.htpasswd

[Unifex]

Ich möchte mich mehr mit Sicherheit beschäftigen und habe zu einigen Bereichen Fragen, die mich interessieren.

Dieses mal geht es um den Verzeichnisschutz mit einem Apache.

Der ist ja mit zwei Dateien aufgebaut der .htpasswd und der .htaccess
In der letzteren steht z.B. AuthType und der Pfad zur .htpasswd

Dazu zwei Fragen.

Sollten beide Dateien im selben Pfad liegen oder ist das ein Sicherheitsrisiko?
Zweite Frage: Die .htpasswd ist ja ungefähr so aufgebaut:
User:...(lange Folge von Zeichen)

Ist es möglich anhand der langen Zeichenfolge eine Rückrechnung auf das eigentliche Passwort zu machen?
Ich meine was in die eine Richtung einmal berechnet wurde, muss doch eigentlich auch in die andere Richtung zurück gerechnet werden können.

 

[marce]

Sollten beide Dateien im selben Pfad liegen oder ist das ein Sicherheitsrisiko?

Alles ist ein Risiko

Wenn Du es "sicherer" (und mest unbequemer) haben willst dann pack die entsprechende Konfiguration nicht in eine .htaccess / .htpasswd-Datei sondern direkt in die Serverkonfig - also außerhalb des Web-Verzeichnisses.

Zweite Frage: Die .htpasswd ist ja ungefähr so aufgebaut:
User:...(lange Folge von Zeichen)

Ist es möglich anhand der langen Zeichenfolge eine Rückrechnung auf das eigentliche Passwort zu machen?

Klar ist es möglich. Es ist nur eine Frage des Aufwands.

Standard ist heute, daß der md5-Hash abgelegt wird. Damit hängt es von der Qualität des Passwortes ab, wie einfach dieses zu knacken ist.

Mehr dazu unter
http://httpd.apache.org/docs/2.2/programs/htpasswd.html

 

[Unifex]

Standard ist heute, daß der md5-Hash abgelegt wird. Damit hängt es von der Qualität des Passwortes ab, wie einfach dieses zu knacken ist.

aha, das bedeutet mit dem bloßen String (lange Folge von Zeichen) kann man so eigentlich erst mal nichts anfangen sondern muss mit einem Brutforce versuchen das Passwort zu "erraten" ?

 

[TerraX]

[...]Sollten beide Dateien im selben Pfad liegen oder ist das ein Sicherheitsrisiko?

Die .htpasswd (kannst Du auch anders benennen) sollte IMMER außerhalb des Document Roots liegen. Die Direktiven (,htaccess) kannst Du - wie schon gesagt - ganz sicher direkt in die Serverkonfig schreiben. Wenn nicht, MUSS die .htaccess in das oder die betreffenden Verzeichnis/se.

[...]Zweite Frage: Die .htpasswd ist ja ungefähr so aufgebaut:
User:...(lange Folge von Zeichen)

Ist es möglich anhand der langen Zeichenfolge eine Rückrechnung auf das eigentliche Passwort zu machen?
Ich meine was in die eine Richtung einmal berechnet wurde, muss doch eigentlich auch in die andere Richtung zurück gerechnet werden können.

Du willst Dich bestimmt erstmal über den Unterschied von Verschlüsselung und Hash schlau machen und dann mal in der Apache-Doku nachlesen, welcher AuthType/-Art welche Methode einsetzt.

 

[Unifex]

Du willst Dich bestimmt erstmal über den Unterschied von Verschlüsselung und Hash schlau machen und dann mal in der Apache-Doku nachlesen, welcher AuthType/-Art welche Methode einsetzt.

Für die Aufgabenstellung ist das doch erst mal irrelevant.

Die Frage war, ob man das Passwort anhand einer Information die man hat (in dem Fall den Hash) zurückrechnen kann.

 

[rolapp]

Ich benutze für den Verzeichnisschutz Client Zertifikate. Dann geht die Seite nur wenn man das Zertifikat im Browser installiert hat.

 

[Unifex]

Ich benutze für den Verzeichnisschutz Client Zertifikate. Dann geht die Seite nur wenn man das Zertifikat im Browser installiert hat.

Das beantwortet zwar meine Frage nicht, klingt aber auch interessant. Hast du einmal einen Link dafür, wo ich eine Anleitung / Informationen dazu finde?

 

[TerraX]

Für die Aufgabenstellung ist das doch erst mal irrelevant.

Die Frage war, ob man das Passwort anhand einer Information die man hat (in dem Fall den Hash) zurückrechnen kann.

Einen Hash kann man per Definition nicht zurückrechnen, das meinte ich damit. Es bleibt also nur die Möglichkeit, die Hashwerte möglicher Eingaben vorauszuberechnen. Deswegen ist die Verwendung von Plain MD5 auch nicht mehr hinreichend sicher, weil es dafür schon entsprechend große vorberechnete Rainbow-Tables im Netz gibt.

 

[Unifex]

Okay, das habe ich soweit verstanden.

Also bisher nehme ich folgendes mit.

Die beiden Dateien sollten nicht am selben Ort liegen.
Sollten die Dateien in die Hände unbefugter gelangen, so ist das Passwort nicht zurück zu rechnen allerdings durch ein Brute Force oder mit der Hilfe von Rainbow-Tables kann man das Passwort herausfinden.

Ist das soweit richtig?

Was wäre also die sicherste Methode ein Verzeichnis zu schützen?
Wie macht ihr das?

 

[TerraX]

Bitte nicht so grob zusammen fassen, es entsteht der Eindruck, dass Du das Zusammenspiel noch nicht ganz erfasst hast:

Du hast 2 Komponenten:

A) die Apache-Direktiven (standardmäßig in .htaccess)
B) User-IDs + Passwörter (standardmäßig .htpasswd benannt)

(A) MUSST Du entweder direkt in die Serverkonfiguration einbinden ODER innerhalb des Document Roots in dem zu schützenden Verzeichnis ablegen

(B) Solltest Du immer außerhalb des Document Roots ablegen, damit kein Zugriff von der Webanwendung heraus wie auch immer erfolgen kann.

Viel wichtiger als die Methode zu Absicherung des Verzeichnisses (Basic, Digest, Client-Zertifikat) ist die sichere Übertragung der Zugangsdaten; sprich SSL-Verschlüsselung der Verbindung insbesondere wenn man Basic oder Digest wählt.