Paßwort verschlüsseln

Paßwortschutz einrichten

Du kannst einzelne Verzeichnisse beim Apache durch Paßwörter schützen. Das ist sinnvoll, wenn Du persönliche Dokumente immer online verfügbar haben möchtest, aber nicht jeder darauf zugreifen soll. Oft wird diese Schutzfunktion vom Webspace-Anbieter zur Verfügung gestellt, so daß Du in einer Eingabemaske einfach nur Benutzernamen und Paßwort eintragen mußt; der Server legt dann automatisch die entsprechende .htaccess-Datei (und weitere notwendige Dateien) an. Leider wird dadurch bei einigen Anbietern die komplette alte .htaccess-Datei überschrieben, so daß Deine eigenen Einstellungen verlorengehen. Teste das in einem Unterverzeichnis.

Wenn Du aus diesem oder einem anderen Grund den Paßwortschutz lieber selber von Hand einrichten willst (eine ausführliche Anleitung dazu gibt es bei SelfHTML), dann mußt Du das Paßwort zunächst verschlüsseln.

Weshalb werden Paßwörter verschlüsselt?

Weshalb müssen Paßwörter verschlüsselt werden, warum können sie nicht direkt abgespeichert werden? Wenn Deine Paßwörter im Klartext auf dem Server liegen würden, könnte jemand, der sich Zugriff auf die Dateien verschafft, das Paßwort auslesen und sich hinterher beliebig bei Dir einloggen. Auch die Server-Administratoren haben vollen Zugriff auf die Dateien und könnten daher die Paßwörter lesen. Deshalb werden niemals die Paßwörter selbst abgespeichert, sondern nur ihre verschlüsselte Form. Diese Verschlüsselung beruht auf einem Ein-Weg-System: Das verschlüsselte Paßwort läßt sich nicht wieder entschlüsseln. Wer also in den Besitz Deines verschlüsselten Paßwortes kommt, kann Dein eigentliches Paßwort nicht mehr so leicht herausfinden.

Bei der Authentifizierung (log-in) tippst Du ganz einfach Deinen Benutzernamen und Dein Paßwort im Klartext ein; das eingegebene Paßwort wird dann aber vom Server verschlüsselt und erst dann mit dem abgespeicherten, vorher verschlüsselten Paßwort, das auf dem Server liegt, verglichen. Wenn diese verschlüsselten Paßwörter übereinstimmen, dann waren die beiden Paßwörter (mit sehr hoher Wahrscheinlichkeit) identisch. Beachte, daß die Übermittlung des Paßwortes zum Server nicht verschlüsselt erfolgt. Es kann also auf dem Weg ausgelesen werden. Sicherere Methoden werden ein andermal erklärt.

Verschlüsselung per crypt()

Das beim Apache üblicherweise verwendete Verschlüsselungsverfahren nennt sich crypt, mit der PHP-Funktion crypt() läßt sich diese Verschlüsselung einfach durchführen. Am einfachsten lege eine Datei mit folgendem Inhalt an und ersetze Paßwort Durch Dein eigenes Paßwort:

<?php echo crypt(Paßwort); ?>

Falls Du selbst nicht über die Möglichkeit verfügst, PHP einzusetzen, kannst Du folgendes Formular verwenden. Beachte, daß die Übertragung der eingegebenen Daten grundsätzlich von jedem mitverfolgt werden kann. Wenn Dich also jemand gezielt ausspioniert, kann er Dir so das Paßwort entwenden. Die Einträge werden von mir selbstverständlich nicht abgespeichert.

Formular zum Verschlüsseln

Paßwort verschlüsseln
Eingabe

Liebe Grüße,
Jane

Angelegt: 2005/05/28
Letzte Bearbeitung: 2005/06/11 / 14:10:59