ChristianAchatz
I'm new here

Verschlüsselungs- oder Hashing-Algorithmus für Passwörter

Hallo zusammen,

welchen Verschlüsselungs- oder Hashing-Algorithmus für Passwörter von intern verwalteten FirstSpirit-Benutzern kommt in der Version 5 zum Einsatz? Leider ist die Dokumentation an dieser Stelle nicht konkret genug.

Vielen Dank!

Christian Achatz

0 Kudos
2 Replies
witt
I'm new here

Hallo,

hier dürfte das Kapitel 5.2 der Release-Notes von V5.0 für sie recht hilfreich sein. Auszug:

"Verbesserung der Passwortsicherheit

Im Rahmen der Passwörter, die für FirstSpirit eingesetzt und auch in FirstSpirit

gespeichert werden, wurden die Sicherheitsvorkehrungen erhöht. Sie werden nun

mit einem neuen Verfahren (Sha3841 mit Salt2) gespeichert.

Passwörter, die in früheren Versionen angelegt und in FirstSpirit gespeichert sind,

werden bei der ersten Anmeldung des Benutzers am FirstSpirit-5-Server in das neue

Format konvertiert.

Zu welchen Benutzer noch Passwörter im alten Format (SHA1) vorliegen, kann in

der Anwendung zur Server- und Projektkonfiguration (z. B. "Benutzer" / "Bearbeiten"

oder "Projekt" / "Eigenschaften" / "Benutzer" / "Hinzufügen") geprüft werden: In

Benutzerlisten werden Benutzer, deren Passwort noch nach der alten Methode

gespeichert ist, mit einem einen gelben Hintergrund angezeigt.

Durch folgenden Eintrag in der Datei fs-server.conf kann verhindert werden,

dass sich Benutzer, deren Passwort noch nach dem alten Verfahren verschlüsselt

wurde, am FirstSpirit-Server anmelden können:

allowSha1PasswordHashes=false

Es wird empfohlen, diesen Wert so bald wie möglich zu setzen."

MfG,

Daniel Witt

Vielen Dank für die schnelle Antwort!

Viele Grüße,

Christian Achatz

0 Kudos