Login mit Salt

stedoo · 28. Januar 2013, 17:43

Hallo,

ich habe ein Registrierformular indem ein 64 Zeichen langer Salt generiert wird und dann mit sha256 Verschlüsselung in der Datenbank (Feld: userPasswordSalt) gespeichert wird, zusätlich zum dem sha256 verschlüsseltem Passwort (Feld: userPassword).

Jetzt sitze ich gerade an dem Login und würde darum bitten, dass ihr euch das mal anschaut und sagt ob das ganze Sinn ergibt und was man verbessern kann. Ich hoffe ich habe das mit Salt alles richtig verstanden

Hier der Code vom Login

Gruß stedoo

Quellcode

<?php
// Formularverabeitung
// gesendetes Passwort verschlüsseln
$sendPassword = hash('sha256',$_POST["password"]);
// Eingabe reinigen
$sendUsername = make_safe($_POST["username"]);
$sendUsername = make_safe_sql($_POST["username"]);
// Datenbank nach Ergebniss durchsuchen
$sql_userLoginInfo = mysql_query("SELECT userID, userName, userFirstName, userLastName, userPassword, userFailedLogin FROM user_info WHERE userName='$sendUsername'");
$sql_userLoginInfoCount = mysql_num_rows($sql_userLoginInfo);
$row = mysql_fetch_object($sql_userLoginInfo);
if($sql_userLoginInfoCount > 0) // Wenn Benutzer existiert
{
$sendPassword = make_safe($sendPassword);
$sendPassword = make_safe_sql($sendPassword);
$sendLoginPasswordHash = $sendPassword . $row->userPasswordSalt; // gesendetes Passwort salzen und verschlüsseln
$userPasswordHash = $row->userPassword . $row->userPasswordSalt; // gespeichertes Passwort salzen und verschlüsseln
if($row->userFailedLogin >= 3)
{
echo "Du hast 3 mal das falsche Passwort eingegeben. Dein Account wurde aus Sicherheitgründen gesperrt. Bitte wende dich an den Administrator der Homepage.";
}
elseif($sendLoginPasswordHash == $userPasswordHash)
{
$_SESSION["userID"] = $row->userID;
$_SESSION["userLogin"] = true;
$_SESSION['KCFINDER'] = array();
$_SESSION['KCFINDER']['disabled'] = false;
// Session ID erstellen
$sessionID = uniqid();
//Session ID verschlüsseln
$sessionID_sha1 = sha1($sessionID);
// Cookie setzen
setcookie("activeSession","$sessionID_sha1",time()+$settings_sessionLifeTime); // 7200s = 2h
//IP Adresse auslesen
$ipAddress = getenv ("REMOTE_ADDR");
// Sicherheit
$userID = mysql_real_escape_string($row->userID);
$sessionID2 = mysql_real_escape_string($sessionID_sha1);
$ipAddress2 = mysql_real_escape_string($ipAddress);
// Benuter Update
mysql_query( "UPDATE user_info SET userOnlineStatus='1', userLastLogin='$currentDate', userSessionID='$sessionID2', userFailedLogin='0', userCurrentIP='$ipAddress2' WHERE userID='$userID'" );
// Log Eintrag
writeLog("login", "$username ($ipAddress2) hat sich angemeldet.");
?>
<?php
echo "Du hast dich erfolgreich eingeloggt. <a href='index.php?page=Startseite'>Falls die automatische Weiterleitung nicht funktioniert, klicken Sie bitte hier!</a>";
echo"<meta http-equiv='refresh' content='3; URL=index.php?page=Startseite'>";
}
else
{
$ipAddress = getenv ("REMOTE_ADDR");
$ipAddress5 = mysql_real_escape_string($ipAddress);
echo "Das eingegebene Passwort ist falsch. <a href='index.php?page=Startseite'>Falls die automatische Weiterleitung nicht funktioniert, klicken Sie bitte hier!</a>";
writeLog("failedLogin", "von IP Adresse: $ipAddress");
mysql_query( "UPDATE user_info SET userFailedLogin=(userFailedLogin+1) WHERE userID='$userID'" );
echo"<meta http-equiv='refresh' content='3; URL=index.php?page=Startseite'>";
}
}
else
{
echo"Benutzername konnte nicht gefunden werden. <a href='index.php?page=Startseite'>Falls die automatische Weiterleitung nicht funktioniert, klicken Sie bitte hier!</a>";
echo"<meta http-equiv='refresh' content='3; URL=index.php?page=Startseite'>";
}
?>

Alles anzeigen

Bodo06 · 30. Januar 2013, 08:27

Moin stedoo!

Bevor es um den Salt geht ... Warum veränderst du das Passwort mit make_safe() und make_safe_sql() ? Du hast doch beim Login nicht vor, dass Passwort in die Datenbank zu schreiben und auch beim Registrieren macht es keinen Sinn, da es sowieso gehashed wird.

Beim Thema Salting und Hashing hat mir die folgende Seite sehr viel weitergeholfen: alias.io/2010/01/store-passwords-safely-with-php-and-mysql/ . Ich finde es dort sehr gut und verständlich erklärt.

Kleiner Tipp am Rande: Die bcrypt Hash Funktion nimmt dir das ganze schön easy und sauber ab. bcrypt ist momentan eine der stärksten und am schwersten zu crackenden Hashing Methoden. Näheres z.B. hier: phpgangsta.de/schoener-hashen-mit-bcrypt

Viel Erfolg und happy coding!
Bodo_06

stedoo · 30. Januar 2013, 11:10

Hi,

danke. Ich steig da immer noch nicht ganz durch.

Für jeden User soll ein eigenes Salt generiert werden und auch in die Datenbank geschrieben werden?

Bodo06 · 30. Januar 2013, 13:33

Im Prinzip ja.

Aber nicht so, dass man es als Salt erkennt. also nicht das Datenbank Feld password_salt oder so nennen. Am einfachsten hängst du den Salt und das Passwort einfach zusammen.
Schau mal, ob dir der wikipedia Artikel weiterhilft: de.wikipedia.org/wiki/Salt_(Kryptologie)

Das Thema ist insgesammt nicht ganz einfach.

stedoo · 30. Januar 2013, 22:16

Danke Dir.
Ich habe nun mal versucht mein Login umzubauen mit PDO. :)
Ist das so alles in Ordnung oder muss ich noch was wichtiges beachten? Die PDO Klasse habe ich hier aus dem WIki (Danke dafür)

Quellcode

<?php
// gesendetes Passwort verschlüsseln
$sendPassword = hash('sha256',$_POST["password"]);
$pdoparams = array(
':userName' => $_POST['username']
);
$sql = "SELECT
userID,
userPassword
FROM
user_info_page
WHERE
userName = :userName
";
$stmt = MyDB::getInstance()->prepare($sql);
$stmt->execute($pdoparams);
$row = $stmt->fetch();
if($stmt->rowCount() > 0) // Wenn Benutzer existiert
{
if($row->userFailedLogin >= 3)
{
echo "Du hast 3 mal das falsche Passwort eingegeben. Dein Account wurde aus Sicherheitgründen gesperrt. Bitte wende dich an den Administrator der Homepage.";
}
elseif($sendPassword == $row->userPassword)
{
// Sessions setzen -----
$_SESSION["userID"] = $row->userID;
$_SESSION["userLogin"] = true;
//Session ID verschlüsseln -----
$sessionID_sha1 = sha1(uniqid());
// Cookie setzen -----
setcookie("ActiveSession","$sessionID_sha1",time()+7200); // 7200s = 2h
//IP Adresse auslesen
$userCurrentIP = getenv ("REMOTE_ADDR");
// Spielerinfo updaten -----
$sql = "UPDATE
user_info_page
SET
userOnlineStatus='1',
userFailedLogin='0',
userLastLogin=UNIX_TIMESTAMP(),
userSessionID='$sessionID_sha1',
userIPAddress='$userCurrentIP'
WHERE
userID='$row->userID'
";
$stmt = MyDB::getInstance()->prepare($sql)->execute();
// Meldung ausgeben -----
echo "Du hast dich erfolgreich eingeloggt. <a href='index.php?page=Startseite'>Falls die automatische Weiterleitung nicht funktioniert, klicken Sie bitte hier!</a>";
echo"<meta http-equiv='refresh' content='3; URL=index.php?page=Startseite'>";
}
else
{
echo "Das eingegebene Passwort ist falsch. <a href='index.php?page=Startseite'>Falls die automatische Weiterleitung nicht funktioniert, klicken Sie bitte hier!</a>";
// Spielerinfo updaten -----
$sql = "UPDATE
user_info_page
SET
userFailedLogin=userFailedLogin+1
WHERE
userID='$row->userID'
";
$stmt = MyDB::getInstance()->prepare($sql)->execute();
echo"<meta http-equiv='refresh' content='3; URL=index.php?page=Startseite'>";
}
}
else
{
echo"Benutzername konnte nicht gefunden werden. <a href='index.php?page=Startseite'>Falls die automatische Weiterleitung nicht funktioniert, klicken Sie bitte hier!</a>";
echo"<meta http-equiv='refresh' content='3; URL=index.php?page=Startseite'>";
}
?>

Alles anzeigen

Login mit Salt

Login mit Salt

Quellcode

Quellcode

Teilen

Benutzer online 1

Tags