Password | Crypt/Hash & Salt?

Moinsen.

Ich Frage mich, wie ich evtl. die Nutzung von Passwörtern Online sicherer gestalten kann. Zumindest für mich selber.

Momentan nutze ich neben KeePassXC, Passwörter (z.B. als PW für KPXC) die ich mir gut merken kann, welche jedoch relativ lang sind und zwar gewisse Merkmale haben, die man zwar eigentlich nicht so verwenden soll im Optimalfall aber welche halt dazu beitragen, diese zu merken.

Also ein Hauptpasswort welches gewisse feste Bestandteile hat aber zum Beispiel je Dienst bzw. Login halt unterschiedlich ist.

So muss ich mir quasi nur das eine Passwort merken und kann halt dann je nach Dienst dieses abändern.

Also im Gegensatz zu den meisten Leuten, würde ich sagen, dass meine Variante Recht sicher ist.

Eigentlich benutze ich dieses Passwort auch nur für KeePass.

Alles was besonderes wichtig ist, bekommt dann n generiertes Password aus KP (128 Zeichen mit allen möglichen Symbolen aus KP).

Jetzt meine Frage, wenn jemand zum Beispiel also unabhängig von den generierten Passwörtern von KeePass meine Passwörter Online klauen will und ich mir ein erdachtes Passwort nehme, dann kann man ja das Passwort auslesen sobald ich es schicke. (HTTP POST usw.)

Macht es da nicht Sinn ein Hash bzw. ein Crypt des Passworts zu erstellen und diesen dann zu schicken?

Zumindest, wenn das Passwort allgemein sehr einfach ist?

Ich denke da z.B. an meinen Vater der als Beispiel einfach einen Namen mit ein paar Nummern nimmt. Das ist ja quasi für Hacker ein gefundenes Fressen.

In dem Fall würde ich es meinem Vater gerne einfach machen und ihm irgendwie etwas programmieren, damit die "einfachen" Passwörter quasi gehasht und verschlüsselt werden und dieser String dann quasi als "wirkliches" Passwort bei dem Dienst genutzt wird.

Ich hoffe das war irgendwie verständlich beschrieben. Falls dabei fragen bestehen, gebe ich gerne weitere Infos zu meinem Gedankengang bzw. meinem Vorhaben.

Die Sache, wäre halt auch die, dass diese Variante natürlich auch Nachteile mit sich bringt und nicht unbedingt die sicherste Möglichkeit ist.

Aber unabhängig davon wahrscheinlich trotzdem sicherer ist als einfach nur ein Wort mit ein paar Zahlen. Brüte Force wäre damit eh nicht mehr so ohne weiteres möglich. (Im Optimalfall sowieso durch den Login-Dienst nicht möglich.)

Und das Passwort wäre halt auch nicht aus lesbar, selbst wenn die Seite ne Fake Login Seite wäre. Somit wären halt die Passwörter nicht einfach zu erraten, falls dieses bei mehreren Diensten verwendet und leicht abgewandelt ist.

Mein Vater nutzt halt meist das gleiche Wort mit einer anderen Zahlenkombination.

Als Hash und Crypted, würde da ja n komplett anderer Salat raus kommen .

Ich danke euch, falls ihr bis hier hin gelesen habt und ein paar Ideen dazu geben könnt.

MfG 👍🏼✌🏼

2 Antworten

chriss1967

29.04.2024, 08:27

Ich verstehe deinen Ansatz, viel bringen wird das allerdings nicht. Ja es würde vielleicht vor Passwort-Wiederverwendung schützen aber dazu muss jemand überhaupt erstmal an das Passwort kommen. Bei der Übertragung zum Server wird ja auf HTTPS gesetzt wodurch schonmal niemand so einfach mitlesen kann, in Klartext speichert auch keine Website mehr Passwörter (hoffentlich). Also muss zu dem Zeitpunkt schon ein Angreifer den Traffic mitlesen können und dann bringt dir deine Methode leider auch nichts, da er einfach warten kann, bis dein Vater sich bei dem Dienst anmeldet, wo der Angreifer das Passwort zu haben möchte. Ein weiterer Punkt über den man sich Gedanken machen muss: Ist dein Vater wirklich eine so wichtige Person? Angreifer sind nicht mehr so fokussiert auf Einzelpersonen. Entweder wird die breite Masse angegriffen und dann klaut man lieber Session-Cookies anstatt Passwörter oder es wird auf Unternehmen abgeziehlt, da gibt's mehr zu holen.

Deine Methode erinnert mich sehr an Microsofts NTLM-Hash verfahren. Die haben sich auch gedacht, "ich schicke das Passwort nicht übers Netzwerk, sondern nur einen hash" naja sorgt halt dafür, dass du den Hash auslesen oder abfangen kannst und dich dann halt einfach damit anmeldest. Damit haben die auch wirklich nichts gewonnen. Diese Angriffsmethode wird bei ca. 90% der Ransomware-Angriffe auf Firmen genutzt

smiregal8472

28.04.2024, 22:31

Naja, jein wäre hier wohl am passendsten.

Man könnte z.B. ein Browser-AddOn nehmen/programmieren, dass Formularfelder vom Typ "password" beim Absenden des Formulars erkennt und statt des tatsächlichen Inhaltes etwas anderes übermittelt.

Wenn aber die Möglichkeit gegeben ist, das ganze aus dem HTTP Request auszulesen (Benutzt er etwa irgendwelche Webdienste, die kein HTTPS verwenden?!), dann bringt das ziemlich genau gar nichts.

xXxNightmarexXx

Fragesteller

28.04.2024, 22:43

Ich habe tatsächlich dabei an Tempermonkey gedacht. Da kann man eigene Scripts einschleusen.

Aber das wäre ja dann eher die Sache, wenn das ganze überhaupt Sinn ergibt.

Jein habe ich auch sehr oft als Antwort für mich 😅

Gut HTTP ist klar..

Aber selbst dann würde es zumindest ein wenig bringen.

Also, wenn ich "Passwort123" nehme und dabei dann "92ejdhd828ruxhakw" bei raus kommt. Dann würde zumindest keiner einfach auf die Idee kommen sich mit der EMail und dem Passwort woanders anzumelden bzw. in dem Fall, das man bei anderen Diensten dann "Passwort321" nimmt und dabei dann "(283+_+#93847djwi2" raus kommt.

Also wegen dem Hashen und Verschlüsseln.

Das wäre halt schon ein kleiner Vorteil.

Und selbst wenn die Seite vertrauenswürdig ist aber als Beispiel meine Passwörter im Klartext in der Datenbank ablegt, haben die quasi nicht mein Passwort mit dem ich arbeite.

Und wie sollten die auf den Hash, den Salt und das Crypt kommen.

Hallo,

ich programmiere eine Anwendung, in der man Adressen mit SQL-Server verwalten kann. Man kann Benutzer anlegen und sich mit denen beim Start der Anwendung einloggen.

Nun möchte ich das Passwort hashen. Beim Erstellen des Benutzers wird bereits ein Hashwert generiert und in der Passwort-Spalte in der Datenbank angezeigt. Beim Einloggen soll auch das Passwort gehasht werden und dann der Hash vom Einloggen mit dem aus der Datenbank auf Übereinstimmung verglichen werden.

Ich habe mich an folgendem Tutorial orientiert: https://dotnetcodr.com/2017/10/26/how-to-hash-passwords-with-a-salt-in-net-2/

Ich generiere also immer einen zufälligen Hashwert und das auch beim Einloggen. Wenn ich dann also den Hash vom Einloggen mit dem aus der Datenbank pvergleiche, können die nie übereinstimmen, weil eben bei beiden immer ein zufälliger Wert generiert wird.

Hash (beim Erstellen des Benutzers):

public HashWithSaltResult HashWithGenericSalt(string password, int saltLength, HashAlgorithm hashAlgo)
{
    RNG rng = new RNG();
    byte[] saltBytes = rng.GenerateRandomCryptographicBytes(saltLength);
    byte[] passwordAsBytes = Encoding.UTF8.GetBytes(password);
	List<byte> passwordWithSaltBytes = new List<byte>();

    passwordWithSaltBytes.AddRange(saltBytes);
    passwordWithSaltBytes.AddRange(passwordAsBytes);
    byte[] digestBytes = hashAlgo.ComputeHash(passwordWithSaltBytes.ToArray());

    return new HashWithSaltResult(Convert.ToBase64String(saltBytes), Convert.ToBase64String(digestBytes));
}

Hash (beim Einloggen):

public HashWithSaltResult HashWithSalt(string password, string salt, HashAlgorithm hashAlgo)
{
	// Wie hashe ich beim einloggen?
}

Einloggen:

using (var context = new PersonDbContext())
{
	var query = from p in context.Benutzers where textBoxVorname.Text == p.Vorname && textBoxName.Text == p.Name && HashResultSha512.Digest == p.PasswortDigest select p;
    HashPassword();
}

public void HashPassword()
{
    PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher();
    HashResultSha512 = pwHasher.HashWithSalt();

    db.CheckBenutzerLogin(textBoxVorname.Text, textBoxPasswort.Text, HashResultSha512.Salt, HashResultSha512.Digest);
}

Was muss ich in

public HashWithSaltResult HashWithSalt

schreiben, damit er den Hashwert aus der Datenbank verwendet und nicht wieder einen neuen Wert generiert?

...zur Frage

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

Passwörter auslesen#?

Ich habe Passwort von Snapchat vergessen. Habe aber noch zugriff auf mein Snap und das Handy. Die Frage ist es gibt doch bestimmt Apps die die Passwörter bzw Login daten auslesen und speichern. Bitte um Hilfe von Leuten die sich damit auskennen und nicht iwelche die mit versuch mal mit `´passwort zurücksetzen´ danke im vorraus!

...zur Frage

Raspberry Pi 4 login password?

Ich habe m ein Raspberry Pi neu, Ich habe das Betriebssystem installiert und der Raspberry Pi fragt mich nach ein Login Passwort.

...zur Frage

Wie bekommt man den Hash eines Passwortes?

Wenn man ein Passwort bei, zum Beispiel: Google anlegt, wird dieses nicht im "Plain-Text" gespeichert, sondern als Hash umgewandelt. Hacker können diesen Hash dann aber trotzdem "entschlüsseln" und die Passwörter erhalten. Nun frage ich mich wie die Hacker die Hashes zu den Passwörtern erhalten. Weiß das irgendwer?

...zur Frage

Password Generator Tool(Pentesting)?

Hallo,

Ich hab mal gehört, dass es ein Tool gibt mit dem man ein Passwort generieren kann, das zu einem Profil passt.

Zum Beispiel:

Lukas, 23, Fußball

Das Programm generiert dann Passwörter zum Profil:

Lukas23

Fußball23

Lukas1999

199923Fußball

.....

Ihr wisst was ich meine

Ich finde gerade kein Programm dafür.

Aber sicherlich gibt es so eins.

...zur Frage

Python Hash HTML Vergleichen?

Hallo,

Ich schreibe gerade ein kleines Programm. ich habe eine HTML Seite und auf der gibt es einen noch statischen login. Ich möchte dass der Login sicher ist und dass das Passwort in einen Hash umgewandelt wird und dann mit dem Hash wie das Passwort welches bspw. in einem Text Dokument ist zu vergleichen.

Nur ändern sich ja die Werte random und mir gelingt es nicht:

Hier der Code von PYTHON:

fileObject = open("C:\\Users\\Nutzer\Music\Auto Generate\Passwort.txt", "r")
data = fileObject.read()
Passcode = "Passwort1234"


text = data

# compute the hash value of text
hash_value = hash(text)
print(hash_value)

text1 = Passcode

# compute the hash value of text
hash_value2 = hash(text1)
print(hash_value2)

Also wie kann ich den Login also das Passwort gescheit prüfen?

...zur Frage

Alle unsicheren Passwörter automatisch ändern (Mac)?

Hallo Leute,

jeder, der den iCloud-Passwortmanager verwendet, kennt sicherlich die Meldungen, dass man ein unsicheres Passwort verwendet, das man ändern sollte (also nicht die auf einer Website, sondern den Hinweis direkt von Safari).

Das Problem ist, dass ich im Laufe der Jahre das gleiche unsichere Kennwort auf allen möglichen Websites verwendet habe.

Ich würde es gerne auf allen Websites ändern, ohne hunderte von Websites zu durchforsten.

Die Alternative wäre die vollständige Datenlöschung nach europäischem Recht auf jeder Website.

Aber das wäre noch mühsamer.

Kennt jemand von Ihnen eine Möglichkeit, alle unsicheren Passwörter aus dem iCloud-Schlüsselbund durch ein automatisch generiertes (sicheres) Passwort zu ersetzen?

Ich danke Ihnen im Voraus.

...zur Frage

Wie kann ich den String hashen?

Ich code derzeit was in Java. Ich bekomme das Password als String vom User und hätte vorgehabt das bei der Registrierung dann mit diesem SQL command zu speichern:

String command = "INSERT INTO userdata(username, password)VALUES ('" + username + "', 'HASHBYTES('SHA2_256', "+user_password+")')";

Vorerst mal, Stimmt das so? Kann das funktionieren? Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL? Dass ich keine Daten in die Tabelle schreibe sondern nur verhashen lasse und dann den hash direkt zurückbekomme..

Vielen Dank im Voraus!

...zur Frage

PHP Passwort Hash Abfrage?

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

...zur Frage

Wie bekommen hacker den Hash meines Passwort?

Ich habe verstanden das hacker mit dem Hash Passwörter kancken KÖNNEN aber wie bekommen sie den Hash des Passwortes

...zur Frage

Java: Versuche immer um 1 abziehen?

Hallo, weiß jemand wie man programmieren kann, dass er die Versuche immer um 1 runterzählt wenn der Benutzer es falsch eingibt?

Mein Code:

void setup(){
 String passwort;
 passwort = PopUp.readLine("Bitte das Passwort eingeben");
 int versuche = 5;
 login(passwort,versuche);
 String meinpasswort = ("password");
  
 if (passwort.equals(meinpasswort)){ 
  PopUp.print("Herzlich Willkommen zurück Benutzer!");
 }
 else {
  PopUp.readInt("Sie haben noch "+versuche+" Versuche");
  versuche = versuche - 1;
 }
}

boolean login (String passwort, int versuche){
 String meinpasswort = ("password");
  
 while (versuche > 0){
  if (meinpasswort.equals(passwort)){
    print();
    return true;
  }
  else { 
    versuche = versuche - 1;
  }
  }
  return false;
}

...zur Frage

Warum gibt es eine maximale Passwortlänge

So, ich durfte mich gerade schon wieder über einen Loginservice aufregen, bei dem verlangt wird, dass das Passwort "zwischen 8 und 12 Zeichen" hat. Eine minimale Passwortlänge mag ich ja noch einsehen, aber warum eine maximale? Ein seriöses Login-Formular sollte doch die Passwörter sowieso hashen und nicht im Klartext speichern, wo ist also das Problem, längere Passwörter zu akzeptieren?

Vielleicht wisst ihr Bescheid?

...zur Frage

Woher wissen Webseiten ob ein Passwort zu ähnlich zu dem vorherigen ist (Hash)?

Möchte man bei einigen Accounts oder Webseiten sein Passwort ändern erscheint manchmal die Meldung, dass das Passwort zu viele Ähnlichkeiten mit dem vorherigen Passwort besitzt.

Soweit ich weiß werden Passwörter zur Sicherheit in Datenbanken als Hashwerte gespeichert.

Bei einem Hash-Algorithmus ändert sich der vollständige Hashwert schon bei kleinen Veränderungen am Passwort.

Woher wissen diese Services, dass das Passwort starke Ähnlichkeit mit dem vorherigen Passwort hat? Ist bei so einer Meldung davon auszugehen, dass die Passwörter in Klartext gespeichert werden?

Viele Grüße

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen