Sicherheitsfrage erstellen

  • Hallo,


    ich bin neu hier und blutiger Anfänger. Alter: 62, aber noch lernfähig.


    Es soll eine Abfrage erstellt werden, die nach Namen und Passwort fragt. Um es dem Anwender nicht zu schwer zu machen, werden dabei Hilfestellungen angeboten.

    Wenn der Name stimmt und das Passwort vergessen wurde, soll das Programm in einer Datenbank auf einem Server nachsehen und das Passwort zum einen Teil mit Sternchen, einen anderen Teil im Klartext anzeigen. Dann erfolgt der Vergleich von Passwort und Eingabe und es geht weiter im Programm oder Zurückweisung des Users.


    Z. B. "Hilfestellung zum Passwort": ******567 und dann ein Formularfeld.


    Wo finde ich Beispiele dazu? Ist das schwer?


    Viele Grüße


    Andreas

  • Kann meinen Vordermann nur zustimmen.


    Wenn du zb dich in einen Forum anmelden tust werden die Passwörter zb hiermit verschlüsselt

    [Mod: Links entfernt. Bitte nicht nutzen!]


    Dann hast du Buchstabensuppe die man angeblich nicht knacken kann.

    Ich weiß ja nicht ob das der richtige Weg ist , aber wenn du sowas machen willst mit den 3 Buchstaben solltest du den Besucher Fragen ob er das möchte.

    Wenn ja dann speicherst du die 3 Buchstaben extra ab.


    Aber mache so was nicht ohne das der Besucher bescheid weiß weil jeder möchte das die Passwörter verschlüßelt sind ,selbst der Betreiber des Forums kann die nicht auslesen. Deshalb bekommt man auch immer neue Passwörter wenn man seins mal vergessen hat

  • Wenn du zb dich in einen Forum anmelden tust werden die Passwörter zb hiermit verschlüsselt

    https://www.php.net/manual/de/function.sha1.php

    https://www.php.net/manual/de/function.md5.php

    FALSCH!


    Siehe: Loginpasswort richtig hashen - password_hash() & password_verify()



    AndreasHL  

    Was Du vorhast, macht man NICHT!

    Das gibt Angreifern infos, die sie nicht haben sollen.


    Der User hat seine Anmeldedaten, oder eben nicht.

    Wenn nicht,

    dann kann er auf "Passwort vergessen" klicken,

    eine email angeben,

    und der Server sendet an diese email (wenn bekannt|existier in db) einen Link zum Zurücksetzen.

    Der Server sagt nicht, ob es die email gibt!


    Es darf nie einen Hinweis auf die Anmeldedaten geben. NIcht vom Server|Service.

    Für sowas gibt es Tools (Passwortmanager), die es ja schon im Browser gibt.