PHP Passwort Hash entschlüsseln?

Hallo,

aktuell erstelle ich einen eigenen Passwort Manager.

Ich habe alles soweit eingestellt und läuft soweit.

Nun ist mein Problem, dass ich gerne die Passwörter Verschlüsseln möchte.

Da bin ich dann auf diese Website gestoßen

https://www.php-einfach.de/experte/php-sicherheit/daten-sicher-speichern/php-passwort-sicherheit/

dort habe ich folgenden Text für meine Website verwendet.

$hash = password_hash($passwort, PASSWORD_DEFAULT);

Nun möchte ich den Text aber wieder entschlüsselt haben.

Wie kann ich das am besten machen?

3 Antworten

showgirl1

29.03.2020, 00:03

Ein Hash ist keine Verschlüsselung daher ist auch keine Entschlüsselung dafür vorgesehen. Es handelt sich und eine Einwegfunktion, die nicht rückgängig (außer durch erraten oder Kollisionsttests) gemacht werden kann!

yboy404

Fragesteller

29.03.2020, 00:16

Wie kann ich das den dann am besten machen?
Also ich möchte einfach das Passwort Verschlüsseln und dann wenn man auf der liste ist dann soll alles wieder sichtbar sein!

MRMINEDE

29.03.2020, 01:22

@yboy404

du musst die Hashs vergleichen. Wenn sie gleich sind, ist das Passwort korrekt und sonst nicht

regex9

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, MySQL

29.03.2020, 00:04

Nach dem Konzept von password_hash soll das Passwort nicht wieder entschlüsselt werden. Hash (und salt) werden gespeichert, aber nicht das Passwort selbst. Wenn der Wert mit einer Passworteingabe verglichen werden soll, wird die Eingabe auf dieselbe Art und Weise verschlüsselt und die Hashes werden einander gegenübergestellt.

yboy404

Fragesteller

29.03.2020, 00:19

Wie kann ich das den dann am besten machen?

Also ich möchte einfach das Passwort Verschlüsseln und dann wenn man auf der liste ist dann soll alles wieder sichtbar sein!

regex9

29.03.2020, 00:32

@yboy404

Dazu musst du eigentlich nichts wirklich verschlüsseln. Nimm ein input-Element, setze den Wert dort hinein und ändere via JS das type-Attribut (Wechsel zwischen password und text). Wenn das Passwort nicht initial im Feld stehen soll, kannst du es auch dynamisch nachladen lassen (schick via JavaScript und dem XMLHttpRequest-Objekt einen Request an den Server, wenn irgendein Event ausgelöst wird, z.B. der Klick auf einen Button) und so lange einfach irgendwas in das password-Feld schreiben.

LeBonyt

29.03.2020, 00:37

Passwörter dürfen nicht entschlüsselt werden. Das ist nicht erlaubt.

Du kannst aber Inhalte durchaus vetschlüsseln und wieder entschlüsseln. Wir verwenden openssl Funktionen in PHP

https://www.php.net/manual/de/book.openssl.php

Woher ich das weiß:Berufserfahrung – Web Developer bei einem mittelständischen Portalbetreiber

showgirl1

29.03.2020, 00:56

"Passwörter dürfen nicht entschlüsselt werden" Woher nimmst du denn diese Erkenntnis? Wie funktioniert denn dann ein Passwortmanager? - Wo ja auch der Fragesteller explizit seine Anwendung sieht.

LeBonyt

29.03.2020, 01:07

@showgirl1

Du musst auch mal zwischen Zeilen lesen.

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

PHP: Warum funktioniert das Login-Script mit 'password_verify' nicht?

Hallo an alle!

Ich habe ein Problem mit diesem Login-Skript. Es funktioniert einfach nicht, wenn ich das Passwort (password_hash()) mit password_verify überprüfen will. Ich habe schon alles mögliche, wie z.B. die DB-Verbindung und die SQL-Abfrage und das HTML-Formular geprüft, sowie gegoogelt, aber nichts passendes gefunden.

Kann mir jemand von euch sagen, weshalb der Login-Vorgang nicht funktioniert und immer das letzte else (E-Mail oder Passwort war falsch...) ausgegeben wird?

Code: https://pastebin.com/AG79v9Te

...zur Frage

Php passwort verschlüsseln?

Hab mir ein Video angesehen das schon von 2016 ist und der Youtuber meinte selber das es eine bessere Methode geben kann als sha512.

$passwort = "einwichtigespasswort";
echo  hash("sha512", $passwort);

Was ist das aktuellste heutzutage ?

...zur Frage

PHP: passwort verbergen?

ich habe ein PHP-script wo ein passwort steht. kann ich davon vielleicht irgendwie eine hash erstellen und diese dann vom php-script nutzen lassen ? dass das nicht im klartext da steht.

...zur Frage

PHP Funktion in Text ausführen, welcher aus Datenbank ausgelesen wird?

Guten Tag,

Und zwar möchte ich bei einer Website mittels Datenbank und einer PHP Funktion einen Text auslesen. In diesem Text sind Öffnungszeiten drinnen, welche von einer anderen Datenbank ausgelesen werden soll. Also steht dann im Text: <?php oeffnungszeitenAusgeben() ?>.. doch diese Funktion wird leider nicht ausgeführt und wird auskommentiert. Kann mir wer sagen, wie ich das fixen kann?

PS: Falls ihr euch fragt, warum ich die Öffnungszeiten aus einer Datenbank auslese und nicht einfach hinschreibe... Die Öffnungszeiten tauchen 3 mal auf und per Login kann man die Öffnungszeiten ändern

...zur Frage

PHP Passwort Hash Abfrage?

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

...zur Frage

PHP error: Connection failed: Access denied for user 'dbu1599117'@'swh-live-web08.swh.1u1.it' (using password: YES)?

Hallo

ich habe bei meiner Strato website diesen error bekommen und frage mich wie ich den fixen kann. Benutzer und Passwort sind korrekt.

...zur Frage

Wie mache ich meine Suchleiste funktionsfähig (Blog)?

Hallo!

Ich habe mit HTML, CSS, JS und PHP einen Blog "geschrieben/programmiert", in dem eine Suchleiste eingebaut ist. Was muss ich tun, um diese funktionsfähig zu machen? Die Suchfunktion sollte meine MySQL Datenbank durchsuchen und dann die gefundenen Beiträge auf einer Seite auflisten.

Bis jetzt sieht der Code erst so aus:

<div class="section search">
 <h2 class="section-title">Search</h2>
 <form action="index.html" method="post">
    <input type="text" name="search-term" class="text-input" placeholder="Search...">
 </form>
</div>

So sieht die Suchleiste auf der Website aus:

Es wäre super, wenn mir jemand mit dem gesamten PHP Skript helfen könnte...

Danke ;)

...zur Frage

#1067 - Fehlerhafter Vorgabewert ( DEFAULT ) für 'created at' Error erscheint bei der Erstellung einer neuen SQL-Tabelle. Kennt jemand den Error oder hat ihn?

Ich beschäftige mich schon länger mit HTML, CSS, Java,... Allerdings wollte ich auch mal ein Loginsystem basteln und begann, phpmyadmin, usw. zu installieren. Ich orientierte mich an dem Loginscript von http://www.php-einfach.de/experte/php-codebeispiele/loginscript/#Datenbankstruktur (Tabelle dort ebenfalls aufgeführt) und baute die vorgegebene Tabelle ab. Jedoch erscheint dauerhaft der oben genannte Fehler.

Meine Frage nun lautet: Kennt sich jemand damit aus und kann mir typische Gründe für solch einen Error nennen, hat jemand von euch den gleichen Error und ist die Tabelle vielleicht veraltet und mir kann jemand ein Beispiel für eine laufende Tabelle mit der gleichen Wirkung (ebenfalls bezogen auf den Verlauf des Scripts) schicken?

-Danke an alle fleißigen Helfer im Voraus

...zur Frage

Mit welchem Hash oder Verschlüsselung sollte eine E-Mail Adresse in einer Datenbank gespeichert werden?

Hallo zusammen,

eine E-Mail Adresse soll in einer MySQL Datenbank gespeichert werden. Wie bei einem Kennwort sollte der Datensatz meiner Meinung nach auch bei einer E-Mail Adresse verschlüsselt in der Datenbank gespeichert werden.

Es handelt sich hierbei um eine Formulareingabe des Nutzers durch PHP und HTML. Programmiert wird demnach in PHP, für Passwörter gibt es die Methode PASSWORD_HASH - siehe http://php.net/manual/de/function.password-hash.php

Nun zu den Fragen:

Sollte man eine E-Mail, welche in einer Datenbank gespeichert werden soll, verschlüsseln, oder als Hashwert speichern?

Welche Verschlüsselung oder alternativ Hashwert (SHA-1, SHA-256, SHA-512, MD5 ...) sollte man für das sichere Speichern einer E-Mail Adresse verwenden?

Vielen Dank!

...zur Frage

PHP wird nicht ausgeführt / Html?

Ich wollte für meine kleine Website ein Login sowie ein automatisches-Mail-versenden programmieren und bin bei den meisten Tutorials auf PHP verwiesen worden. Ich habe mehrere PHP Dateien geschrieben und es kommt immer das selbe bei rum: Anstatt die PHP Datei im Hintergrund ausgeführt wird, wird mit dem Submit Button die „Textdatei“ angezeigt, also der Code von PHP. Und das obwohl ich alle Anleitungen genauestens gefolgt bin. Sowohl lokal als in Webform passiert dies.

„Action=php datei“ bringt mich zum Text.

wie kann man das Problem beheben?

...zur Frage

Webserver URL Dateiname mit HTACCESS verbergen?

Ich möchte, dass die Dateien meiner Website ausschließlich ohne Dateiendung erreichbar sind.

Also soll "<protokoll><servername><verzeichnis><dateiname>" zu"<protokoll><servername><verzeichnis><dateiname>.php|html" umgewandelt werden. Mit "<servername><verzeichnis><dateiname>.php|html" soll man allerdings nicht auf dieentsprechende Datei zugreifen können, da das, soweit ich weiss, von Suchmaschinen als Duplicate Content gewertet werden würde.

Bisher steht in meiner HTACCESS-Datei folgender Code, der allerdings nur ersteres erfüllt:

RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^.]+)$ $1.php [NC,L]

...zur Frage

Warum wird die Seite neu geladen wenn ich etwas eingebe?

Hallo!

Ich bin nicht wirklich erfahren in PHP und lerne indem ich neue Dinge ausprobiere, kopiere, etc. Nun habe ich folgenden Code für eine Passworteingabe:

<?php
$passwort = "test";
if (isset($_POST["go"])) {
    if ($_POST["name"] == $passwort) {

    } else {

    }
} else {
    ?>
    <form class="webflow-style-input" method="post">
        <input class="popup_password" type="Password" required placeholder="Passwort eingeben" name="name">
        <input class="popup_submit" type="Submit" name="go" value=">">
    </form>
<?php } ?>

Wenn ich nun Text eingebe und ihn absende lädt die Seite neu. Weiß jemand wieso und wenn ja wie ich das abschalten kann?

...zur Frage

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen