne den Loginnamen
kann der Account noch nicht gekapert werden.

- Das Ganze per PGP verschlüsselt versenden ...

Das ganze in Kombination, je nach Paranoia und schützenswertem Inhalt
;-)

Regards,
Knut

--
Antworten bitte in die Newsgroup.

Newsoffice.de - Die Onlinesoftware zum Lesen und Schreiben im Usenet