Sollte man ein Passwort aus Sicherheitsgründen nur in MySQL-Datenbanken speichern?

... komplette Frage anzeigen

5 Antworten

Du solltest das PW auf jeden Fall nur als Hash speichern (am besten in Kombination mit einem Salt), dann macht es auch kaum einen Unterschied ob du diesen Hash direkt in der PHP Datei speicherst (so lange der Server richtig funktioniert bekommt das ja sowieso niemand zu Gesicht) oder in einer Datenbank, bei mehreren Usern würde sich eine Datebank aber allein schon aus praktischen Gründen anbieten.

Wie man das mit dem Passwort hashing macht wird z.B. hier erklärt: http://php.net/manual/de/faq.passwords.php

Antwort bewerten Vielen Dank für Deine Bewertung

Das Passwort nie direkt hinterlegen, sondern Hash und Salt verwenden.

Das Passwort auch nicht im Code hinterlegen, weil es leicht ist, mal einen Fehler zu machen, und dann können die Leute Deinen PHP Code lesen. Wenn da dann das PW drinnensteht, dann hast Du ein Problem.

Antwort bewerten Vielen Dank für Deine Bewertung

In Scripten haben Passwörter in Klartext nichts verloren, höchstens als UD5.

Auch in Datenbanken sollten Passwörter nicht unverschlüsselt liegen.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von LeonardM
20.10.2016, 21:43

meinst wohl eher hash und nicht Verschlüsselung

0

Wäre praktikabler wenns mehrere daten sind aber an sich theoretisch wenn verbindung zwischen db und php abgefangen wird unsicher. Ausserdem sollte in der db nur der hash vom passwort stehen den php eben erzeugt

Antwort bewerten Vielen Dank für Deine Bewertung

Das Passwort gar nicht ablegen. Einen mit einem aktuellen Algorithmus erstellten Hash ablegen. Ja, ich würde das mit in die Datenbank packen. Ich weiß, viele CMS machen das so. Ich bin aber kein Profi...

Antwort bewerten Vielen Dank für Deine Bewertung