e1afa50b28ed12d7367905cc315ad579<\/p><\/blockquote>\n
Das Hashen eines Passworts stellt dabei sicher, dass sowohl der Betreiber eines Dienstes als auch Dritte nicht das Passwort des Nutzers in der Datenbank direkt einsehen k\u00f6nnen.<\/p>\n
Ist Hashen = Verschl\u00fcsseln?<\/h2>\n
Nicht ganz. Ein wichtiger Unterschied zwischen dem Hashen und Verschl\u00fcsseln eines Passwortes ist, dass beim Hash keine Umkehrung mehr m\u00f6glich ist. W\u00e4re dies nicht der Fall, so w\u00e4ren der Shopbetreiber bzw. Dritte unter bestimmten Umst\u00e4nden doch in der Lage, das Passwort des Nutzers zu ermitteln.<\/p>\n
Wie beim Verschl\u00fcsseln ist aber auch beim Hashen das Verfahren bzw. der Algorithmus, welcher verwendet wird, von besonderer Bedeutung, denn er bestimmt, wie sicher der erzeugte Hash ist.<\/p>\n
Welche Verfahren kommen im Gambio-Shop zum Einsatz?<\/h2>\n
Standardm\u00e4\u00dfig kommt im Gambio-Shop MD5<\/a><\/strong> als Hash-Verfahren zum Einsatz, eine im WWW weitverbreitete Hashfunktion.<\/p>\n Doch auch wenn MD5 die g\u00e4ngigen Anforderungen erf\u00fcllt, gibt es doch bessere, weil (zukunfts-)sicherere Verfahren f\u00fcr das Hashen von Passw\u00f6rtern. Eine dieser Alternativen stellt die PHP Funktion password_hash<\/a><\/strong><\/em> dar.<\/p>\n Da die password_hash<\/i> Funktion in PHP immer das aktuell sicherste implementierte Verfahren verwendet, w\u00e4chst die Sicherheit der Funktion mit der Aktualit\u00e4t von PHP mit. Dies bedeutet, dass veraltete unsichere Verfahren nicht verwendet werden und euer Shop hinsichtlich des Hash-Verfahrens immer auf dem aktuellen Stand (abh\u00e4ngig von eurer verwendeten PHP Version) ist.<\/p>\n Eine weitere Besonderheit der password_hash<\/i> Methode im Gegensatz zu MD5 ist die automatische Verwendung eines sogenannten Salts. Der Salt stellt einen Wert dar, welcher beim Hash-Vorgang des Passwortes angef\u00fcgt wird und sicherstellt, dass zwei identische Passw\u00f6rter unterschiedliche Hashwerte erhalten. Somit l\u00e4sst sich anhand des Hashes auch nicht mehr erkennen, ob zwei Kunden das gleiche Passwort verwenden:<\/p>\n \u201cMein sicheres Passwort\u201d + Salt1 \u2192 98ce582b57a46e319657e8695405a64d Im Gambio Admin l\u00e4sst sich die password_hash<\/i> Funktion unter Shop Einstellungen > System Einstellungen > Sicherheitscenter<\/i> aktivieren:<\/p>\n <\/p>\n <\/p>\n Dazu muss lediglich unter \u201cStandardverschl\u00fcsselung f\u00fcr Kundenpassw\u00f6rter\u201d<\/i> die Option \u201cpassword_hash\u201d<\/i> ausgew\u00e4hlt werden.<\/p>\n <\/p>\n Solltet ihr in eurem Shop externe Schnittstellen nutzen, die direkt \u00fcber die Datenbank Passw\u00f6rter abgleichen und \u00fcber keine Unterst\u00fctzung von password_hash<\/i> verf\u00fcgen, dann solltet ihr auch weiterhin MD5 verwenden. Da dies jedoch nur sehr selten der Fall ist, empfehlen wir einen Wechsel zu password_hash<\/i>.<\/p>\n Wenn ihr dazu Fragen habt, schaut gerne in unser Forum<\/strong><\/a> oder wendet euch an den Support<\/strong><\/a>.<\/p>\n Der Schutz von Kundendaten und insbesondere Passw\u00f6rtern sollte f\u00fcr Shopbetreiber das h\u00f6chste Gut sein. Denn ein Verlust dieser Daten h\u00e4tte gravierende Folgen f\u00fcr eure Kunden und w\u00fcrde f\u00fcr euren Shop nahezu sicher das Aus bedeuten.<\/p>\n Die Aktivierung der password_hash <\/em>Funktion im Gambio-Shop sorgt daf\u00fcr, dass die Daten eurer Kunden in der Datenbank so hinterlegt werden, dass niemand mit Ihnen etwas anfangen k\u00f6nnte, selbst wenn ein nicht autorisierter Zugriff erfolgen sollte. Zudem bleibt ihr durch die automatische Aktualisierung immer auf dem neuesten Stand.<\/p>\n So habt ihr eine Sorge im anstrengenden Shopbetreiber-Alltag weniger und eure Kunden k\u00f6nnen sich sicher sein, dass ihre Daten bei euch in besten H\u00e4nden sind.<\/p>\nWelche Vorteile bietet die password_hash<\/i> Funktion?<\/h2>\n
\n\u201cMein sicheres Passwort\u201d + Salt2 \u2192 e63de30a988aca8704ad4885d9eb3921<\/p><\/blockquote>\nWie k\u00f6nnt ihr in eurem Shop password_hash<\/i> aktivieren?<\/h2>\n
![\"Password](\"https:\/\/www.gambio.de\/blog\/wp-content\/uploads\/password_hash_im_gambio_shop_aktivieren-e1488896302739.jpg\")
<\/a><\/p>\n
\nDie Option \u201cKundenpassw\u00f6rter beim n\u00e4chsten Login n\u00f6tigenfalls mit der aktuellen Standardverschl\u00fcsselung erneut verschl\u00fcsseln?\u201d<\/i> sollte dabei unbedingt aktiviert werden bzw. bleiben. Wenn diese Option deaktiviert ist und sich das Verfahren ge\u00e4ndert hat, dann k\u00f6nnt ihr euch als Admin genauso nicht mehr einloggen wie eure Kunden, die dann ihr Passwort zur\u00fccksetzen lassen m\u00fcssen. Dies gilt dabei nicht nur f\u00fcr den Wechsel von MD5 zu password_hash<\/i> sondern auch in die andere Richtung.<\/div>\nWann ist ein Wechsel zu\u00a0password_hash<\/em> nicht sinnvoll?<\/h2>\n
Fazit<\/h2>\n
\n