Enschlüsselung des Passwortes beim Login

romae · 24. April 2020

Hallo!

Ich möchte ein gehashtes Passwort beim Login wieder entschlüsseln. Ich probiere nun schon einige Zeit herum, doch ich bekomme es nicht hin.

An welcher Stelle muss die password_verify geschrieben werden?

PHP

<?php
session_start(); // Starting Session
$error = ''; // Variable To Store Error Message
if (isset($_POST['submit'])) {
if (empty($_POST['username']) || empty($_POST['password'])) {
$error = "Username or Password is invalid";
}
else{
// Definieren von $username and $password
$username = $_POST['username'];
$password = $_POST['password'];
// Verbindung zur MySQL-Daten aufbauen
$conn = mysqli_connect("localhost", "root", "", "users");
// SQL-Abfrage zum Abfragen von Informationen registrierter Benutzer und Ermitteln der Benutzerübereinstimmung.
$query = "SELECT username, password FROM login WHERE username=? AND password=? LIMIT 1";
// Zum Schutz der MySQL-Eingabe aus Sicherheitsgründen
$stmt = $conn->prepare($query);
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
$stmt->bind_result($username, $password);
$stmt->store_result();
if($stmt->fetch()) //fetching the contents of the row {
$_SESSION['login_user'] = $username; // Initializing Session
header("location: mainpage.php"); // Redirecting To Profile Page
}
mysqli_close($conn); // Closing Connection
}
?>

Alles anzeigen

Stef · 24. April 2020

Hey,

ein durch password_hash verschlüsseltes Passwort kannst du nicht entschlüsseln.

Wenn du vor hast die Passwörter miteinander zu vergleichen gibt es die Function password_verify();

Gegenfrage: Wo würdest du password_verify() einsetzen ?

Schöne Grüße,

Stef

cottton · 24. April 2020

Du bekommst:

username

password

Du suchst in der db nach dem username, der unique sein muss. Oder Du geht nach email, die ja auch unique sein muss.

Findest Du den User, dann prüfst Du das password gegeb den hash.

Pseudo code:

Code

user = "select ... from user where username = :username"
if ! user
// fehler - user nicht gefunden
else
// check input vs db users hashed pw
if password_verify(password, user.hash)
// ok
else
// nicht ok

Siehe auch Loginpasswort richtig hashen - password_hash() & password_verify()

romae · 24. April 2020

Zitat

Gegenfrage: Wo würdest du password_verify() einsetzen ?

Code

// Verbindung zur MySQL-Daten aufbauen
17. $conn = mysqli_connect("localhost", "root", "", "users");
18.
19. // SQL-Abfrage zum Abfragen von Informationen registrierter Benutzer und Ermitteln der Benutzerübereinstimmung.
20. $query = "SELECT username, password FROM login WHERE username=? AND password=? LIMIT 1";

Ich hätte mir gedacht dass ich Password_verify() im Anschluss an die SQL-Abfrage (hier Zeile-Nr. 20) schreiben müsste?

basti1012 · 24. April 2020

Stef schrieb:

ein durch password_hash verschlüsseltes Passwort kannst du nicht entschlüsseln.

Habe da mal eine doofe Frage zu.

Habe mal gelesen das man den erstellten hash nicht entschlüsseln kann und es dafür auch kein Tool gibt ( Brute Forces zählt nicht ).

Php muß ja eine Formel oder Algorithmus nutzen um so einen hash zu erzeugen.

Ist das echt ausgeschloßen das man den hash nicht knacken kann ?

Der Php Entwickler der den hash erstellt ( erfunden und programmiert ) hat, könnte er den hash knacken ?

timtim · 25. April 2020

basti1012 schrieb:

Der Php Entwickler der den hash erstellt ( erfunden und programmiert ) hat, könnte er den hash knacken ?

Hi Basti,

das das mit dem Hashen ist etwas anderes als verschlüsseln. Beim Verschlüsseln wird der Eigentliche Inhalt durch einen schlüssel so verändert das nur der den Schlüssel kennt, den Ursprungswert wieder Entschlüsseln / Lesen kann.

Code

Einfaches beispiel: Cesar / Rot13 verschlüsselung (hier mal googeln)
Text ist ABCD Rot13 rotiert einfach das Alphabet um 13 Zeichen Damit ist dann A = N, B = O, C = P usw.
Unser eispiel ABCD wird zu NOPQ. Wer den Schlüssel kennt (13) kann es zurückverwandeln. Du kannst den Schlüssel auch frei wählen
bei 1 wäre es A = B, C = D usw.

Zum Hashen: lange zeit waren md5 und dann SAH1 ausreichend.

Das Hashen berechnet einen immer gleich langen wert aus den gegebenen Daten, dabei verliert man aber den Ursprungswert komplett. Die einfachste Hash-Funktion die mir als beispiel einfällt, ist das berechnen der Quersumme.

Code

Bsp.: die Zahl 1234 hat die erste Quersumme 1+2+3+4 = 10 Zweite Quersumme 1+0 = 1. Damit wäre der Hash von 1234 = 1. Aber von 1 auf 1234 zu kommen ist unmöglich.

Das Quersummen beispiel zeigt aber auch, wo die Problematik von Hashs liegen, denn die Quersumme 1 hat auch die zahl 10, 100, 1000, 10000 usw.

md5 ist deshalb an einigen stellen unsicher geworden, weil wir mittlerweile so viel Rechenleistung haben, das man schnell nach neuen werten Suchen kann, die den gleichen Hashs haben. (Grund, md5 hat 32AlNum stellen, durch die Begrenzung haben wir schon mehr Daten die in Hashs umgewandelt werden können, als md5 platz bietet). Deswegen wurden hier neue Methoden entwickelt (die weit Komplexer sind um einen höchstmöglichen 'zufall' zu haben).

Daher ist die Frage ob auch der Entwickler das Knacken kann, zu verneinen, aber vor dem Entwickler muss man da auch keine Angst haben, da die Standards oder die Logik wie eine Verschlüsselung / Hash berechnet wird, "allen" bekannt ist, solange man genormte Methoden nutzt.

Die frage ist eher, haben die Entwickler von PHP Sicherheitslücken in ihrem Code und da kann man nur sagen, weiß man erst, wenn eine gefunden wurde. (Stichwort Hearthbleed).

Nochmal zur Sicherheit: Die Algorithmen dahinter sind Sicher, so lange wie das Zufällige berechnen zu lange dauert (man rechnet hier dann von 100/1000/10000 Jahren Rechenzeit).

Wenn wir Rot13 nehmen um den text zu entschlüsseln muss man den ganzen text bei einem Alphabet von 26 Zeichen, also nur 26 mal durchlaufen lassen um die Lösung zu finden. Bei den Quersummen mit einer stelle muss ich nur 10 (0-9) Kollisionen erzeugen, was Computer in Millisekunden schaffen. Mehr Komplexität = Mehr zeit = Mehr Sicherheit.

Hoffe das hilft,

Grüße

Timo

Stef · 25. April 2020

Hey,

romae schrieb:

Code

// Verbindung zur MySQL-Daten aufbauen

17. $conn = mysqli_connect("localhost", "root", "", "users");

18.

19. // SQL-Abfrage zum Abfragen von Informationen registrierter Benutzer und Ermitteln der Benutzerübereinstimmung.

20. $query = "SELECT username, password FROM login WHERE username=? AND password=? LIMIT 1";

Ich hätte mir gedacht dass ich Password_verify() im Anschluss an die SQL-Abfrage (hier Zeile-Nr. 20) schreiben müsste?

An dieser Stelle hast du die Query einer Variable zugewiesen - dort hast du noch keine Daten. Die Daten aus der Datenbank müssen vorhanden sein damit du diese Passwortabfrage ausführen kannst.

Führe die Query aus und lese dann die Daten aus der Datenbank. Dann hast du ein Array mit den Einträgen und kannst auf diese zugreifen. Danach kannst du die Abfrage ausführen.

Grüße,

Stef

cottton · 25. April 2020

romae schrieb:

Ich hätte mir gedacht dass ich Password_verify() im Anschluss an die SQL-Abfrage (hier Zeile-Nr. 20) schreiben müsste?

"WHERE username=? AND password=?"

^ das funktioniert nicht.

Du bekommst das plain text (klartext) Passwort.

Du hast (in Deiner db) den hash des Passwortes.

Du lädsts den User bei username oder email.

Findest Du ihn, dann nimmst Du den zugehörigen hash und nutzt password_verify() um den das Passwort mit dem Hash zu vergleichen.

romae · 25. April 2020

Die Password_verify macht mir Schwierigkeiten. Ich habe nun folgende Code erarbeitet:

PHP

<?php
include('login.php'); // Includes Login Script
if(isset($_SESSION['login_user'])){
header("location: mainpage.php"); // Redirecting To Profile Page
}
?>
<!DOCTYPE html>
<html>
<head>
<title>Login Form in PHP with Session</title>
<link href="style.css" rel="stylesheet" type="text/css">
</head>
<body>
<div id="login">
<h2>MASSAGESTUDIO</h2>
<form action="" method="post">
<label>Benutzername :</label>
<input id="name" name="username" placeholder="Benutzername" type="text">
<label>Passwort :</label>
<input id="password" name="password" placeholder="**********" type="password"><br><br>
<input name="submit" type="submit" value=" Login ">
<span><?php echo $error; ?></span>
</form>
</div>
</body>
</html>

Alles anzeigen

PHP

<?php
// Verbindung zur MySQL-Daten aufbauen
$connect = mysqli_connect("localhost", "root", "", "users");
session_start(); // Starting Session
$error = ''; // Variable To Store Error Message
if (isset($_POST['submit']))
{
if (empty($_POST['username']) || empty($_POST['password']))
$error = "Username or Password is invalid";
{
echo '<script>alert("Beide Felder sind erforderlich!")</script>';
}
else
{
// Definieren von $username and $password
$username = mysqli_real_escape_string($connect, $_POST['username']);
$password = mysqli_real_escape_string($connect, $_POST['password']);
// SQL-Abfrage zum Abfragen von Informationen registrierter Benutzer und Ermitteln der Benutzerübereinstimmung.
$query = "SELECT * FROM login WHERE username = '$username'";
$result = mysqli_query($connect, $query);
if(mysqli_num_rows($result) > 0)
{
while($row = mysqli_fetch_array($result))
{
if(password_verify($password, $row['password']))
{
//return true;
$_SESSION["login_user"] = $username;
header("location:mainpage.php");
}
else
{
// return false;
echo '<script>alert("Falsche Benutzer Daten")</script>';
}
}
}
else
{
echo '<script>alert("Falsche Benutzer Daten")</script>';
}
}
}
mysqli_close($connect); // Closing Connection
?>

Alles anzeigen

m.scatello · 25. April 2020

Code

$_SESSION["login_user] = $username;

Da sollte dir was auffallen

romae · 25. April 2020

Zitat

$_SESSION["login_user] = $username;

Danke!

Das ist mir soeben auch aufgefallen!

romae · 26. April 2020

Nun schreibt mir das Programm, dass in der Zeile 14 das ELSE überflüssig sein soll.

Wenn ich das ELSE raus lösche, erhalte diese Meldung zwar nicht mehr, aber nach Eingabe von User und Passwort erscheint eine Notiz das in Zeile 27 (password_verify) was nicht passt. Kann mir bitte jemand helfen. Danke!

PHP

<?php
// Verbindung zur MySQL-Daten aufbauen
$connect = mysqli_connect("localhost", "root", "", "users");
session_start(); // Starting Session
$error = ''; // Variable To Store Error Message
if (isset($_POST['submit']))
{
if (empty($_POST['username']) || empty($_POST['password']))
$error = "Username or Password is invalid";
{
echo '<script>alert("Beide Felder sind erforderlich!")</script>';
}
else
{
// Definieren von $username and $password
$username = mysqli_real_escape_string($connect, $_POST['username']);
$password = mysqli_real_escape_string($connect, $_POST['password']);
// SQL-Abfrage zum Abfragen von Informationen registrierter Benutzer und Ermitteln der Benutzerübereinstimmung.
$query = "SELECT * FROM login WHERE username = '$username'";
$result = mysqli_query($connect, $query);
if(mysqli_num_rows($result) > 0)
{
while($row = mysqli_fetch_array($result))
{
if(password_verify($password, $row['password']))
{
//return true;
$_SESSION["login_user"] = $username;
header("location:mainpage.php");
}
else
{
// return false;
echo '<script>alert("Falsche Benutzer Daten")</script>';
}
}
}
else
{
echo '<script>alert("Falsche Benutzer Daten")</script>';
}
}
}
mysqli_close($connect); // Closing Connection
?>

Alles anzeigen

m.scatello · 26. April 2020

Sieh' dir mal Zeile 9 und 10 genauer an.

Das sind Dinge, die man eigentlich selber finden sollte!

cottton · 26. April 2020

Ich fang jetzt nicht wieder mit Prepared Statements an. Das solltest Du nun kennen.

Aber

SELECT * FROM login WHERE username = '$username'

Wenn im Moment, und|order in der Zukunft ein Fehler passiert,

bei dem der username nicht (mehr) unique ist,

dann kannst Du mehr als 1 user laden.

Der code lässt dann auch noch zu, dass Du solange läufst, bis Du den letzten möglichen user eingeloggt hast.

Pseudo code Vorschlag:

Code

result = SELECT * FROM login WHERE username = :username LIMIT 1;
if result.count === 1
row = result->fetchOne() // you expect one, so get one
if password_verify(password, row.password)
// all fine
elseif result.count > 1
// error handling for unexpected multiple users on same username
else
// error handling for user not found by username

m.scatello · 26. April 2020

cottton schrieb:

bei dem der username nicht (mehr) unique ist,

Das sollte aber im Vorfeld schon grundsätzlich verhindert werden.