• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Userscript] Passwort-Hash-Generator

Cyperfriend

Der ohne Avatar

C
Registriert
14 Juli 2013
Beiträge
1.123
Anbei möchte ich hier mein Script veröffentlichen mit dem man sich ein Passworthash auf Basis von SHA512 erstellen kann und dies dann ordentlich versalzt, damit so genannte Regenbogentabellen nutzlos werden und die Sicherheit der Benutzer dadurch deutlich erhöht wird, selbst wenn Benutzer so einfache Passwörter wie "test" oder "123" verwenden (Was trotzdem nicht empfohlen ist).

Das Script erhebt keinen Anspruch auf absolute Sicherheit. Es soll aber Anfängern eine Codebasis liefern und die Funktionsweise verdeutlichen.

Viel Spaß

Mit Datenbankanbindung:
PHP: 
<?php

if(isset($_POST['senden'])){

	# Datenbankinformationen
	$db_user = "";
	$db_pass = "";
	$db_name = "";
	$db_table = "";
	$db_connect = mysql_connect("", $db_user, $db_pass);
	mysql_select_db($db_name) or die (mysql_error());

	# Salt generieren
	$for_salt = ("ABCDEFGHIJKLMNOPQRSTUVWXYZ");
	$for_salt .= ("abcdefghijklmnopqrstuvwxyz");
	$for_salt .= ("123456789");
	$for_salt .= ("-.,_:;!$%&/()=?<>");

	for ($i=0;$i<100;$i++) {
		$tmp = mt_rand(0, strlen($for_salt)-1);
		$salt .= $for_salt[$tmp];
	}
	
	# Passwort und Salt vermischen
	$passwd = hash('sha512', ($_POST['passwort']).$salt);
	$qry = "update $db_table set passwort='".mysql_real_escape_string($passwd)."', salt='".$salt."' where id=1";
	$res = mysql_query($qry, $db_connect) or die (mysql_error());
	
	# Tabelle direkt wieder auslesen
	$qry = "select * from $db_table where id=1";
	$res = mysql_query($qry, $db_connect) or die (mysql_error());
	while ($row= mysql_fetch_array($res)){
		echo "Passwort: ".htmlspecialchars($row['passwort'])."<br>";
		echo "Salt: ".htmlspecialchars($row['salt'])."<br>";
	}
}
?>

<!DOCTYPE HTML>
<html>
	<head>
		<meta charset="UTF-8">
		<title>Passwort-Hash-Generator</title>
	</head>

	<body>
		<form action="test.php" method="post">
			<input type="text" name="passwort">
			<input type="submit" name="senden" value="Erstelle">
		</form>
	</body>
</html>

Ohne Datenbank:
PHP: 
<?php

if(isset($_POST['senden'])){

	# Salt generieren
	$for_salt = ("ABCDEFGHIJKLMNOPQRSTUVWXYZ");
	$for_salt .= ("abcdefghijklmnopqrstuvwxyz");
	$for_salt .= ("123456789");
	$for_salt .= ("-.,_:;!$%&/()=?<>");

	for ($i=0;$i<100;$i++) {
		$tmp = mt_rand(0, strlen($for_salt)-1);
		$salt .= $for_salt[$tmp];
	}
	
	# Passwort und Salt vermischen
	$passwd = hash('sha512', ($_POST['passwort']).$salt);
	echo "Passwort: ".htmlspecialchars($passwd)."<br>";
	echo "Salt: ".htmlspecialchars($salt)."<br>";
}

?>

<!DOCTYPE HTML>
<html>
	<head>
		<meta charset="UTF-8">
		<title>Passwort-Hash-Generator</title>
	</head>

	<body>
		<form action="test.php" method="post">
			<input type="text" name="passwort">
			<input type="submit" name="senden" value="Erstelle">
		</form>
	</body>
</html>
 
Zuletzt bearbeitet:

Schwarzhut

Guest

S
Re: [Userscript] Passwort mit Salt generieren

Danke sehr :beer:

Werd mich mal ein bisschen aus Neugier hineinfuchsen :coffee:
 

aNtiCHrist

Neu angemeldet

aNtiCHrist
Registriert
14 Juli 2013
Beiträge
74
Re: [Userscript] Passwort mit Salt generieren

Hier zeigt sich wieder einmal, dass selbst implementierte Verfahren schnell relevante Schwächen enthalten und es daher in sicherheitskritischen Bereichen besser ist, auf fertige Implementierungen zurückzugreifen, die bereits von Fachleuten analysiert wurden. Ich kann hier jedenfalls nicht erkennen, an welcher Stelle du dafür sorgst, dass gezielte Brute-Force-Angriffe auf ein kurzes Passwort - wie suggerierst - sicherer werden. SHA-512 ist nicht signifikant langsamer als z. B. MD5. Nutze besser einen Algorithmus, der für das Hashen von Passwörtern vorgesehen ist, etwa bcrypt. Zur konkreten Implementierung in PHP abhängig von der Version gibt es unter http://stackoverflow.com/questions/4795385/how-do-you-use-bcrypt-for-hashing-passwords-in-php eine schöne Übersicht.

Ansonsten erscheint mir das Ausgeben von einem Passwort im Klartext nicht unbedingt ratsam, erst recht nicht das Speichern in einer Datenbank. Der Titel dieses Themas ist auch etwas irreführend, schließlich generieren die Scripte keine Passwörter, sondern Passwort-Hashes, wie die Titel der generierten Dokumente ja auch korrekt angeben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben