[hasch]

Hallo,
habe ein kleines Sicherheitssystem geschaffen, indem der Username und Passwort nach bestimmten Methoden verschlüsselt werden, diese können 100%ig nicht mehr entschlüsselt werden, außer mit Logik von Menschenhand, d.h. es weist mind. einem Wert zwei Buchstaben zu.
Zu meiner Frage:
Wie groß ist die Wahrscheinlichkeit, dass ein Hacker nach neuem Einwählen die gleiche IP wie die seines Opfers bekommt?
Dies wäre die einzige Sicherheitslücke bei mir, denn eine Identifikation in Verbindung mit den verschlüsselten Werten und der IP gibt den Zugang zum System, d.h. wenn ein Hacker den verschlüsselten Namen und Passwort an die URL hängt bekommt er keinen Zugang, da seine IP anders ist, wenn aber er die gleiche IP hat, wie sein bisheriges Opfer, dann bekommt er Zugang.
Würde es dafür eine Möglichkeit zur Schließung geben?

[Floele]

Zitat (hasch: 27.06.2005, 20:46)

Dies wäre die einzige Sicherheitslücke bei mir,

Von der du weißt...

Zitat (Benjamin: 27.06.2005, 20:55)

3,1962657931507848761677563491821e+38

wenn ich mich nicht verrechnet habe (hab ich aber sicherlich)

Ich bin zwar kein Experte in Sachen IPs, aber ich käme auf 1:4228250625 (nicht von IPv6 ausgehend).
Für IPv6 zitiere ich mal Wikipedia:

Zitat

Eine IPv6-Adresse ist 128 Bit lang (IPv4: 32 Bit). Damit gibt es etwa 3,4 × 10^38 IPv6-Adressen. Das bedeutet, für jeden Quadratmillimeter (!) Erdoberfläche könnten ca. 665,570793 Billiarden Adressen (6,65570793 × 1017) bereitgestellt werden.

[hasch]

Ich denke nur öffentliche Sicherheitsprobleme können behoben werden,d a viele Augen mehr als 2 sehen
Naja ich habe aber nicht alles verraten, selbst wenn der Hacker sogar mein mathematischen Methoden weiß, könnte er es nicht entschlüsseln, weil es auch noch Variablen gibt, die individuell mit einer Zahlenfolge versehen werden, d.h. es bräuchte diese auch noch, bei regelmäßigem wechseln der Folge ist es fast unmöglich diese zu knacken.
Aber die Realität beweist ja, nicht ist unmöglich - Toyota
Wie soll ich den User sonst identifizieren, wenn nicht über IP?

[Meatwad]

ja, ganz grob!

also es ist fast unmöglich! weil er müsste ja dann auch den gleichen ISP hamm, wie das opfer! also das dürfte kein problem sein!

[hasch]

OK, danke.
Habe gerade erfahren, dass AOL User häufig eine andere IP während des Surfens bekommen, entspricht dies der Wahrheit, weil dann währe meine Lösung ja für die Tonne!?

[Meatwad]

nur, wenn sie sich neu anmelden am ISP! aber prüf das doch einfach mal selber! hier kannst du deinen host und deine IP sehen!

[tavoc]

Normalerweise bekommt man bei jeder einwahl eine andere ip, ausser man hat eine feste ip, das kostet aber manchmal(meistens) extra.

Wenn du eine einzigartige nummer haben möchtest könntest du ja den pc namen oder eine nummer aus den komponenten des pcs zusammemstellen(so wie win, z.b. mainboard +cpu).

[hasch]

Irgendwie verstehe ich euch nicht mehr, es geht doch nicht um meine IP, sondern die der User, bzw. der AOL User.
Aber ich glaube, das ganze wird ziemlich sicher sein, weil ein einloggen nach 10 Fehlversuchen unmöglich ist, dann wird der Account gesperrt.
D.h. sollte der Hacker die gleiche IP des Opfers haben und versuchen irgendwelche verschlüsselten Codes an die URL zu hängen, wird der Account gesperrt, der zuletzt diese IP hatte nach 10 Fehlversuchen, d.h. es ist nur möglich auf den Account des Opfers zuzugreifen, wenn die gleiche IP und alle Zugangsdaten verfügbar sind.

Was meint ihr?

[pek]

OT Anmerkung: Die höchstmögliche Sicherheit des 'PHP-Scripts' bringt allein rein gar nix wenn der Rest drumherum für die Katz ist.

[hasch]

Zitat (pek: 27.06.2005, 22:13)

OT Anmerkung: Die höchstmögliche Sicherheit des 'PHP-Scripts' bringt allein rein gar nix wenn der Rest drumherum für die Katz ist.
<{POST_SNAPBACK}>

Also empfehlt ihr mir Cookies + bestmögliche Verschlüsselung?

[pek]

Zitat (hasch: 27.06.2005, 23:15)

Also empfehlt ihr mir Cookies + bestmögliche Verschlüsselung?<{POST_SNAPBACK}>

Jein, du fixierst dich grade mit deiner 'übermathematischen' Kyptographie/Verschlüsslung nur auf dein Script! Was ich damit sagen will wenn jemand es wirklich auf das Zeug abgesehen hat was dahinter steckt, sucht er sich nicht denn Weg druch 'nen lächerliches Script, sonder macht die komplette Box von hinten auf.

Deine Methode an sich ist aber in Ordnung, vielleicht solltest du noch ein blick auf SQL Injections werfen damit dein Script dahingehend sicher ist.

[hasch]

Zitat (pek: 27.06.2005, 22:25)

Jein, du fixierst dich grade mit deiner 'übermathematischen' Kyptographie/Verschlüsslung nur auf dein Script! Was ich damit sagen will wenn jemand es wirklich auf das Zeug abgesehen hat was dahinter steckt, sucht er sich nicht denn Weg druch 'nen lächerliches Script, sonder macht die komplette Box von hinten auf.

Deine Methode an sich ist aber in Ordnung, vielleicht solltest du noch ein blick auf SQL Injections werfen damit dein Script dahingehend sicher ist.
<{POST_SNAPBACK}>

Kannst du mir mal kurz SQL Injections erläutern?
Meinst du, er wird versuchen die DB zu knacken?

Ich danke euch jetzt schonmal für eure netten und hilfreichen Beiträge.
Ich muss jetzt in die Heiha, weil ich morgen wieder Schule habe. Kann also erst morgen auf eure evt. Beiträge eingehen. Danke.

Dieser Beitrag wurde von hasch bearbeitet: 27. Juni 2005 - 21:34

[pek]

http://de.wikipedia....i/SQL_Injection und bei Google findest du dazu noch mehr..