Passwort - Hash?

Was bringt es mir ein Passwort zu hashen, wenn ich dieses nicht rückgängig übersetzen kann?

6 Antworten

whgoffline

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

programmieren

10.12.2021, 17:29

Naja, sagen wir mal ein Nutzer registriert sich bei deiner Webseite mit

Nutzername: HansGans

Passwort: geheim

Dann hashst du das Passwort mit z.B. mit md5 (recht unsicher).-

Aus geheim wird dann e8636ea013e682faf61f56ce1cb1ab5c.

Nun schreibst du also einen neuen Eintrag für den Nutzer in deine Datenbank

z.B.

Bild zum Beitrag

Bei einem erneuten Einlogvorgang mit dem Nutzernamen HansGans

schaust du dann in der Tabelle nach, welchen Hash du gespeichert hast und vergleichst diesen mit dem Hash vom Passwort welches gerade benutzt wird beim Einlogveruch. Gibt der Nutzer ein falsches Passwort ein, wird der Hash nicht zum gespeicherten passen. Passt alles loggst du den Nutzer normal ein.

Großer Vorteil den Hash anstatt das Passwort direkt zu speichern ist, dass wenn Hacker die Datenbank hacken sie nicht gleich die Passwörter, sondern nur die Hashes kennen. Und da man vom Hash ja nicht auf das Original zurück kommt, ist das schonmal viel sicherer. Die Hacker müssten also nun z.B. durch ausprobieren den Hash knacken. Weiß man also z.B. das das Passwort nur 3 Buchstaben lang ist könnte man nun AAA, und dann AAB, AAC usw. hashen und mit dem erbeutetem Hash vergleichen, bis man den selben wert bekommt. Das kann dann unter Umständen Tausende von Jahren dauern (ein langsamer Hashalgorithmus und ein gutes Passwort vorrausgesetzt).

Woher ich das weiß:Studium / Ausbildung – Informatikstudent

Adornohero

10.12.2021, 17:19

Weil du nur Hashwerte vergleichst. Somit ist die Datenbank sicherer, das Passwort abzufangen ist schwieriger, evtl geht es auch schneller, Hashwerte zu vergleichen, als Passwörter mit der Datenbank abzugleichen

Von Experten whgoffline und Palladin007 bestätigt

Kaktus258

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik

10.12.2021, 17:29

Du kannst diesen Hash mit dem Hash eines anderen Passwortes vergleichen, und so herausfinden ob sie identisch sind.

Ein Beispiel: Wenn du dich irgendwo registrierst und ein Passwort festlegst wird der Hash dieses Passwortes gespeichert (in der Praxis passiert noch bisschen mehr, aber das vernachlässigen wir hier mal). Wenn irgendein Mitarbeiter oder Hacker oder sonst irgendwer an die Daten auf dem Server kommt, sieht er nur den Hash, aus dem dein Passwort nicht rekonstruierbar ist. Aber wenn du dich anmelden willst, gibst du dein Passwort ein. Es wird der Hashwert von deinem eingegebenen Passwort berechnet und mit dem hinterlegten Hashwert verglichen. Stimmen beide überein, ist das eingegebene Passwort garantiert das zuvor festgelegte. Und um das festzustellen, braucht der Server dein Passwort im Klartext gar nicht zu speichern...

Das ist nur eine mögliche Anwendung von Hashfunktionen, aber grundsätzlich sind sie fast immer dazu da um die Echtheit von irgendetwas zu überprüfen ohne dass man es selbst kennt...

Woher ich das weiß:Hobby – Programmiere seit eineinhalb Jahren

JanMarcel01

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik

10.12.2021, 17:18

Hey,

der Sinn ist, dass man Passwörter so sehr sicher speichern kann und sie bei bspw. einem Login dennoch auf Gleichheit überprüfen kann.

Mfg Jannick (L1nd)

Woher ich das weiß:Hobby

grrrml

10.12.2021, 17:19

Genau das, der Hashwert kann mit ausgehandelten Verfahren nur mit dem richtigen PW erzeugt sein, das Passwort selbst verlässt den Eigentümer aber nicht.

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

Hashes Password Cracking?

Hey

Ich versuche gerade, nur zum Testen, meinen Instagram Account zu hacken. Ich kenne das Passwort, will es aber versuchen mit Rainbowcrack zu cracken.
Bin jetzt an dem Punkt, an dem ich ein Hash eintragen muss. Was muss dieser Hash sein, also welcher Wert muss der String haben und wie bekomme ich den Wert?

Vielen Dank
Timo

PS. Ich will nichts böses anstellen, will nur wissen wie es geht. ;D

...zur Frage

Mein Instagram Hash Passwort herausfinden?

Wie kann ich die Hash von meinem Instagram passwort herrausfinden

...zur Frage

Wie ent/-verschlüssliche ich Daten (auch teil Hashing)?

Hallo. Meine Frage ist folgende:

Es müssen ja Daten sicher verschlüsselt werden (auf Datenbanken). Allerdings ist meine Frage folgende. Wenn ich diese verschlüssle, kann ich dies rückgängig machen (also, dass ich wieder auf die eigentliche z. B. Email komme). Beim Hashen, wird es ja komplett verschlüsselt also man kann dies nie mehr rückgängig machen. Meine Frage deswegen. Sollte man für normale Daten wie zum Beispiel E-Mails oder ein Datum nur verschlüsslungs Algorithmen nutzen (weil auf diese Daten muss man ja teils noch zugreifen)? Auch bitte welcher da zu empfehlen ist. Beim Hashen für Passwörter hatte ich jetzt den SHA-256-Hash genutzt. Ist dieser zu empfehlen? Danke im Voraus? Bei Fragen, einfach Fragen :)

...zur Frage

C# Hash Werte vergleichen?

Hallo, ich möchte bei einem Login das Passwort hashen. Wenn man sich eingeloggt hat, kann man neue Benutzer hinzufügen. DIe neuen Benutzer werden dann auch gehasht und beim einloggen soll geprüft werden, ob der Hash Wert vom hinzufügen des Benutzers mit dem Hash Wert beim einloggen übereinstimmt. Wie mache ich das? In meinem BenutzerDialog(dort werden die Benutzer erstellt) wird beim Erstellen_Clickeine Hush Methode aufgerufen.

public Benutzer _selectedBenutzer;
public void HashPassword() { PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher(); HashWithSaltResult hashResultSha512 = pwHasher.HashWithSalt("ultra_safe_P455w0rD", 64, SHA512.Create()); _selectedBenutzer.Passwort = hashResultSha512.Salt; _selectedBenutzer.Passwort = hashResultSha512.Digest; }

Wie vergleiche ich den Hash Wert vom Benutzer hinzufügen(BenutzerDialog) mit dem vom Login?

Will dann eine If-Anweisung in der Art schreiben(diese If-Anweisung ist dann im Login Button):

//If(hashwert == benutzerDialog.hashwert)
//{
//   MessageBox.Show("Die Hash Werte stimmen überein-");
//}
//else
//{
//   MessageBox.Show("DIe Hash Werte stimmen nicht überein");
//}

...zur Frage

Php passwort verschlüsseln?

Hab mir ein Video angesehen das schon von 2016 ist und der Youtuber meinte selber das es eine bessere Methode geben kann als sha512.

$passwort = "einwichtigespasswort";
echo  hash("sha512", $passwort);

Was ist das aktuellste heutzutage ?

...zur Frage

Warum kommt bei Linux md5 hashen ein anderer Wert raus als online?

Wenn ich beispielsweise einegebe

"Password" | md5sum

Kommt ein anderer Hash raus, als im online Generator. Warum ist das so und wie kann ich dem entgegenwirken? Danke im Voraus.

...zur Frage

Ist es schlau ein Hash wieder zu hashen?

z.B. SHA256(SHA256(string))

...zur Frage

Wie bekommt man den Hash eines Passwortes?

Wenn man ein Passwort bei, zum Beispiel: Google anlegt, wird dieses nicht im "Plain-Text" gespeichert, sondern als Hash umgewandelt. Hacker können diesen Hash dann aber trotzdem "entschlüsseln" und die Passwörter erhalten. Nun frage ich mich wie die Hacker die Hashes zu den Passwörtern erhalten. Weiß das irgendwer?

...zur Frage

PHP Passwort Hash Abfrage?

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

...zur Frage

HMAC sha256 hash zum Speichern von Passwörtern in einer Datenbank verwenden?

Hallo, ich programmiere gerade eine Anwendung, dabei soll ein Hash aus HMAC sha256 in einer Datenbank gespeichert werden? Dies sollte doch sicher sein, oder? Vielen Dank für eure Hilfe.

...zur Frage

Wie kann ich den String hashen?

Ich code derzeit was in Java. Ich bekomme das Password als String vom User und hätte vorgehabt das bei der Registrierung dann mit diesem SQL command zu speichern:

String command = "INSERT INTO userdata(username, password)VALUES ('" + username + "', 'HASHBYTES('SHA2_256', "+user_password+")')";

Vorerst mal, Stimmt das so? Kann das funktionieren? Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL? Dass ich keine Daten in die Tabelle schreibe sondern nur verhashen lasse und dann den hash direkt zurückbekomme..

Vielen Dank im Voraus!

...zur Frage

C# User Login: Passwort-Hash vergleichen?

Hallo,

ich programmiere eine Anwendung, in der man Adressen mit SQL-Server verwalten kann. Man kann Benutzer anlegen und sich mit denen beim Start der Anwendung einloggen.

Nun möchte ich das Passwort hashen. Beim Erstellen des Benutzers wird bereits ein Hashwert generiert und in der Passwort-Spalte in der Datenbank angezeigt. Beim Einloggen soll auch das Passwort gehasht werden und dann der Hash vom Einloggen mit dem aus der Datenbank auf Übereinstimmung verglichen werden.

Ich habe mich an folgendem Tutorial orientiert: https://dotnetcodr.com/2017/10/26/how-to-hash-passwords-with-a-salt-in-net-2/

Ich generiere also immer einen zufälligen Hashwert und das auch beim Einloggen. Wenn ich dann also den Hash vom Einloggen mit dem aus der Datenbank pvergleiche, können die nie übereinstimmen, weil eben bei beiden immer ein zufälliger Wert generiert wird.

Hash (beim Erstellen des Benutzers):

public HashWithSaltResult HashWithGenericSalt(string password, int saltLength, HashAlgorithm hashAlgo)
{
    RNG rng = new RNG();
    byte[] saltBytes = rng.GenerateRandomCryptographicBytes(saltLength);
    byte[] passwordAsBytes = Encoding.UTF8.GetBytes(password);
	List<byte> passwordWithSaltBytes = new List<byte>();

    passwordWithSaltBytes.AddRange(saltBytes);
    passwordWithSaltBytes.AddRange(passwordAsBytes);
    byte[] digestBytes = hashAlgo.ComputeHash(passwordWithSaltBytes.ToArray());

    return new HashWithSaltResult(Convert.ToBase64String(saltBytes), Convert.ToBase64String(digestBytes));
}

Hash (beim Einloggen):

public HashWithSaltResult HashWithSalt(string password, string salt, HashAlgorithm hashAlgo)
{
	// Wie hashe ich beim einloggen?
}

Einloggen:

using (var context = new PersonDbContext())
{
	var query = from p in context.Benutzers where textBoxVorname.Text == p.Vorname && textBoxName.Text == p.Name && HashResultSha512.Digest == p.PasswortDigest select p;
    HashPassword();
}

public void HashPassword()
{
    PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher();
    HashResultSha512 = pwHasher.HashWithSalt();

    db.CheckBenutzerLogin(textBoxVorname.Text, textBoxPasswort.Text, HashResultSha512.Salt, HashResultSha512.Digest);
}

Was muss ich in

public HashWithSaltResult HashWithSalt

schreiben, damit er den Hashwert aus der Datenbank verwendet und nicht wieder einen neuen Wert generiert?

...zur Frage

Woher wissen Webseiten ob ein Passwort zu ähnlich zu dem vorherigen ist (Hash)?

Möchte man bei einigen Accounts oder Webseiten sein Passwort ändern erscheint manchmal die Meldung, dass das Passwort zu viele Ähnlichkeiten mit dem vorherigen Passwort besitzt.

Soweit ich weiß werden Passwörter zur Sicherheit in Datenbanken als Hashwerte gespeichert.

Bei einem Hash-Algorithmus ändert sich der vollständige Hashwert schon bei kleinen Veränderungen am Passwort.

Woher wissen diese Services, dass das Passwort starke Ähnlichkeit mit dem vorherigen Passwort hat? Ist bei so einer Meldung davon auszugehen, dass die Passwörter in Klartext gespeichert werden?

Viele Grüße

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen