Gehahschte Passwörter

Stef · 27. August 2016

Hey zusammen,

undzwar ich erstelle grad ein regestrierformular und da ist es ja wichtig passwörter zu hashen.

ich habe es bis jetzt so aufgebaut in php:

PHP

<?php
$vorname = $nachname = $email = $tag = $monat = $jahr = $benutzername = $password = $password_gehahst = $password_wiederholung = $password_gehahst_wiederholung = null; // alle vars auf null setzen
if(isset($_POST['submitted']))
{
$vorname = trim($_POST['vorname']);
$nachname = trim($_POST['nachname']);
$email = trim($_POST['email']);
//Geburtsdatum
$tag = trim($_POST['tage']);
$monat = trim($_POST['monate']);
$jahr = trim($_POST['jahre']);
//Benutzername
$benutzername = trim($_POST['benutzername']);
//Password
$password = trim($_POST['password']);
$password_gehahst = password_hash($password, PASSWORD_DEFAULT); //Password hashing zum schutz
$password_wiederholung = trim($_POST['password_wiederholung']);
$password_gehahst_wiederholung = password_hash($password_wiederholung, PASSWORD_DEFAULT);
var_dump($password_gehahst);
var_dump($password_gehahst_wiederholung);
$errors = array_filter (
//filterung der arrays mit callback funktion (bool) = true/false
array_map (
//ebenso soart durchlaufen/filtern der arrays mit callback funktion welche man returnen kann und außerhalb nutzen kann
function($daten){
// wenn $daten[0] nicht exsestiert , dann $daten[0] ist leer, sonst daten[0] ist leer
$fehler = !isset($daten[0]) ? (empty($daten[0])) : (empty($daten[0]));
//hier wenn $fehler da sind sind diese $daten[1] (die strings) sonst null
return $fehler ? $daten[1] : null;
},
[
[$vorname , 'Bitte geben sie ihren Vornamen an!'],
[$nachname , 'Bitte geben sie ihren Nachnamen an!'],
[$email , 'Bitte geben sie ihre E-Mail-Adresse an!'],
[$benutzername , 'Bitte geben sie ihren Benutzernamen an!'],
[$password , 'Bitte geben sie ihr Password an!'],
[$password_wiederholung , 'Bitte wiederholen sie die Angabe ihres Passwords!']
//hier hat man daten[0] & daten[1]
]
)
);
}
?>

Alles anzeigen

Welche Hash-Algorythmen würdet ihr mir empfehlen von denen : ?

PHP

[0] => md2
[1] => md4
[2] => md5
[3] => sha1
[4] => sha224
[5] => sha256
[6] => sha384
[7] => sha512
[8] => ripemd128
[9] => ripemd160
[10] => ripemd256
[11] => ripemd320
[12] => whirlpool
[13] => tiger128,3
[14] => tiger160,3
[15] => tiger192,3
[16] => tiger128,4
[17] => tiger160,4
[18] => tiger192,4
[19] => snefru
[20] => snefru256
[21] => gost
[22] => gost-crypto
[23] => adler32
[24] => crc32
[25] => crc32b
[26] => fnv132
[27] => fnv1a32
[28] => fnv164
[29] => fnv1a64
[30] => joaat
[31] => haval128,3
[32] => haval160,3
[33] => haval192,3
[34] => haval224,3
[35] => haval256,3
[36] => haval128,4
[37] => haval160,4
[38] => haval192,4
[39] => haval224,4
[40] => haval256,4
[41] => haval128,5
[42] => haval160,5
[43] => haval192,5
[44] => haval224,5
[45] => haval256,5

Alles anzeigen

Wenn ich zuerst die eingabe vom password feld im paddword speichere ist
das password ja nicht geschützt oder ? Erst nachdem man es gehahst hat?
Ich würde dann das gehahschte Password in der Datenbank speichern falls alle eingaben stimmen und noch nicht besetzt sind.

Was haltet ihr von meiner Vorgangsweise? Wie würdet ihr es machen ? Mache ich es so richtig ?

Gruß,
Stef

cottton · 27. August 2016

Erstmal: sehr schön, dass Du PHP password_hash() nutzen möchtest.

Zitat

Welche Hash-Algorythmen würdet ihr mir empfehlen von denen : ?

Keinen. Lass das die PHP Funktion password_hash() machen,
wie Du es schon richtig gemacht hast:

PHP

$password_gehahst = password_hash($password, PASSWORD_DEFAULT);

Der Parameter 2 $algo in password_hash()
gibt den verwendeten Algorithmus an.
PASSWORD_DEFAULT legt dabei fest, dass nach PHP Standard immer der best mögliche Algo verwendet wird.
Siehe: http://php.net/manual/en/password.constants.php

Zitat

Wenn ich zuerst die eingabe vom password feld im paddword speichere ist
das password ja nicht geschützt oder ?

Verstehe ich nicht ganz. Aber wenn Du meinst, dass zB $_POST['password'] unsicher ist,
oder es unsicher ist, das Klartextpasswort irgendwo abzuspeichern (db, file, session(was auch ein file ist)),
dann - JA, Klartextpasswörter dürfen nie irgendwo gespeichert werden.

Es wird ein Hash vom Klartextpasswort gespeichert (zB db),
und später mit dem Hash des zu verifizierenden Passwortes (zB Login) gegengeprüft.
Dafür nutzt Du dann aber password_verify()

Zitat

Ich würde dann das gehahschte Password in der Datenbank speichern falls alle eingaben stimmen und noch nicht besetzt sind.

Erst, wenn alle benötigten Felder ausgefüllt wurden - erst dann fängst Du an zu "arbeiten".
Soll heißen: Sind alle required Fields ausgefüllt - Ja - Dann erstelle (erst) jetzt den Passworthash.
Warum:
Jedes hashen kosten Ressourcen. Bei password-hash() kannst Du eine "cost" mitgeben. (mehr zu "cost" auf php.net oder im oben genannten Link).
Und Du möchtest ja nicht erst den aufwendigen Hash erstellen lassen, um in dann wieder fallen zu lassen, weil zB der Benutzername zukutz ist.

Zitat

Was haltet ihr von meiner Vorgangsweise? Wie würdet ihr es machen ? Mache ich es so richtig ?

Ich sehe da nicht ganz durch.
Das erste was ich sehe (un MIR nicht gefällt) ist:

PHP

$password = trim($_POST['password']);

Der User wollte evtl am Anfang oder Ende ein Leerzeichen im PW. Du veränderst hier seine Eingabe.
Das macht noch Sinn, wenn es um Namen geht (Username).
Aber beim Passwort ist meine Meinung: Benutzers Passwort ist des Benutzers Passwort und wird nicht angerührt.
Ich nenne es immer gern wieder: Sparkasse kürzt EINGEGEBENE Passwörter auf 5 order 6 zeichen, OHNE den Benutzer zu informieren. (Bei Vergabe und Login!)

Es ist zwar viel, aber ich denke wir hatten damals im Thread "passwort richtig hashen" (Link oben) so ziemlich alles abgearbeitet.
Einfach mal ansehen. Bei Fragen wie immer fragen.
(Beachte auch password_verify() und password_needs_rehash())

Stef · 28. August 2016

Hey,

Aso Ok.

Ich meine:

Z.b wenn ich jetzt das Password nach der eingabe erst in eine variable speicher und danach dieses erst hashe, dann ist es doch nicht so sicher ?

Ja da hast du recht. Hab nicht drauf geachtet.

Ich kann dieses Thema hier nicht finden. Wo ist es denn ?

Gruß,

Stef

JR Cologne · 28. August 2016

Hier ist es: Loginpasswort richtig hashen - password_hash() & password_verify()

cottton · 28. August 2016

Opps, hatte ich den Link vergessen

Wenn Du im Script das Passwort in Variablen steckst, dann kann im Normalfall nichts passieren.
Der Wert - hier das Passwort - wird ja beim setzen einer Var im Normalfall nicht irgendwo hin gespeichert (außer im Speicher (RAM)).

Es gibt aber Situationen, in denen "etwas schief gehen kann". Dann kann es sein, dass der Wert einer Var an die "Öffentlichkeit" gelangen kann.

Bsp:
Simples Bsp für Verkettungsfehler:

PHP

/* simuliere eingehende formdaten: */
$_POST['username'] = 'cottton';
$_POST['password'] = 'mySecr3tP455w0rD';
/* * * * * * * * * * * * * * * * * * * * */
$username = trim($_POST['username']);
$string = 'Hallo ' . htmlspecialchars($username) . '!' .
$password = $_POST['password'];
$hash = password_hash($password, PASSWORD_DEFAULT);
$password = null;
$string .= '... something to tell ...';
echo $string;

Alles anzeigen

Ausgabe:

Code

Hallo cottton!mySecr3tP455w0rD... something to tell ...

Was passierte hier?
(Siehe Comments)

PHP

/* simuliere eingehende formdaten: */
$_POST['username'] = 'cottton';
$_POST['password'] = 'mySecr3tP455w0rD';
/* * * * * * * * * * * * * * * * * * * * */
$username = trim($_POST['username']); // nix besonderes - trim username
// hier wollen wir dem user etwas mitteilen
// und verketten einen string
// aber OH OH -
$string = 'Hallo ' . htmlspecialchars($username) . '!' . // HIER hat jemand was vergessen!
// sowas passiert, wenn man dort eigtl noch was schreiben/anhängen wollte,
// das dann aber vergessen hat.
// (sowas also gleich gar nicht angewöhnen =)
// hier gehts normal weiter im script - ABER
// für PHP war das statement (die obere stringverkettung) noch nicht abgeschlossen!
// und dadurch wird hier der inhalt on $password an den string angehangen!
$password = $_POST['password'];
$hash = password_hash($password, PASSWORD_DEFAULT);
$password = null;
$string .= '... something to tell ...';
echo $string;

Alles anzeigen

In kurz:

PHP

// ...
$string = 'Hallo ' . htmlspecialchars($username) . '!' .
$password = $_POST['password'];
// ...
// entspricht:
// inhalt von (
// inhalt von $_POST['password'] nach $password zuweisen
//) and string anhängen

Alles anzeigen

Anderes Bsp: Exceptions
(Vorraussetzung hier, dass Fatal Errors angezeigt werden. Aber auch in den Logs kann das pw auftauchen!)

PHP

/* simuliere eingehende formdaten: */
$_POST['username'] = 'cottton';
$_POST['password'] = 'mySecr3tP455w0rD';
/* * * * * * * * * * * * * * * * * * * * */
class User{
protected $password;
public function setPassword($password)
{
$this->password = (string)$password;
// ...
// aus irgend einem grund wird eine exception geworfen:
throw new Exception('OOooops!', 13);
}
}
$user = new User();
$user->setPassword($_POST['password']);

Alles anzeigen

Ausgabe (weil Exception nicht aufgefangen)

Code

Fatal error: Uncaught exception 'Exception' with message 'OOooops!' in [...]: User->setPassword('mySecr3tP455w0r...') #1 {main} thrown in [...]

Die PHP Fehlermeldung gibt einen Fatal Error aus, mit der Angabe WO das passiert ist.
Dabei zeigt uns die Meldung blöderweise, dass die Funktion ::setPassword() aufgerufen wurde und der Wert "mySecr3tP455w0r..." als Parameter übergeben wurde.

Dieser Fehler - also das ausgeben von Fatal Errors - passiert wohl öfter mal beim Verbinden zu einer db. Man sollte das also kennen und try/catch nutzen, um genau das zu vermeiden

Stef · 30. August 2016

Hey,

Ja, ok. Gut zu wissen. Und danke für die ausführliche Erklärung.

Wenn ich nun aber z.b. möchte das nach dem login dann oben rechts im dropdownmenu z.b. der Name des Useres drin steht.

Nach deiner sicht soll man dies nicht machen:

Zitat

$string = 'Hallo ' . htmlspecialchars($username) . '!' . // HIER hat jemand was vergessen!
// sowas passiert, wenn man dort eigtl noch was schreiben/anhängen wollte,
// das dann aber vergessen hat.
// (sowas also gleich gar nicht angewöhnen =)

$password = $_POST['password'];

Wie würdest du es dann machen ? Würdest du den Namen dann aus der Datenbank laden und dann ausgeben ?

Gruß,
Stef

cottton · 31. August 2016

Guck Dir das Bsp nochmal an. Da fehlt das Semikolon =)
Und das ist der Punkt bei diesem Bsp.

Was ich damit zeigen wollte ist, dass ein Passwort (oder andere sensible Daten) in einer Var gut aufgehoben sind.
Aber man muss aufpassen, was man mit der Var im Script macht.

So ein Fehler sollte sehr selten vorkommen. Wichtig ist nur, dass man sowas kennt/schon mal gesehen hat/wüsste was passiert/... .
=)

Den Username kannst Du anzeigen lassen, wo Du willst.

Stef · 31. August 2016

Achso. Ja da muss man echt aufpassen. Danke für die Verdeutlichung des Problems.

Gruß,
Stef