Nach den Geschehnissen auf typo3.org ende letzten Jahres, weiß man dass man die Benutzerdaten stärker schützen sollte. Grade die fe_user Passwörter werden im Moment im Klartext abgelegt, was man dringend verhindern sollte. Und was natürlich nicht fehlen darf… das Salz in der Suppe!
„Salted Password“ ist da das passende Schlagword. Wikipedia schreibt dazu: „In der Kryptographie versteht man unter dem Begriff Salt (englisch für Salz) eine zufällig gewählte Bitfolge, die mit einem gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion konkateniert wird, um die Entropie der Eingabe zu erhöhen.“. Kurz gesagt, es wird eine Zeichenfolge an Passwörter gehangen um den Aufwand einer Wörterbuch Attacke zu erhöhen, wenn der Angreifer die angehangen Zeichenkette nicht kennt.
Nach dem „Angriff“ auf typo3.org wurde daraufhin die Extension TYPO3 Security – Salted user password hashes (t3sec_saltedpw) geschrieben. Diese Extension (noch beta Status weil sehr jung) integriert das „Portable PHP password hashing framework“ (Details) in TYPO3. Diese greift sowohl für BE-User als auch FE-User und erhöht die Sicherheit von TYPO3, wenn man nicht grade ein simples Wort als Passwort benutzt. Somit wären die Klartext Passwörter ein Problem der Vergangenheit 😉
Meine Message ist jetzt nicht, dass ihr gleich alle umsteigen sollt (Es gibt noch einige Dinge zu beachten!!). Aber man sollte sich das Thema einmal kritisch anschauen und ggf. die Extension Testen. Zudem denke ich das Feedback zu der Extension bei Marcus Krause (Security Team) herzlich willkommen ist.
Was denkt Ihr dazu?