Passwörter in Cookies speichern?

Hi. Sollte man Passwörter (natürlich gehasht, z. B mit SHA-256-Hash) speichern? Bzw. ist das "okay". Des weiteren hab ich eine andere Frage. Wenn man in einer App eine ID hat und man diese beim Programmeiren oft an den Server (also immer) geben muss, sollte man die dort auch speichern? Also auch natürlich gehasht.

3 Antworten

BeamerBen

14.02.2023, 14:27

Was hä WTF

Sollst du Passwörter nicht (nur) mit SHA-256 hashen sondern mit einer vernünftigen Key Derivation Function / Hashfunktion die auf Passwort Hashing ausgelegt ist mit einer vernünftigen Anzahl an Runden und Salt. Ein Beispiel wäre bcrypt, da wird dir quasi alles abgenommen.
Nein du speicherst eine Session ID im Browser und nicht das Passwort und das was sich ändert ist wie lange diese Session gültig ist
Würde ich empfehlen, dass du den Login nicht selber baust wenn du so eine Frage stellen musst, könntest z.B. Keycloak (wenn du selber einen Dienst der den Login übernimmt betreiben möchtest) + eine Library für Oauth2 / OpenID Connect verwenden

Xandros0506

14.02.2023, 14:27

natürlich gehasht, z. B mit SHA-256-Hash

wenn überhaupt, dann bitte nicht ungesalzen. Sonst kannst du es auch gleich im Klartext speichern.

ohwehohach

14.02.2023, 14:25

Nein! Normalerweise wirst Du in solchen Fällen eine tokenbasierte Authentifizierung machen, z.B. OAuth2.

Dann speichert die App/Webseite nur den Benutzernamen und das Token, aber niemals das Kennwort!

Luca34332

Fragesteller

14.02.2023, 14:26

Kannst du es genauer erklären? Also das mit 0Auth2?

ohwehohach

14.02.2023, 14:29

@Luca34332

Kurzform: Benutzer gibt Benutzername und Kennwort an. Als Antwort bekommt er Token und Refreshtoken zurück (mit Ablaufdatum). Zukünftig wird mit Anfragen an den Server nur noch das Token geschickt. Wenn dieses kurz davor ist, abzulaufen, fragt die Webseite/App beim Server mit Hilfe des Refreshtoken ein neues Token und ein neues Refreshtoken ab.

Vorteil:

Client muss die Login-Daten nicht kennen, sondern lediglich einmal weitergeben.
Token kann Informationen über Benutzerberechtigungen beinhalten
Token sind nicht fälschbar
Token sind widerrufbar

Luca34332

Fragesteller

14.02.2023, 14:31

@ohwehohach

Danke erstmal. Ich nutze Vue.js als Framework. Würdest du da Vue-Auth empfehlen?

ohwehohach

14.02.2023, 14:32

@Luca34332

Kenne Vue.js nicht. Aber irgendwas wird es schon geben. Dein größeres Problem dürfte die Implementierung des Backend sein.

Hallo. Meine Frage ist folgende:

Es müssen ja Daten sicher verschlüsselt werden (auf Datenbanken). Allerdings ist meine Frage folgende. Wenn ich diese verschlüssle, kann ich dies rückgängig machen (also, dass ich wieder auf die eigentliche z. B. Email komme). Beim Hashen, wird es ja komplett verschlüsselt also man kann dies nie mehr rückgängig machen. Meine Frage deswegen. Sollte man für normale Daten wie zum Beispiel E-Mails oder ein Datum nur verschlüsslungs Algorithmen nutzen (weil auf diese Daten muss man ja teils noch zugreifen)? Auch bitte welcher da zu empfehlen ist. Beim Hashen für Passwörter hatte ich jetzt den SHA-256-Hash genutzt. Ist dieser zu empfehlen? Danke im Voraus? Bei Fragen, einfach Fragen :)

...zur Frage

Mit welchem Hash oder Verschlüsselung sollte eine E-Mail Adresse in einer Datenbank gespeichert werden?

Hallo zusammen,

eine E-Mail Adresse soll in einer MySQL Datenbank gespeichert werden. Wie bei einem Kennwort sollte der Datensatz meiner Meinung nach auch bei einer E-Mail Adresse verschlüsselt in der Datenbank gespeichert werden.

Es handelt sich hierbei um eine Formulareingabe des Nutzers durch PHP und HTML. Programmiert wird demnach in PHP, für Passwörter gibt es die Methode PASSWORD_HASH - siehe http://php.net/manual/de/function.password-hash.php

Nun zu den Fragen:

Sollte man eine E-Mail, welche in einer Datenbank gespeichert werden soll, verschlüsseln, oder als Hashwert speichern?

Welche Verschlüsselung oder alternativ Hashwert (SHA-1, SHA-256, SHA-512, MD5 ...) sollte man für das sichere Speichern einer E-Mail Adresse verwenden?

Vielen Dank!

...zur Frage

Alle Passwörter auf iPhone speichern?

Bei Apple gibt es ja die Funktion alle Passwörter zu speichern und diese dann einfach schnell mit Face ID verwenden.

Ist das sicher?

Also falls man gehackt wird kann der Hacker dann auf all diese Passwörter zugreifen?

...zur Frage

Ist es sicher seine Passwörter auf dem Iphone zu speichern?

Hallo,

habe ein Iphone X und in den Einstellungen kann ich alle meine Passwörter von den Seiten eintragen und man kommt da nur mit der Face Id rein also kann ich da ruhigen Gewissens meine Passwörter speichern?

Zudem kann ich einstellen ob dann auf den Seiten die Passwörter automatisch ausgefüllt werden.

...zur Frage

Chrome meldet mich nach Schließen ab?

Servus! Musste alles neu installieren und habe demnach auch Chrome wieder aufm Rechner drauf.

Wenn ich mich auf YT, Google, Twitter, etc. anmelde, werde ich, wenn ich Chrome schließe, anscheinend ausgeloggt. Passwörter speichern und Cookies sind an, auch "angemeldet bleiben" bei den Seiten..

Hat jemand eine Idee, woran es liegen könnte?

Vielen Dank im Vorraus

...zur Frage

TS 3 Passwörter

Wir haben ein TS 3 Server und verschiedene Berreiche in dem TS (Channel´s) Da ich nicht der admin bin aber alle Passwörter habe und die nicht immer eingeben will, gibt es da ne möglichkeit das irgendwie zu speichern damit ich die nicht immer wieder eingeben muss wenn ich mich neu einlogge auf dem TS server????????

...zur Frage

Werden Passwörter bei allen Anbietern auf dieselbe Weise gehasht?

Passwörter werden ja verschlüsselt gespeichert. Wenn ich also hier einen Account habe und auf Reddit ebenfalls und überall, auch evtl beim E-Mailanbieter, die selben Zugangsdaten verwende und dann bei einer Plattform durch Phishing gehackt werde, kann die jeweils andere Plattform dann anhand der verschlüsselten Passwörter dann theoretisch sich in meinen anderen Account hacken? Also können die Betreiber von Reddit daraus ableiten, dass ich auf Gutefrage dasselbe Passwort habe? Und könnte dich ein Reddit-Mitarbeiter somit in meine Gütertage-Account einloggen?

...zur Frage

Daten senden mit fetch?

Hallo,

ich will mit der Fetch API Daten senden und abrufen. Aber wen ich dies tue, kommt ein Fehler:

POST http://127.0.0.1:5500/api net::ERR_ABORTED 405 (Method Not Allowed)

Ich weiß gar nicht, wie ich diesen Fehler beheben soll. Ich habe dazu auch nichts hilfreiches bis jetzt gefunden.

Mein Ziel ist es, Daten mit Javascript an einen Server (für den Anfang an localhost) zu senden und diese dann von einem weiteren localhost-Server abrufen.

Das ist meine Index.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <section id="control-center">
        <button id="get-btn">Get Data</button>
        <button id="post-btn" onclick="test()">Post Data</button>
        <script>
            function test(){
                const data = {"name": "somename"}
                const options = {
                    method: "POST",
                    headers: {'Content-Type': 'application/json'},
                    body: JSON.stringify(data)
                }
                fetch('/api', options)
            }
        </script>
    </section>
</body>
</html>

Und das ist meine app.js:

const express = require('express')
const app = express()
app.listen(3000, () => console.log('3000'))
app.use(express.static('public'))

app.post('/api', (req, res) => {
    console.log(req)
})

Wenn jemand eine bessere Methode hat, Daten an einen Server zu senden, dann würde ich diese auch mal gerne probieren.

...zur Frage

Wie speichert man einen Login beim Programmieren?

Hallo. Ich Programmiere eine kleine App mit einem Login System. Allerdings weiß ich nicht, wie und wo ich die Daten speichern soll, wenn der Nutzer angemeldet ist. Er soll nämlich Nachrichten senden können. Dafür brauche ich ja zum Beispiel eine Nutzer ID, welche er bekommt wenn er angemeldet ist. Ist es in gut, wenn man diese dann als Variable Lokal speichert oder sollte man das irgendwo anders speichern. Wenn ja, aber bitte auch schreiben, wo und wie man das speichert. Danke im Voraus

...zur Frage

React: Wie kann ich ein Bild in den Application-Ordner /public/profile-pictures hochladen?

Ich versuche, ein soziales Netzwerk zu codieren und möchte eine Funktion zum Hochladen von Profilbildern implementieren. Ich möchte eine einfache Dateiauswahl erstellen, um die Datei im Ordner /public/profile-pictures in meinem Projekt zu speichern. Ich habe einen Client und einen Server, damit ich Axios-Anfragen von meinem Client an meinen Server senden kann. Mein Server befindet sich im Ordner /server. (Die obersten Ebenen sind also meine /src-, /server-, /public- und meine /node-modules-Ordner).

Ich habe eine funktionale Komponente wie diese:

function Edit(props) {
  return (
    <body>
      <Helmet>
        <meta charSet="utf-8" />
        <title>{props.username} | Edit account</title>
      </Helmet>
      <Header />
      <main>
        <input type="file" id="file" name="file "></input>
        <button onClick={/**some function */}></button>
      </main>
    </body>
  );
}

export default Edit;

Jetzt ist meine Frage, wie ich die Datei aus der Dateiauswahl nehmen und in den Ordner /public/profile-pictures speichern kann.

Danke für die Hilfe. :D

...zur Frage

Sql Passwörter ausserhalb vom Web Root speichern?

Wie mache ich das ? Ich hab gelesen ich muss irgendwie eine config file erstellen und die nicht öffentlich zugänglich machen.

backend nutze ich php und webhost ist all inkl.

Soll nicht sicher sein die daten so im quellcode zu lassen falls ein hacker meinen server lahm legt oder so

$host = localhost;

$Dbname = ...;

...

Usw.

...zur Frage

C# CefSharp speichert Cookies nicht?

Moin, ich verwende einen Chromium Browser in meiner Forms App mit CefSharp wenn ich mich irgendwo anmelde muss ich mich wenn ich das Programm neustarte neu anmelden, deswegen möchte ich Cookies speichern

Ich hab jetzt das probiert (Wie es überall im Internet steht):

      var settings = new CefSettings();
      settings.CachePath = Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData) + @"\CEF";
      settings.PersistSessionCookies = true;
      CefSharp.Cef.Initialize(settings);

Aber es funktioniert nicht. Ist der Code fehlerhaft, wenn ja wie würde es richtig gehen?

...zur Frage

PHP Passwort Hash entschlüsseln?

Hallo,

aktuell erstelle ich einen eigenen Passwort Manager.

Ich habe alles soweit eingestellt und läuft soweit.

Nun ist mein Problem, dass ich gerne die Passwörter Verschlüsseln möchte.

Da bin ich dann auf diese Website gestoßen

https://www.php-einfach.de/experte/php-sicherheit/daten-sicher-speichern/php-passwort-sicherheit/

dort habe ich folgenden Text für meine Website verwendet.

$hash = password_hash($passwort, PASSWORD_DEFAULT);

Nun möchte ich den Text aber wieder entschlüsselt haben.

Wie kann ich das am besten machen?

...zur Frage

Android App mit Server?

Also.. lange Geschichte kein Sinn..

Ich möchte eine App erstellen. Diese benutzt API request mit keys (die niemand haben darf) und es muss ein paar Sachen speichern...

Einfach gesagt -> valorant stats welche eine Riot authentication brauchen und http request mit products Key macht.

Wenn ich es mit Android studio machen weiß ich nicht wie ich das mit einem Server "koppeln" soll.... es kann eigentlich alle assets local speichern aber es muss ein paar nein responses ünertragen (vllt. Bilder (.PNG))

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen