C# User Login: Passwort-Hash vergleichen?

Hallo,

ich programmiere eine Anwendung, in der man Adressen mit SQL-Server verwalten kann. Man kann Benutzer anlegen und sich mit denen beim Start der Anwendung einloggen.

Nun möchte ich das Passwort hashen. Beim Erstellen des Benutzers wird bereits ein Hashwert generiert und in der Passwort-Spalte in der Datenbank angezeigt. Beim Einloggen soll auch das Passwort gehasht werden und dann der Hash vom Einloggen mit dem aus der Datenbank auf Übereinstimmung verglichen werden.

Ich habe mich an folgendem Tutorial orientiert: https://dotnetcodr.com/2017/10/26/how-to-hash-passwords-with-a-salt-in-net-2/

Ich generiere also immer einen zufälligen Hashwert und das auch beim Einloggen. Wenn ich dann also den Hash vom Einloggen mit dem aus der Datenbank pvergleiche, können die nie übereinstimmen, weil eben bei beiden immer ein zufälliger Wert generiert wird.

Hash (beim Erstellen des Benutzers):

public HashWithSaltResult HashWithGenericSalt(string password, int saltLength, HashAlgorithm hashAlgo)
{
    RNG rng = new RNG();
    byte[] saltBytes = rng.GenerateRandomCryptographicBytes(saltLength);
    byte[] passwordAsBytes = Encoding.UTF8.GetBytes(password);
	List<byte> passwordWithSaltBytes = new List<byte>();

    passwordWithSaltBytes.AddRange(saltBytes);
    passwordWithSaltBytes.AddRange(passwordAsBytes);
    byte[] digestBytes = hashAlgo.ComputeHash(passwordWithSaltBytes.ToArray());

    return new HashWithSaltResult(Convert.ToBase64String(saltBytes), Convert.ToBase64String(digestBytes));
}

Hash (beim Einloggen):

public HashWithSaltResult HashWithSalt(string password, string salt, HashAlgorithm hashAlgo)
{
	// Wie hashe ich beim einloggen?
}

Einloggen:

using (var context = new PersonDbContext())
{
	var query = from p in context.Benutzers where textBoxVorname.Text == p.Vorname && textBoxName.Text == p.Name && HashResultSha512.Digest == p.PasswortDigest select p;
    HashPassword();
}

public void HashPassword()
{
    PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher();
    HashResultSha512 = pwHasher.HashWithSalt();

    db.CheckBenutzerLogin(textBoxVorname.Text, textBoxPasswort.Text, HashResultSha512.Salt, HashResultSha512.Digest);
}

Was muss ich in

public HashWithSaltResult HashWithSalt

schreiben, damit er den Hashwert aus der Datenbank verwendet und nicht wieder einen neuen Wert generiert?

2 Antworten

PeterKremsner

28.05.2018, 10:43

Beim Einloggen verwendest du nicht die HashWithSalt Methode. Du musst dir dazu noch eine eigene Methode schreiben um das zu prüfen.

Einfach an das Passwort den Salt anhängen dann den Hash bilden und selbst mit der DB vergleich ob es überein stimmt.

omnivore17

28.05.2018, 18:24

Du darfst doch nicht zwei unterschiedliche Ausgangswörter nehmen.

Hashfunktionen sind Einwegfunktionen. Du hasht dein Passwort am Anfang und legst es in der Datenbank ab. Und beim Einloggen musst du natürlich exakt die gleiche Hashfunktion nutzen. Und zwar ungesalzen! Braucht man da nämlich nicht.

Sofort in dem OnEinloggenKlickiBuntiEvent sofort den Hash erzeugen und zur Datenbank zu Vergleich schicken.

Mehr brauchst du nicht zu tun. Salzen ist nicht nötig, da man Hash-Werte eh nicht auf den Ursprung zurückführen kann.

Moin, ich möchte von einer MySQL Daten zu einer C# Anwendung importieren, aber der ConnectionString scheint nicht richtig zu sein. Ich nutze für die Datenbank Verwaltung HeidiSQL, falls das wichtig ist.

Hab es schon mit mehreren connectionStrings probiert, aber keiner hat funktioniert.

Mein Code:

using System.Data.SqlClient;
namespace DB_Test
{
  public partial class Form1 : Form
  {
    public Form1()
    {
      InitializeComponent();
string connectionString1 = "Server=localhost;Database=test-db;Integrated Security=True;";
      string connectionString2 = @"Data Source=(localdb)\MSSQLLocalDB;Initial Catalog=test-db;Integrated Security=True;";
      string connectionString = @"Data Source=localhost;Initial Catalog=db-test;User id=root;Password=root;";
      SqlConnection connection = new SqlConnection(connectionString);
      connection.Open();
    }
  }
}

Infos zu der Datenbank:

...zur Frage

C# auf SQL Datenbank zugreifen?

Hallo liebe Community,

ich möchte mein Programm mit einer SQL Datenbank die mit phpMyAdmin erstellt wurde verbinden.

den Connection-String habe ich wie folgt:

string myConnectionString = "SERVER=localhost;" +

"DATABASE=dbname;" +

"UID=user;" +

"PASSWORD=pw;";

wenn ich dann ein Open auf die Connection machen möchte bekomme ich folgenden Fehler:

SocketException: Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte 127.0.0.1:3306

Woran kann das liegen was mache ich Falsch oder was habe ich vergessen?

Währe sehr dankbar, dass mich jemand was das angeht belehren kann. :)

...zur Frage

Wie kann ich den String hashen?

Ich code derzeit was in Java. Ich bekomme das Password als String vom User und hätte vorgehabt das bei der Registrierung dann mit diesem SQL command zu speichern:

String command = "INSERT INTO userdata(username, password)VALUES ('" + username + "', 'HASHBYTES('SHA2_256', "+user_password+")')";

Vorerst mal, Stimmt das so? Kann das funktionieren? Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL? Dass ich keine Daten in die Tabelle schreibe sondern nur verhashen lasse und dann den hash direkt zurückbekomme..

Vielen Dank im Voraus!

...zur Frage

Wie speichert man Werte einer Datenbank in Variablen zwischen?

Das ist was ich bereits habe:

cn = new SqlConnection(cn_string);

cn.Open();

string sqlname = "SELECT EssenName FROM essen WHERE IDEssen =" + Index;

cmd = new SqlCommand(sqlname, cn);

Wie kann ich nun den Wert oder eher gesagt den string der im SQL aufruft gegeben wird in eine normale C# Variable speichern(Also praktisch string i ="SELECT EssenName FROM essen WHERE IDEssen =" + Index;). Ich verstehe ehrlich gesagt, die ganzen Erklärungen, die es bereits im Internet gibt nicht so ganz, weshalb ich um eine einfach Erklärung bitten würde.

...zur Frage

C# Hash Werte vergleichen?

Hallo, ich möchte bei einem Login das Passwort hashen. Wenn man sich eingeloggt hat, kann man neue Benutzer hinzufügen. DIe neuen Benutzer werden dann auch gehasht und beim einloggen soll geprüft werden, ob der Hash Wert vom hinzufügen des Benutzers mit dem Hash Wert beim einloggen übereinstimmt. Wie mache ich das? In meinem BenutzerDialog(dort werden die Benutzer erstellt) wird beim Erstellen_Clickeine Hush Methode aufgerufen.

public Benutzer _selectedBenutzer;
public void HashPassword() { PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher(); HashWithSaltResult hashResultSha512 = pwHasher.HashWithSalt("ultra_safe_P455w0rD", 64, SHA512.Create()); _selectedBenutzer.Passwort = hashResultSha512.Salt; _selectedBenutzer.Passwort = hashResultSha512.Digest; }

Wie vergleiche ich den Hash Wert vom Benutzer hinzufügen(BenutzerDialog) mit dem vom Login?

Will dann eine If-Anweisung in der Art schreiben(diese If-Anweisung ist dann im Login Button):

//If(hashwert == benutzerDialog.hashwert)
//{
//   MessageBox.Show("Die Hash Werte stimmen überein-");
//}
//else
//{
//   MessageBox.Show("DIe Hash Werte stimmen nicht überein");
//}

...zur Frage

MD5-Hash bei Java und C# geben nicht das selbe Ergebnis?

Hallo zusammen,

ich versuche in den letzten Tage mich mit der Entwickleroberfläche der FritzBox auseinander zu setzen. Leider scheitete ich am Session ID Login.

Der Login funktioniert über eine Challenge (String) den mir die FritzBox generiert und dem Passwort der FritzBox. Wenn ich den Login richtig verstanden habe geht er wie folgt:

Schritt 1: Challenge erhalten via fritz.box/login_sid.lua

Schritt 2: Alle Zeichen im Passwort der FritzBox, welche nicht in ISO-8859-1  
           anzeigbar sind (einen CodePoint von über 255 besitzen) mit einem "."  
           ersetzen

Schritt 3: Einen MD5-Hash im Format von 32 Hexzeichen mit Kleinbuchstaben 
           generieren aus dem String %Challenge%-%Passwort% (%Challenge% ist die
           aus dem Schritt 1, %Passwort% ist das Passwort der FritzBox aus dem 
           Schritt 2)

Schritt 4: Das Ergebnis zum Anmelden nutzen: 
           http://fritz.box/login_sid.lua?response=%Challenge%-%Ergebnis% 
           (%Ergebnis% ist der 
           MD5-Hash aus Schritt 3)

So: Was ist nun mein Problem?

Ich möchte diesen MD5-Hash generieren. Ich habe mir bereits Tutorials angeschaut, wie die von baeldung.com und auch einen String als Ergebnis bekommen. Das Problem ist aber, dass der Hash falsch ist.

Also habe ich mir den Beispiel C#-Code auf der FritzBox Webseite angeschaut und ausprobiert. Das Ergebnis ist ein ganz anderer Hash. Wie kommt das zu Stande?

Damit man mich besser versteht, habe ich hier meinen Java Code und den Code aus C#.

Input bei allen:

51cbb71a-Test

Java (Möglichkeit 1): https://pastebin.com/vpzA8mr9 (um Platz zu sparen als Link)

Output:

DigestTest: 3e2a82112b721922d21a2e62e12f02212b02142c12692a82

Java (Möglichkeit 2):

StringBuilder builder = new StringBuilder();
for (byte b : DigestUtils.md5(input)) {
    builder.append(byteToHex(b));
}
System.out.println("BuilderDigest: " + builder.toString());

Output:

BuilderDigest: 3ea811b7192d1ae6e1f021b014c169a8

Java (Möglichkeit 3):

String md5Hex = DigestUtils.md5Hex(input); //API: commons-codec-1.15.jar
System.out.println("Hash: " + md5Hex);

Output:

Hash: 3ea811b7192d1ae6e1f021b014c169a8

static void Main(string[] args) {
  try {
    MD5 md5Hasher = MD5.Create();
    byte[] encoded = Encoding.Unicode.GetBytes("51cbb71a-Test");
    byte[] data = md5Hasher.ComputeHash(encoded);
    StringBuilder builder = new StringBuilder();
    for (int i = 0; i < data.Length; i++) {
      builder.Append(data[i].ToString("x2"));
    }
    Console.WriteLine(builder.ToString());
  } catch(IndexOutOfRangeException exception) {
    Console.WriteLine("null");
  }
}

Output:

0e9af10abdb7cd7119a85967272e3bc3

Wieso kommt da was anderes raus und wie kann ich das nun auch in Java umsetzen? (Der C#-Code gibt die richtige Lösung!)

Danke schon einmal im Voraus!

Links die Helfen können:

https://avm.de/fileadmin/user_upload/Global/Service/Schnittstellen/Session-ID_deutsch_13Nov18.pdf
https://www.baeldung.com/java-md5 (etwas alt)
https://www.youtube.com/watch?v=hW2s03abGaI
https://codedocu.de/...

...zur Frage

SQL-Datenbankabfrage in ArrayList speichern java?

Ich habe eine Datenbank mit 4 Eigenschaften (username,passwd,usrid,blocked). Die Datenbank heißt jolas und die tabelle jolas_user. nun möchte ich aller blockierten nutzer username in eine arraylist speichern. (blockiert ist eine 1 in blocked). Nun versuche ich es hiermit

public ArrayList<String> banned_user()
    {
        ArrayList <String> banned = new ArrayList<String>();
        try {
            String query = "select username from jolas_user where blocked = '"+1+"'";
            rs = st.executeQuery(query);
            for (int i = 1; i == maxusrID(); i++) {
                username = rs.getString("username");
                banned.add(i,username);
            }
            
        }catch (Exception ex){
            System.out.println(ex);
        }
        return banned;
    }

Nur mein Problem ist, dass nichts rauskommt und nichts abgespeichert wird. Das ganze ist mit jdbc gemacht. Kann mir einer helfen bitte...

...zur Frage

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

Wie bekomme ich Daten aus einer bestimmten Zeile (Sqlite, Android Studio?

(Ich bin noch relativ neu in Android Studio, bzw. Programmieren generell, aber learning by doing und so) Ich will die Daten die ich zuvor in die Datenbank gespeichert habe, auslesen und als Beschriftung eines Buttons einfügen. Da ich keine Zeilen hinzufügen oder löschen will, werden bei erstellen der Tabelle gleich alle Zeilen mit erstellt, so dass ich deren IDs habe. Nun ich hab ich versucht eine Lösung zu finden, jedoch crasht die App wenn ich mein Herumgemurckse ausführe (was wahrscheinlich nicht verwunderlich ist ^^' ) Der Name der Datenbank usw.:

    public static final String DATABASE_NAME = "stundenplan.db";
    public static final String TABLE_NAME = "faecher";
    public static final String COL_1 = "ID";
    public static final String COL_2 = "fach";
    public static final String COL_3 = "farbe";

Die getData() Methode aus der DatabaseHelper Class:

public Cursor getData(){
        SQLiteDatabase sqLiteDatabase = this.getWritableDatabase();
        Cursor res = sqLiteDatabase.rawQuery("SELECT * FROM " + COL_2 + " WHERE "  + COL_1 + " = 1", null);
        return res;
    }

Die onClick() Methode aus der (Tabbed) Activity:

btn_ok.setOnClickListener(new View.OnClickListener() {
                @Override
                public void onClick(View view) {
                    Cursor res = myDB.getData();
                    btn_mo1 = view.findViewById(R.id.btn_mo1);
                    btn_mo1.setText(res.getString(1));
                }
            });

Ich bekomme übrigens keinen Fehlercode oder so.

...zur Frage

Java HashMap: Key anhand von Value als Set<String> zurückgeben?

Moin,

folgender Fall:

private HashMap<String, String> storage = new HashMap<String, String>();

public void store(String item, String repository) {
  if (repository == null || item == null) {
    throw new NullPointerException();
  }

  if (repository == "" || item == "") {
    throw new IllegalArgumentException();
  }

  storage.put(item, repository);
}

public Set<String> getItems(String repository) {
  // Key: Glasses value: Bookshelf
  // return null;
}

Aufgabe:

For the

getItems("Bookshelf");

the function should return the Set {"Glasses"}.

Irgendwelche Vorschläge? Meine Suche hat bisher kein hilfreiches Ergebnis vorgebracht.

...zur Frage

Mit welchem Hash oder Verschlüsselung sollte eine E-Mail Adresse in einer Datenbank gespeichert werden?

Hallo zusammen,

eine E-Mail Adresse soll in einer MySQL Datenbank gespeichert werden. Wie bei einem Kennwort sollte der Datensatz meiner Meinung nach auch bei einer E-Mail Adresse verschlüsselt in der Datenbank gespeichert werden.

Es handelt sich hierbei um eine Formulareingabe des Nutzers durch PHP und HTML. Programmiert wird demnach in PHP, für Passwörter gibt es die Methode PASSWORD_HASH - siehe http://php.net/manual/de/function.password-hash.php

Nun zu den Fragen:

Sollte man eine E-Mail, welche in einer Datenbank gespeichert werden soll, verschlüsseln, oder als Hashwert speichern?

Welche Verschlüsselung oder alternativ Hashwert (SHA-1, SHA-256, SHA-512, MD5 ...) sollte man für das sichere Speichern einer E-Mail Adresse verwenden?

Vielen Dank!

...zur Frage

C# Abbrechen-Button?

Hallo, ich habe ein Problem mit meiner Anwendung. Ich habe eine Form die heißt z.B. Form1 und eine Form2. Beim klick auf den Hinzufügen-Button in Form1 öffnet sich Form2 (dort sollen dann Daten in Textboxen eingegeben). Wenn ich dann auf den Speichern-Button klicke werden diese eingegebenen Daten in eine Datenbank gespeichert und in einem Datagridview in Form1 angezeigt. Das Problem hierbei ist, der Abbrechen-Button in Form2 funktioniert nicht (beim klick auf den Abbrechen-Button soll man wieder zurück zu Form1 kommen). Ich habe eine Datenbank Kontext Klasse "PersonDbContext" in der zwei Methoden sind, einmal zum hinzufügen und einmal entfernen einer Person aus dem grid sowie Datenbank.

DbContext:

public class PersonDbContext : DbContext
	{
		public DbSet<Persons> Person { get; set; }
    public void AddPerson(Persons person)
    {
        Person.Add(person);
        SaveChanges();
        MessageBox.Show(@"Person wurde erfolgreich hinzugefügt.");
    }

    public void RemovePerson(Persons person)
    {
        Person.Attach(person);
        Entry(person).State = EntityState.Deleted;
        SaveChanges();

        MessageBox.Show(@"Person wurde erfolgreich gelöscht.");
    }
}

Form1:

private void buttonHinzufügen_Click(object sender, EventArgs e)
		{
			var dlg = new PersonDialog();
			dlg.ShowDialog();
			var person = dlg.Persons;
        _db.AddPerson(person);
        _db.SaveChanges();
    }

PersonDialog ist die 2. Form die sich dann öffnet (Form2).

Wenn ich auf meinen Abbrechen-Button in meiner 2. Form klicke bekomme ich immer den Fehler das der Wert nicht null sein darf.

Also im DbContext in der AddPerson-Methode heißt es dann der Wert darf nicht null sein (bei Person.Add(person);

public void AddPerson(Persons person)
		{
            //Wert darf nicht null sein.
    		Person.Add(person);
        SaveChanges();
        MessageBox.Show(@"Person wurde erfolgreich hinzugefügt.");
    }

Wenn ich aber eben keine Person hinzufügen will (keine Daten in Form2 eingeben will) ist es null. Ich muss sogesehen eine neue Person hinzufügen und die dann per Löschen-Button in Form1 wieder entfernen weil ich sonst ja die Exception kriege. Also wie bringe ich den Abbrechen-Button in Form2 zum laufen (damit es egal ist ob der Wert null ist bzw halt nichts eingegeben wurde)?

Danke euch. :)

...zur Frage

Java Umlaute Problem?

Hallo,

ich versuche Umlaute in eine Datei zu schreiben:

    FileWriter fww= new FileWriter("C://KBs//test2.xml");
    BufferedWriter bww=new BufferedWriter(fww);
    bww.write("Datenübertragung");
    bww.close();
    
    FileWriter fw= new FileWriter("C://KBs//test3.xml");
    BufferedWriter bw=new BufferedWriter(fw);
    bw.write("<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"yes\"?>");
    bw.write(umlauteUmformen(umlauteErsetzen("Datenübertragung")));
    bw.close();
   }

Beim oberen geht es, beim unteren, wegen dem UTF-8 encoding nicht. Ich versuch das seit 2 Tagen irgendwie in den Griff zu bekommen, jedoch ohne Erfolg.

Ich habe bereits folgende Methoden geschrieben und es damit versucht, auch erfolglos:

public String umlauteErsetzen(String s) {

s=s.replaceAll("ö", "\u00f6").replaceAll("Ö", "\u00d6") .replaceAll("ä", "\u00e4").replaceAll("Ä", "\u00c4").replaceAll("ü", "\u00fc") .replaceAll("Ü", "\u00dc").replaceAll("ß", "\u00df");

return s;

}

Und:

public String umlauteUmformen(String s) {

byte ptext[] = s.getBytes(ISO_8859_1);

String value = new String(ptext, UTF_8);

return value;

}

Die XMLs sind vorgegeben, das UTF-8 encoding im XML kann nicht geändert werden. Ich bitte um Hilfe -_- LG

...zur Frage

Smart-Fernseher legt auf USB-Stick *.cm-Dateien an, eine hat den Inhalt "CM_DEV_ID|" und dann eine Zahlen- und Ziffernfolge, wie wird das generiert (Hashwert)?

Machen Computer das auch bei angeschlossenen Geräten?