PHP Passwort Hash entschlüsseln?

Hallo,

aktuell erstelle ich einen eigenen Passwort Manager.

Ich habe alles soweit eingestellt und läuft soweit.

Nun ist mein Problem, dass ich gerne die Passwörter Verschlüsseln möchte.

Da bin ich dann auf diese Website gestoßen

https://www.php-einfach.de/experte/php-sicherheit/daten-sicher-speichern/php-passwort-sicherheit/

dort habe ich folgenden Text für meine Website verwendet.

$hash = password_hash($passwort, PASSWORD_DEFAULT);

Nun möchte ich den Text aber wieder entschlüsselt haben.

Wie kann ich das am besten machen?

3 Antworten

showgirl1

29.03.2020, 00:03

Ein Hash ist keine Verschlüsselung daher ist auch keine Entschlüsselung dafür vorgesehen. Es handelt sich und eine Einwegfunktion, die nicht rückgängig (außer durch erraten oder Kollisionsttests) gemacht werden kann!

yboy404

Beitragsersteller

29.03.2020, 00:16

Wie kann ich das den dann am besten machen?
Also ich möchte einfach das Passwort Verschlüsseln und dann wenn man auf der liste ist dann soll alles wieder sichtbar sein!

MRMINEDE

29.03.2020, 01:22

@yboy404

du musst die Hashs vergleichen. Wenn sie gleich sind, ist das Passwort korrekt und sonst nicht

regex9

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, MySQL

29.03.2020, 00:04

Nach dem Konzept von password_hash soll das Passwort nicht wieder entschlüsselt werden. Hash (und salt) werden gespeichert, aber nicht das Passwort selbst. Wenn der Wert mit einer Passworteingabe verglichen werden soll, wird die Eingabe auf dieselbe Art und Weise verschlüsselt und die Hashes werden einander gegenübergestellt.

yboy404

Beitragsersteller

29.03.2020, 00:19

Wie kann ich das den dann am besten machen?

Also ich möchte einfach das Passwort Verschlüsseln und dann wenn man auf der liste ist dann soll alles wieder sichtbar sein!

regex9

29.03.2020, 00:32

@yboy404

Dazu musst du eigentlich nichts wirklich verschlüsseln. Nimm ein input-Element, setze den Wert dort hinein und ändere via JS das type-Attribut (Wechsel zwischen password und text). Wenn das Passwort nicht initial im Feld stehen soll, kannst du es auch dynamisch nachladen lassen (schick via JavaScript und dem XMLHttpRequest-Objekt einen Request an den Server, wenn irgendein Event ausgelöst wird, z.B. der Klick auf einen Button) und so lange einfach irgendwas in das password-Feld schreiben.

LeBonyt

29.03.2020, 00:37

Passwörter dürfen nicht entschlüsselt werden. Das ist nicht erlaubt.

Du kannst aber Inhalte durchaus vetschlüsseln und wieder entschlüsseln. Wir verwenden openssl Funktionen in PHP

https://www.php.net/manual/de/book.openssl.php

Woher ich das weiß:Berufserfahrung – Web Developer bei einem mittelständischen Portalbetreiber

showgirl1

29.03.2020, 00:56

"Passwörter dürfen nicht entschlüsselt werden" Woher nimmst du denn diese Erkenntnis? Wie funktioniert denn dann ein Passwortmanager? - Wo ja auch der Fragesteller explizit seine Anwendung sieht.

LeBonyt

29.03.2020, 01:07

@showgirl1

Du musst auch mal zwischen Zeilen lesen.

Ähnliche Beiträge

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zum Beitrag

Mit welchem Hash oder Verschlüsselung sollte eine E-Mail Adresse in einer Datenbank gespeichert werden?

Hallo zusammen,

eine E-Mail Adresse soll in einer MySQL Datenbank gespeichert werden. Wie bei einem Kennwort sollte der Datensatz meiner Meinung nach auch bei einer E-Mail Adresse verschlüsselt in der Datenbank gespeichert werden.

Es handelt sich hierbei um eine Formulareingabe des Nutzers durch PHP und HTML. Programmiert wird demnach in PHP, für Passwörter gibt es die Methode PASSWORD_HASH - siehe http://php.net/manual/de/function.password-hash.php

Nun zu den Fragen:

Sollte man eine E-Mail, welche in einer Datenbank gespeichert werden soll, verschlüsseln, oder als Hashwert speichern?

Welche Verschlüsselung oder alternativ Hashwert (SHA-1, SHA-256, SHA-512, MD5 ...) sollte man für das sichere Speichern einer E-Mail Adresse verwenden?

Vielen Dank!

...zum Beitrag

PHP: Warum funktioniert das Login-Script mit 'password_verify' nicht?

Hallo an alle!

Ich habe ein Problem mit diesem Login-Skript. Es funktioniert einfach nicht, wenn ich das Passwort (password_hash()) mit password_verify überprüfen will. Ich habe schon alles mögliche, wie z.B. die DB-Verbindung und die SQL-Abfrage und das HTML-Formular geprüft, sowie gegoogelt, aber nichts passendes gefunden.

Kann mir jemand von euch sagen, weshalb der Login-Vorgang nicht funktioniert und immer das letzte else (E-Mail oder Passwort war falsch...) ausgegeben wird?

Code: https://pastebin.com/AG79v9Te

...zum Beitrag

PHP und SQL passwort sha1 verschlüsseln und in datenbank vergleichen?

Hallo liebe Menschen,

ich muss für eine Aufgabe ein passwort in sha1 generieren und dann, das passwort mit dem hash aus der datenbank vergleichen aber ich weiß nicht wie. Also man soll in einer Login Seite das Passwort (kein neu generiertes passwort sondern ein vorher erstelltes) eingeben und mit einem Button (senden) das Passwort mit der Datenbank "benutzer" vergleichen ob nutzername und Passwort (hash (sha1)) übereinstimmen.

Ich bin ein richtiger anfänger was PHP angeht, ich habe es erst seit letzter woche kennengelernt und jetzt soll ich für ein test eine solche aufgabe machen. Ich habe min. 1 tag lang gegooglet wie man es machen könnte aber jeder schreibt nur "tu es nicht, es ist nicht sicher und dann kommen die mit den neuen php tag mit dem man ein passwort sehr gut verschlüsselt.

Danke im Voraus

...zum Beitrag

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zum Beitrag

PHP error: Connection failed: Access denied for user 'dbu1599117'@'swh-live-web08.swh.1u1.it' (using password: YES)?

Hallo

ich habe bei meiner Strato website diesen error bekommen und frage mich wie ich den fixen kann. Benutzer und Passwort sind korrekt.

...zum Beitrag

Php passwort verschlüsseln?

Hab mir ein Video angesehen das schon von 2016 ist und der Youtuber meinte selber das es eine bessere Methode geben kann als sha512.

$passwort = "einwichtigespasswort";
echo  hash("sha512", $passwort);

Was ist das aktuellste heutzutage ?

...zum Beitrag

PHP Passwort Hash Abfrage?

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

...zum Beitrag

PHP wird nicht ausgeführt / Html?

Ich wollte für meine kleine Website ein Login sowie ein automatisches-Mail-versenden programmieren und bin bei den meisten Tutorials auf PHP verwiesen worden. Ich habe mehrere PHP Dateien geschrieben und es kommt immer das selbe bei rum: Anstatt die PHP Datei im Hintergrund ausgeführt wird, wird mit dem Submit Button die „Textdatei“ angezeigt, also der Code von PHP. Und das obwohl ich alle Anleitungen genauestens gefolgt bin. Sowohl lokal als in Webform passiert dies.

„Action=php datei“ bringt mich zum Text.

wie kann man das Problem beheben?

...zum Beitrag

Text verschlüsseln/entschlüsseln?

Hey,

also ich habe ein Problem... Ich habe einen Text den ich geschrieben habe mit einer Website verschlüsselt und da stand irgendwie was mit Advanced Encryption Standard (AES) ich habe das mehrmals gemacht und jetzt gestern habe ich versucht es wieder zu entschlüsseln aber dort stand das das Passwort falsch ist obwohl ich für jeden Textteil den ich geschrieben habe das gleiche Passwort benutzt habe. Also es kann nicht sein das ich das Passwort vergessen habe...

Gibt es eine Möglichkeit den Text wieder zu entschlüsseln oder wenn nicht kennt jemand eine gute Website mit der ich Texte gut verschlüsseln kann?

Danke für hilfreiche Antworten✨

...zum Beitrag

#1067 - Fehlerhafter Vorgabewert ( DEFAULT ) für 'created at' Error erscheint bei der Erstellung einer neuen SQL-Tabelle. Kennt jemand den Error oder hat ihn?

Ich beschäftige mich schon länger mit HTML, CSS, Java,... Allerdings wollte ich auch mal ein Loginsystem basteln und begann, phpmyadmin, usw. zu installieren. Ich orientierte mich an dem Loginscript von http://www.php-einfach.de/experte/php-codebeispiele/loginscript/#Datenbankstruktur (Tabelle dort ebenfalls aufgeführt) und baute die vorgegebene Tabelle ab. Jedoch erscheint dauerhaft der oben genannte Fehler.

Meine Frage nun lautet: Kennt sich jemand damit aus und kann mir typische Gründe für solch einen Error nennen, hat jemand von euch den gleichen Error und ist die Tabelle vielleicht veraltet und mir kann jemand ein Beispiel für eine laufende Tabelle mit der gleichen Wirkung (ebenfalls bezogen auf den Verlauf des Scripts) schicken?

-Danke an alle fleißigen Helfer im Voraus

...zum Beitrag

Webserver URL Dateiname mit HTACCESS verbergen?

Ich möchte, dass die Dateien meiner Website ausschließlich ohne Dateiendung erreichbar sind.

Also soll "<protokoll><servername><verzeichnis><dateiname>" zu"<protokoll><servername><verzeichnis><dateiname>.php|html" umgewandelt werden. Mit "<servername><verzeichnis><dateiname>.php|html" soll man allerdings nicht auf dieentsprechende Datei zugreifen können, da das, soweit ich weiss, von Suchmaschinen als Duplicate Content gewertet werden würde.

Bisher steht in meiner HTACCESS-Datei folgender Code, der allerdings nur ersteres erfüllt:

RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^.]+)$ $1.php [NC,L]

...zum Beitrag

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zum Beitrag

PHP Funktion in Text ausführen, welcher aus Datenbank ausgelesen wird?

Guten Tag,

Und zwar möchte ich bei einer Website mittels Datenbank und einer PHP Funktion einen Text auslesen. In diesem Text sind Öffnungszeiten drinnen, welche von einer anderen Datenbank ausgelesen werden soll. Also steht dann im Text: <?php oeffnungszeitenAusgeben() ?>.. doch diese Funktion wird leider nicht ausgeführt und wird auskommentiert. Kann mir wer sagen, wie ich das fixen kann?

PS: Falls ihr euch fragt, warum ich die Öffnungszeiten aus einer Datenbank auslese und nicht einfach hinschreibe... Die Öffnungszeiten tauchen 3 mal auf und per Login kann man die Öffnungszeiten ändern

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen