Passwort verschlüsselung und Entschlüsseling WPF C#?

Hellu

Ich programmiere zurzeit eine Login Page in C# WPF.

Für das speichern des Passworts verwende ich eine Passwordbox - es wird ein SecureString geliefert. Anscheinend soll das bereits verschlüsselt sein.

Meine Frage ist: verschlüsselt man einen SecureString? Wie soll man ein Passwort an eine Datenbank schicken? Als SecureString oder Verschlüsselt?

(Ich werde nämlich ne Datenbank hinterlegen)

Vielen Dank im voraus ^^

2 Antworten

Natsujoestar

10.12.2022, 15:38

Du kannst den SecureString in eine verschlüsselte Zeichenfolge umwandeln, und sie dann an die Datenbank senden! Das kann beispielsweise mit der .NET-Klasse

ProtectedData

erfolgen

krkodil

Fragesteller

10.12.2022, 16:02

Heißt das man verschlüsselt den SecureString einfach nochmal?

Natsujoestar

10.12.2022, 16:07

@krkodil

Nein. Der SecureString selbst wird nicht verschlüsselt. Es wird der Inhalt des SecureString mit Hilfe von Verschlüsselungsalgorithmen wie AES in einen verschlüsselten String konventiert.

krkodil

Fragesteller

10.12.2022, 16:10

@Natsujoestar

Ich verstehe. Vielen dank für die Antwort! :D mit googlen hab ich kaum eine gute Antwort gefunden

krkodil

Fragesteller

10.12.2022, 16:11

@Natsujoestar

Das heißt der String der im SecureString ist wird verschlüsselt nehm ich an ^-^ (will sicher gehn xd)

Natsujoestar

10.12.2022, 16:13

@krkodil

Nein. Der Inhalt des SecureString wird in einen verschlüsselten String konvertiert

krkodil

Fragesteller

10.12.2022, 16:15

@Natsujoestar

Oh okay dann schau ich mir das nochmal genauer an

krkodil

Fragesteller

10.12.2022, 16:17

@krkodil

Also das protecteddata

Natsujoestar

10.12.2022, 16:25

@krkodil

Genau

krkodil

Fragesteller

11.12.2022, 00:15

@Natsujoestar

hab mir das angeschaut. dort verlangen die ein byte array als übergabe. auch mit googlen tauche ich zurzeit unter :,/ ... kannst du mir eventl weiterhelfen...?

würd einf gern den securestring versschlüsseln

krkodil

Fragesteller

10.12.2022, 16:04

Bzw hab ich richtig verstanden dass man den SecureString verschlüsselt?. Btw entschlüsselung erfolgr im backend oder?😅:)

Natsujoestar

10.12.2022, 16:12

@krkodil

Die Entschlüsselung erfolgt wenn du den verschlüsselten String wieder in einen SecureString konvertieren möchtest.

Tyldu

10.12.2022, 21:44

normalerweise sendet man das passwort über https an den server (also verschlüsselt, der server kann es aber entschlüsseln), hasht das passwort dann mit etwas salt und speichert bzw vergleicht dann mit dem hinterlegten hash + salt in der datenbank

krkodil

Fragesteller

10.12.2022, 23:55

ah, okay. das problem ist ich will es jetzt mal nur in eine lokale Datenbank speichern.

ich versuch zwar mit der antwort vom andern weiter zu kommen, den SecureString inhalt mit ProtectedData zu verschlüsseln aber ich tauche unter. :<

Tyldu

11.12.2022, 08:17

@krkodil

wie gesagt, passwörter will man auf keinen fall verschlüsselt in einer datenbank speichern. (weil sie, anders als ein hash mit salt wieder in das klartext passwort umgewandelt werden können, falls jemand zugriff auf datenbank und schlüssel erhält)

schick das passwort einfach im klartext (über https) an den server und der server hasht es mit salt

wenn du (noch) keinen server hast dann machst du das halt clientseitig und speicherst dann salt und hash in der datenbank aber niemals ein verschüsseltes passwort in einer datenbank speichern wenn es nicht sein muss (und in deinem fall muss es das nicht)

krkodil

Fragesteller

11.12.2022, 08:27

@Tyldu

Okay danke

Ähnliche Fragen

Moin Leute,

Ich möchte auf meiner Website eine Login Page errichten, bei der man sich mit einem Passwort einloggen kann.

Während des Logins sollte wenn möglich die restliche Website unscharf sein.

Danke für die Hilfe

...zur Frage

PHP Code wird nur angezeigt und nicht ausgeführt?

Hallo, am besten zeige ich euch erstmal was ich bis jetzt gemacht habe.
Ich programmiere gerade für eine Website ein Login der mit einer SQL Datenbank verbunden ist:

Nun kommt aber das auf meiner Website:

Kann mir einer helfen ich weiß nicht was ich falsch gemacht hab?

...zur Frage

TrueCrypt Verschlüsselung aufheben

Hallo zusammen,

ich habe eine externe Festplatte verschlüsselt mit True Crypt. Das Passwort habe ich nicht verloren aber ich möchte diese externe Festplatte nun wieder ganz normal ohne Verschlüsselung verwenden. Um die Verschlüsselung dauerhaft aufzuheben habe ich allerdings noch keine Option in True Crypt gefunden.

Würde mich freuen, wenn ihr mir da helfen könntet :), richabitu17

...zur Frage

Wie kann man einen QR-Code aus einer Datenbank erstellen?

Nehmen wir mal an, ich habe eine ACCESS-Datenbank.

In der Datenbank gibt es N Datensätze mit M Datenbankfeldern.

Von den M Datenbankfeldern sollen Z Datenbankfelder in einem QR-Code verschlüsselt und ausgedruckt werden.

Wie kann man die QR-Code-Verschlüsselung implementieren?

...zur Frage

Verschlüsselung rückgängig machen

Hi Leute, brauche eure Hilfe!

Umso komplexer die Technik desto schwieriger der Umgang. Ich habe mir ein neues Handy angeschafft: Samsung Galaxy III. Irgendwie habe ich das Handy verschlüsselt. Jedesmal wenn man es nicht gebraucht, verschlüsselt es sich automatisch. Immer wieder muss ich das Passwort eingeben- Das nervt!!!

Wie kann ich die Verschlüsselung aufheben? Danke für eure Antworten

...zur Frage

Bitlocker auf Linux?

Also ich habe nun einen USB-Stick der mit Bitlocker verschlüsselt ist. Ich würde gerne aber auf einem Linux System(Mint) wieder zugriff auf diesem Stick haben.

Und nein ich will nicht erst auf Windows und dann die Verschlüsselung aufheben ich will direkt mit dem Passwort über Linux auf den USB-Stick zugreifen ohne die Verschlüsselung aufzugeben.

...zur Frage

Welche Rolle spielt das Passwort bei einer 128Bit AES Verschlüsselung?

Wenn ich etwas mit AES verschlüsseln möchte, muss ich mir immer eine Passwort ausdenken.

Werden mit diesem Passwort meine Daten, z. B. Text, verschlüsselt? Wird aus einem 6-stelligen Passwort ein 128Bit bzw. 256Bit Code generiert (Art ein Hash), der dann zur Verschlüsselung meiner Daten genutzt wird? Wie lange sollte ein Passwort für AES sein?

...zur Frage

.zip Passwort umgehen?

Hallo allerseits,

Ich habe gerade eine .zip Datei mit wichtigen Dateien mit einem Passwort über WinRAR verschlüsselt, beim festlegen des Passworts habe ich mich wohl vertippt und habe kein Zugang mehr. Ist es irgendwie möglich dieses Passwort zu umgehen/auslesen/ersetzen und zwar sicher und seriös?

...zur Frage

PHP und SQL passwort sha1 verschlüsseln und in datenbank vergleichen?

Hallo liebe Menschen,

ich muss für eine Aufgabe ein passwort in sha1 generieren und dann, das passwort mit dem hash aus der datenbank vergleichen aber ich weiß nicht wie. Also man soll in einer Login Seite das Passwort (kein neu generiertes passwort sondern ein vorher erstelltes) eingeben und mit einem Button (senden) das Passwort mit der Datenbank "benutzer" vergleichen ob nutzername und Passwort (hash (sha1)) übereinstimmen.

Ich bin ein richtiger anfänger was PHP angeht, ich habe es erst seit letzter woche kennengelernt und jetzt soll ich für ein test eine solche aufgabe machen. Ich habe min. 1 tag lang gegooglet wie man es machen könnte aber jeder schreibt nur "tu es nicht, es ist nicht sicher und dann kommen die mit den neuen php tag mit dem man ein passwort sehr gut verschlüsselt.

Danke im Voraus

...zur Frage

Bei SQLAlchemy (flask) Datenbank Tabelle Account überprüfen?

Ich arbeite seit einiger Zeit mit Flask und SQLAlchemy und bin auf die Idee gekommen, eine Webapp für meine Schulklasse zu bauen. Dort soll man sich einloggen können, auf den (Untis-) Stundenplan schauen können usw..

Allerdings hab ich noch nie ein Login gebaut. (Mit Flask oder Django)

Ich habe eine Datenbank wo Nutzer registriert sind und Nutzername, Passwort sowie die IP Adresse des Computers wo er/sie sich das letzte mal angemeldet haben gespeichert.

Ich habe also nun eine Account Datenbank, eine Registrierungsfunktion, aber wie kann ich im Login programmieren dass er nach dem Benutzernamen sucht und das Passwort überprüft? Dazu habe ich auch nichts im Internet gefunden.

Code: Hier klicken(drive)

Ich weiß der Code ist nicht gerade der sicherste, aber da werden ja auch nicht Zahlungsdaten drauf gespeichert.

Danke im voraus, Lennart

...zur Frage

Ich habe ein Login gebaut. Jenen sollen wir nun ausschließlich mit AJAX verbessern. (Wir dürfen dabei nicht sowas wie JQUERY verwenden. Das wissen fehlt uns aber dafür an meisten. Vielleicht kann jemand mir dabei helfen mein Login umzubauen und zu verstehen was ich mache.

Mein Login-Quelltext:

<?php
$pdo = new PDO('mysql:host=localhost;dbname=phptest', 'root', '');

if(isset($_GET['login'])) {
  $email = $_POST['Email'];
  $passwort = $_POST['Passwort'];

  $statement = $pdo->prepare("SELECT * FROM login WHERE Email = :Email");
  $result = $statement->execute(array('Email' => $email));
  $user = $statement->fetch();

  //Überprüfung des Passworts
  if ($user !== false && password_verify($passwort, $user['Passwort'])) {
    $_SESSION['userid'] = $user['ID'];
    die('Login erfolgreich. Weiter zu <a href="index.php?site=Startseite">internen Bereich</a>');
  } else {
    $errorMessage = "E-Mail oder Passwort war ungültig<br>";
  }

}
?>
<!DOCTYPE html>
<html>
<head>
  <title>Login</title>
</head>
<body>

<?php
if(isset($errorMessage)) {
  echo $errorMessage;
}
?>

<form action="Loginseite.php?login=1" method="post">
  E-Mail:<br>
  <input type="email" size="40" maxlength="250" name="Email" required><br><br>

  Dein Passwort:<br>
  <input type="password" size="40" maxlength="250" name="Passwort" required><br>

  <input type="submit" value="Login">
</form>
</body>
</html>

...zur Frage

wie kann man eine login-page sicher machen?

ich versuche eine website zu machen und die hat auch eine login page aber man kann die login felder leer lassen und mankann sich trotzdem anmelden. Wie kann ich das so machen das man eine echte email und passwort eingeben muss um sich anmelden können zu müssen und das auch mit einem log-out button.

...zur Frage

C# User Login: Passwort-Hash vergleichen?

Hallo,

ich programmiere eine Anwendung, in der man Adressen mit SQL-Server verwalten kann. Man kann Benutzer anlegen und sich mit denen beim Start der Anwendung einloggen.

Nun möchte ich das Passwort hashen. Beim Erstellen des Benutzers wird bereits ein Hashwert generiert und in der Passwort-Spalte in der Datenbank angezeigt. Beim Einloggen soll auch das Passwort gehasht werden und dann der Hash vom Einloggen mit dem aus der Datenbank auf Übereinstimmung verglichen werden.

Ich habe mich an folgendem Tutorial orientiert: https://dotnetcodr.com/2017/10/26/how-to-hash-passwords-with-a-salt-in-net-2/

Ich generiere also immer einen zufälligen Hashwert und das auch beim Einloggen. Wenn ich dann also den Hash vom Einloggen mit dem aus der Datenbank pvergleiche, können die nie übereinstimmen, weil eben bei beiden immer ein zufälliger Wert generiert wird.

Hash (beim Erstellen des Benutzers):

public HashWithSaltResult HashWithGenericSalt(string password, int saltLength, HashAlgorithm hashAlgo)
{
    RNG rng = new RNG();
    byte[] saltBytes = rng.GenerateRandomCryptographicBytes(saltLength);
    byte[] passwordAsBytes = Encoding.UTF8.GetBytes(password);
	List<byte> passwordWithSaltBytes = new List<byte>();

    passwordWithSaltBytes.AddRange(saltBytes);
    passwordWithSaltBytes.AddRange(passwordAsBytes);
    byte[] digestBytes = hashAlgo.ComputeHash(passwordWithSaltBytes.ToArray());

    return new HashWithSaltResult(Convert.ToBase64String(saltBytes), Convert.ToBase64String(digestBytes));
}

Hash (beim Einloggen):

public HashWithSaltResult HashWithSalt(string password, string salt, HashAlgorithm hashAlgo)
{
	// Wie hashe ich beim einloggen?
}

Einloggen:

using (var context = new PersonDbContext())
{
	var query = from p in context.Benutzers where textBoxVorname.Text == p.Vorname && textBoxName.Text == p.Name && HashResultSha512.Digest == p.PasswortDigest select p;
    HashPassword();
}

public void HashPassword()
{
    PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher();
    HashResultSha512 = pwHasher.HashWithSalt();

    db.CheckBenutzerLogin(textBoxVorname.Text, textBoxPasswort.Text, HashResultSha512.Salt, HashResultSha512.Digest);
}

Was muss ich in

public HashWithSaltResult HashWithSalt

schreiben, damit er den Hashwert aus der Datenbank verwendet und nicht wieder einen neuen Wert generiert?

...zur Frage

Sind diese Daten in Chrome Cache oder Cookies?

Email und Passwort von Gmail.

Paypal Login Daten.

Oder sind die verschlüsselt.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen