Passwortlänge ist auf 20 Zeichen begrenzt

[schmijos]

Das Passwort-Element hat eine Begrenzung auf 20 Zeichen. Dieses Limit sollten wir aufheben (stammt wahrscheinlich aus der Zeit als wir noch md5 verwendet hatten):
https://github.com/noproblan/npl-website/blob/develop/library/Npl/Form/Element/Password.php

Siehe: https://blog.knut.me/warum-laengenbeschraenkungen-fuer-passwoerter-nichts-taugen.html
Über die Passwörter bei uns:

• Das Verfahren sha1 über pw und salt: https://github.com/noproblan/npl-website/blob/develop/application/models/User.php#L357
• In der Datenbank gibt es eine Begrenzung von 40 Zeichen (für sha1): https://github.com/noproblan/npl-website/blob/develop/db/migrations/20141108121453_initial_schema.sql#L572
• Die salts werden pro User bei der Registrierung generiert und beim User abgelegt.

[dbrgn]

SHA1 ist nicht so toll, besser bcrypt oder PBKDF2. Die sind gemacht um Passwörter zu speichern.

Gibt zB hier eine Library: https://github.com/rchouinard/phpass (Habe sie selber nie getestet.)

[dbrgn]

See also: https://stackoverflow.com/questions/15663874/which-implementation-of-bcrypt-is-recommended-for-php-5-3#15664660 und https://stackoverflow.com/questions/4795385/how-do-you-use-bcrypt-for-hashing-passwords-in-php#6337021

[schmijos]

Vorerst wird es sha1 bleiben. Laut Wikipedia gibt es (noch) keine bekannte Kollision.

Btw: Ich vermute dass die Begrenzung von 20 Zeichen eingeführt wurde als wir noch md5 verwendet hatten. Die Begrenzung von 40 in der Datenbank sollte also auch aufgehoben werden wenn man für etwas stärkeres als sha1 offen sein will.

[Chuvisco88]

Zum Thema bcrypt gibt es auch etwas für das eingesetzte ZF1 -> http://stackoverflow.com/questions/15432568/bcrypt-with-zend-framework-1-12-x