Mehr Sicherheit für Passwörter in Datenbank

equinox 2014-02-03 21:59:23 UTC #1

Guten Tag,

das hier ist ein rein theoretischer Post der durch mein Studium inspiriert wurde:

Im Status Quo von EGroupware werden die Passwörter lediglich per MD5 gehashed und in der Datenbank abgelegt. In Augen der Sicherheit ist das ein ziemlich veraltetes Verfahren. Warum gibt es keine Verwendung von “salted” oder sogar “peppered” Hashverfahren? Für die Benutzung des Unternehmens in dem ich arbeite ist das gar nicht mal so relevant aber so wie ich das mitbekommen habe wird EGroupware ja auch von recht großen Unternehmen/Behörden genutzt. Warum ist in der hinsicht EGroupware so weit zurück?

Grüße,
equinox

Ralf_Becker_Stylite 2014-02-04 11:03:30 UTC #2

Hi Equinox,

keine Ahnung woher Du Deine Informationen beziehst:

EGroupware verwendet seit dem 1.8.004 Update vom 5. April 2012 keine md5
Hashs mehr als Vorgabe für neue Installationen.

Mit dem 1.8.004 Update haben wir auch eine automatische Migration auf
das sicherste auf dem System verfügbare Verfahren angestoßen.

Das war bei 1.8.004 sha256-crypt und ist seit 1.8.005 blowfish-crypt.
Das wird auch automatisch für neue Installationen verwendet.

Auszug das dem 1.8.004 Changelog:

egroupware (1.8.004.20120405) hardy; urgency=low

SECURITY: fix for a XSS (cross-site-scripting) vulnerability, it is
recommended to update ASAP!
REQUIRES TO VISIT SETUP for schema updates
more secure password hashing types: sha512_crypt and sha256_crypt
enable automatic migration to sha512_crypt if accounts in SQL or
LDAP (but only on Linux, as OpenLDAP has no native support for it)

EGroupware ist also nicht weit zurück sondern war deutlich vor den
meisten ähnlichen Projekten!

Ralf

Guten Tag,

das hier ist ein rein theoretischer Post der durch mein Studium inspiriert
wurde:

Im Status Quo von EGroupware werden die Passwörter lediglich per MD5
gehashed und in der Datenbank abgelegt. In Augen der Sicherheit ist das ein
ziemlich veraltetes Verfahren. Warum gibt es keine Verwendung von "salted"
oder sogar “peppered” Hashverfahren? Für die Benutzung des Unternehmens in
dem ich arbeite ist das gar nicht mal so relevant aber so wie ich das
mitbekommen habe wird EGroupware ja auch von recht großen
Unternehmen/Behörden genutzt. Warum ist in der hinsicht EGroupware so weit
zurück?

Grüße,
equinox

–
View this message in context: http://egroupware.219119.n3.nabble.com/Mehr-Sicherheit-fur-Passworter-in-Datenbank-tp3995588.html
Sent from the egroupware-german mailing list archive at Nabble.com.

Managing the Performance of Cloud-Based Applications
Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.
Read the Whitepaper.
http://pubads.g.doubleclick.net/gampad/clk?id=121051231&iu=/4140/ostg.clktrk

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german

–
Ralf Becker
Director Software Development

Stylite AG

Morschheimer Strasse 15 | Tel. +49 6352 70629 0
D-67292 Kirchheimbolanden | Fax. +49 6352 70629 30

Email: rb@stylite.de

www.stylite.de | www.egroupware.org

Managing Directors: Andre Keller | Ralf Becker | Gudrun Mueller
Chairman of the supervisory board: Prof. Dr. Birger Leon Kropshofer

VAT DE214280951 | Registered HRB 31158 Kaiserslautern Germany

Managing the Performance of Cloud-Based Applications
Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.
Read the Whitepaper.
http://pubads.g.doubleclick.net/gampad/clk?id=121051231&iu=/4140/ostg.clktrk

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german

equinox 2014-02-04 13:03:43 UTC #3

Ja ich sehe ich muss mich wohl entschuldigen, der Fehler lag auch meinerseits, wenn die eigene Anwendung immernoch auf md5 konfiguriert ist und man das nicht im vorhinein mal überprüft habe.
Als mir der Gedanke kam habe ich auch mcih auch auf ein Testsystem gestützt, welches noch eine veraltete Version nutzte, was mir bis gerade gar nicht aufgefallen ist.
Aber immer wieder gut eines besseren belehrt zu werden.

Mit freundlichen Grüßen,
equionx