Php passwort verschlüsseln?

Hab mir ein Video angesehen das schon von 2016 ist und der Youtuber meinte selber das es eine bessere Methode geben kann als sha512.

$passwort = "einwichtigespasswort";
echo  hash("sha512", $passwort);

Was ist das aktuellste heutzutage ?

4 Antworten

PeterKremsner

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik

19.05.2022, 15:10

Definiere in diesem Sinne besser. Es gibt für SHA2 bisher keine bekannten Angriffe, außer hier speziell einen Length Extension Angriff dieser ist aber für zB das Hashen eines Passwortes egal.

Es gibt darüber hinaus mitlerweile auch den SHA3 Algorithmus, welcher bisher keinen so einen Angriff zulässt.

Ob der eine bessere als der andere ist, weiß man am Ende nicht, weil es für Hash Funktionen einfach nicht beweisbar ist, dass keine Funktion gefunden werden kann welche mit vertretbaren Mitteln eine Kollision berechnet.

SHA 3 wurde mehr aus einer Vorsicht heraus entwickelt, weil theoretische Schwächen im Verfahren gefunden wurden welches SHA2 zu Grunde liegt und SHA1 somit gebrochen wurde. Das kann muss aber nicht heißen, dass SHA2 in nächster Zeit gebrochen wird.

Es kann theoretisch auch sein, dass SHA3 vor SHA2 gebrochen wird, in so fern kann man bei kryptografischen Hashfunktionen schlecht sagen, welcher der Bessere ist, sondern eigentlich nur unterscheiden, zwischen Rechenaufwand und ob der Hash gebrochen ist oder nicht, wobei gebrochen auch zum Teil vom Anwendungsfall abhängt.

Schachpapa

19.05.2022, 15:04

Das BSI sagt:

Nach heutigem Kenntnisstand gelten die folgenden Hashfunktionen als kryptographisch stark und sind damit für alle in dieser Technischen Richtlinie genannten Verfahren einsetzbar:

• SHA-256, SHA-512/256, SHA-384 und SHA-512

• SHA3-256, SHA3-384, SHA3-512

Von Experte iQa1x bestätigt

germanils

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik

19.05.2022, 14:57

https://www.php.net/manual/en/function.password-hash.php

Woher ich das weiß:Berufserfahrung – Entwicklung von Apps und Websites

iQa1x

19.05.2022, 15:33

Ergänzung: Das hat den entscheidenden Vorteil, dass du dir um salt keine Gedanken machen musst. Wenn du nur eine Hashfunktion einsetzt ohne salt, finden sich genug Tabellen im Netz, die das rückwärts auflösen.

password_verify ist die Funktion zum Prüfen des Passwortes.

geheim007b

19.05.2022, 14:58

das reicht bis zur Einführung von serienreifen quantencomputern aus

Hedhhdgtf

Fragesteller

19.05.2022, 15:05

Und wenn man richtig übertreiben will?

Gibt es da nichts besseres auch nach 6 Jahren

geheim007b

19.05.2022, 15:09

@Hedhhdgtf

sha256 ist schon vollkommen ausreichend, sha512 ist die Übertreibung. Darüber gibt es nichts was implementiert ist, warum auch.

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

PHP Passwort Hash entschlüsseln?

Hallo,

aktuell erstelle ich einen eigenen Passwort Manager.

Ich habe alles soweit eingestellt und läuft soweit.

Nun ist mein Problem, dass ich gerne die Passwörter Verschlüsseln möchte.

Da bin ich dann auf diese Website gestoßen

https://www.php-einfach.de/experte/php-sicherheit/daten-sicher-speichern/php-passwort-sicherheit/

dort habe ich folgenden Text für meine Website verwendet.

$hash = password_hash($passwort, PASSWORD_DEFAULT);

Nun möchte ich den Text aber wieder entschlüsselt haben.

Wie kann ich das am besten machen?

...zur Frage

PHP: passwort verbergen?

ich habe ein PHP-script wo ein passwort steht. kann ich davon vielleicht irgendwie eine hash erstellen und diese dann vom php-script nutzen lassen ? dass das nicht im klartext da steht.

...zur Frage

PHP und SQL passwort sha1 verschlüsseln und in datenbank vergleichen?

Hallo liebe Menschen,

ich muss für eine Aufgabe ein passwort in sha1 generieren und dann, das passwort mit dem hash aus der datenbank vergleichen aber ich weiß nicht wie. Also man soll in einer Login Seite das Passwort (kein neu generiertes passwort sondern ein vorher erstelltes) eingeben und mit einem Button (senden) das Passwort mit der Datenbank "benutzer" vergleichen ob nutzername und Passwort (hash (sha1)) übereinstimmen.

Ich bin ein richtiger anfänger was PHP angeht, ich habe es erst seit letzter woche kennengelernt und jetzt soll ich für ein test eine solche aufgabe machen. Ich habe min. 1 tag lang gegooglet wie man es machen könnte aber jeder schreibt nur "tu es nicht, es ist nicht sicher und dann kommen die mit den neuen php tag mit dem man ein passwort sehr gut verschlüsselt.

Danke im Voraus

...zur Frage

Wäre es möglich ein einfaches Captcha ohne Cookies/Session umzusetzen?

Mal angenommen man würde sich ein geheimes langes Kennwort ausdenken dass nur im Quelltext der PHP-Datei steht.

Jetzt generiert man noch die Captcha-Aufgabe und verknüpft das Ergebnis mit seinem geheimen Kennwort.

Aus dem String der jetzt aus dem Ergebnis der aus dem Ergebnis der Captcha-Aufgabe und unserem geheimen Passwort bestheht, erzeugt man einen sha512-Hashwert.

Diesen Hash schreibt man in ein hiddenfeld das man zusammen mit Eingabefeld für das Captcha über trägt.

Da nur ich mein geheimes langes Kennwort kenne, sollte auch nur ich über prüfen können ob der übergebene Captcha-Wert plus mein geheimes langes Kennwort den selben Hashwert ergeben wie der in dem Hidden-Feld.

Würde das funktionieren oder befinde ich mich "auf einem Holzweg"?

...zur Frage

Passwort mit Java verschlüsseln und mit PHP entschlüsseln?

Guten Tag,

Ist es möglich ein Passwort mit Java zu verschlüsseln und anschließend mit PHP wieder zu entschlüsseln?

Vielen Dank

...zur Frage

Wie ich mein verschlüsseltes Handy factory resete, kann die Polizei die Daten wiederherstellen?

...zur Frage

C# Hash Werte vergleichen?

Hallo, ich möchte bei einem Login das Passwort hashen. Wenn man sich eingeloggt hat, kann man neue Benutzer hinzufügen. DIe neuen Benutzer werden dann auch gehasht und beim einloggen soll geprüft werden, ob der Hash Wert vom hinzufügen des Benutzers mit dem Hash Wert beim einloggen übereinstimmt. Wie mache ich das? In meinem BenutzerDialog(dort werden die Benutzer erstellt) wird beim Erstellen_Clickeine Hush Methode aufgerufen.

public Benutzer _selectedBenutzer;
public void HashPassword() { PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher(); HashWithSaltResult hashResultSha512 = pwHasher.HashWithSalt("ultra_safe_P455w0rD", 64, SHA512.Create()); _selectedBenutzer.Passwort = hashResultSha512.Salt; _selectedBenutzer.Passwort = hashResultSha512.Digest; }

Wie vergleiche ich den Hash Wert vom Benutzer hinzufügen(BenutzerDialog) mit dem vom Login?

Will dann eine If-Anweisung in der Art schreiben(diese If-Anweisung ist dann im Login Button):

//If(hashwert == benutzerDialog.hashwert)
//{
//   MessageBox.Show("Die Hash Werte stimmen überein-");
//}
//else
//{
//   MessageBox.Show("DIe Hash Werte stimmen nicht überein");
//}

...zur Frage

Mit welchem Hash oder Verschlüsselung sollte eine E-Mail Adresse in einer Datenbank gespeichert werden?

Hallo zusammen,

eine E-Mail Adresse soll in einer MySQL Datenbank gespeichert werden. Wie bei einem Kennwort sollte der Datensatz meiner Meinung nach auch bei einer E-Mail Adresse verschlüsselt in der Datenbank gespeichert werden.

Es handelt sich hierbei um eine Formulareingabe des Nutzers durch PHP und HTML. Programmiert wird demnach in PHP, für Passwörter gibt es die Methode PASSWORD_HASH - siehe http://php.net/manual/de/function.password-hash.php

Nun zu den Fragen:

Sollte man eine E-Mail, welche in einer Datenbank gespeichert werden soll, verschlüsseln, oder als Hashwert speichern?

Welche Verschlüsselung oder alternativ Hashwert (SHA-1, SHA-256, SHA-512, MD5 ...) sollte man für das sichere Speichern einer E-Mail Adresse verwenden?

Vielen Dank!

...zur Frage

Welche Rolle spielt das Passwort bei einer 128Bit AES Verschlüsselung?

Wenn ich etwas mit AES verschlüsseln möchte, muss ich mir immer eine Passwort ausdenken.

Werden mit diesem Passwort meine Daten, z. B. Text, verschlüsselt? Wird aus einem 6-stelligen Passwort ein 128Bit bzw. 256Bit Code generiert (Art ein Hash), der dann zur Verschlüsselung meiner Daten genutzt wird? Wie lange sollte ein Passwort für AES sein?

...zur Frage

PHP Passwort Hash Abfrage?

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

...zur Frage

Wie wird in einer ZIP-Datei beim Entpacken das Passwort geprüft?

Vermute, dass das Passwort als Hash zum Verschlüsseln verwendet wird.

Wie kann dem Anwender dann mitgeteilt werden, ob er das richtige Passwort eingegeben hat. Gibt es da noch einen weiteren Wert zur Verifikation?

Bitte nur Wissen, keine Vermutungen.

...zur Frage

PHP: mit if-Bedingung neue Seite öffnen

habe bis jetzt:

        if($_POST["passwort"]=="XYXYXY")
            {
             include 'index.php';
            }
        else
            {
            echo '
            <form action="" method="post">
            <input type="Password" name="passwort">
            </form> ';
            }

nun möchte ich aber nicht include sondern, dass es die den link öffnet.

Vielen Dank für Ratschläge!

...zur Frage

Kann eine Methode in PHP eine andere Methode der selben Klasse aufrufen?

Hi,

kann eine Methode eine andere Methode der selben Klasse aufrufen?

Beispielsweise so:

class abc{

  function a(){
      return "Hallo";
  }

  function b(){
          $c = a();
          echo $c;          
   }
}

$hello = new abc;
$hello->b();

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen