[Userscript] Passwort-Hash-Generator

[Cyperfriend]

Anbei möchte ich hier mein Script veröffentlichen mit dem man sich ein Passworthash auf Basis von SHA512 erstellen kann und dies dann ordentlich versalzt, damit so genannte

You do not have permission to view link please Anmelden or Registrieren

nutzlos werden und die Sicherheit der Benutzer dadurch deutlich erhöht wird, selbst wenn Benutzer so einfache Passwörter wie "test" oder "123" verwenden (Was trotzdem nicht empfohlen ist).

Das Script erhebt keinen Anspruch auf absolute Sicherheit. Es soll aber Anfängern eine Codebasis liefern und die Funktionsweise verdeutlichen.

Viel Spaß

Mit Datenbankanbindung:

<?php

if(isset($_POST['senden'])){

	# Datenbankinformationen
	$db_user = "";
	$db_pass = "";
	$db_name = "";
	$db_table = "";
	$db_connect = mysql_connect("", $db_user, $db_pass);
	mysql_select_db($db_name) or die (mysql_error());

	# Salt generieren
	$for_salt = ("ABCDEFGHIJKLMNOPQRSTUVWXYZ");
	$for_salt .= ("abcdefghijklmnopqrstuvwxyz");
	$for_salt .= ("123456789");
	$for_salt .= ("-.,_:;!$%&/()=?<>");

	for ($i=0;$i<100;$i++) {
		$tmp = mt_rand(0, strlen($for_salt)-1);
		$salt .= $for_salt[$tmp];
	}
	
	# Passwort und Salt vermischen
	$passwd = hash('sha512', ($_POST['passwort']).$salt);
	$qry = "update $db_table set passwort='".mysql_real_escape_string($passwd)."', salt='".$salt."' where id=1";
	$res = mysql_query($qry, $db_connect) or die (mysql_error());
	
	# Tabelle direkt wieder auslesen
	$qry = "select * from $db_table where id=1";
	$res = mysql_query($qry, $db_connect) or die (mysql_error());
	while ($row= mysql_fetch_array($res)){
		echo "Passwort: ".htmlspecialchars($row['passwort'])."<br>";
		echo "Salt: ".htmlspecialchars($row['salt'])."<br>";
	}
}
?>

<!DOCTYPE HTML>
<html>
	<head>
		<meta charset="UTF-8">
		<title>Passwort-Hash-Generator</title>
	</head>

	<body>
		<form action="test.php" method="post">
			<input type="text" name="passwort">
			<input type="submit" name="senden" value="Erstelle">
		</form>
	</body>
</html>

Ohne Datenbank:

<?php

if(isset($_POST['senden'])){

	# Salt generieren
	$for_salt = ("ABCDEFGHIJKLMNOPQRSTUVWXYZ");
	$for_salt .= ("abcdefghijklmnopqrstuvwxyz");
	$for_salt .= ("123456789");
	$for_salt .= ("-.,_:;!$%&/()=?<>");

	for ($i=0;$i<100;$i++) {
		$tmp = mt_rand(0, strlen($for_salt)-1);
		$salt .= $for_salt[$tmp];
	}
	
	# Passwort und Salt vermischen
	$passwd = hash('sha512', ($_POST['passwort']).$salt);
	echo "Passwort: ".htmlspecialchars($passwd)."<br>";
	echo "Salt: ".htmlspecialchars($salt)."<br>";
}

?>

<!DOCTYPE HTML>
<html>
	<head>
		<meta charset="UTF-8">
		<title>Passwort-Hash-Generator</title>
	</head>

	<body>
		<form action="test.php" method="post">
			<input type="text" name="passwort">
			<input type="submit" name="senden" value="Erstelle">
		</form>
	</body>
</html>

 

[Schwarzhut]

Re: [Userscript] Passwort mit Salt generieren

Danke sehr

Werd mich mal ein bisschen aus Neugier hineinfuchsen

 

[aNtiCHrist]

Re: [Userscript] Passwort mit Salt generieren

Hier zeigt sich wieder einmal, dass selbst implementierte Verfahren schnell relevante Schwächen enthalten und es daher in sicherheitskritischen Bereichen besser ist, auf fertige Implementierungen zurückzugreifen, die bereits von Fachleuten analysiert wurden. Ich kann hier jedenfalls nicht erkennen, an welcher Stelle du dafür sorgst, dass gezielte Brute-Force-Angriffe auf ein kurzes Passwort - wie suggerierst - sicherer werden. SHA-512 ist nicht signifikant langsamer als z. B. MD5. Nutze besser einen Algorithmus, der für das Hashen von Passwörtern vorgesehen ist, etwa bcrypt. Zur konkreten Implementierung in PHP abhängig von der Version gibt es unter

You do not have permission to view link please Anmelden or Registrieren

eine schöne Übersicht.

Ansonsten erscheint mir das Ausgeben von einem Passwort im Klartext nicht unbedingt ratsam, erst recht nicht das Speichern in einer Datenbank. Der Titel dieses Themas ist auch etwas irreführend, schließlich generieren die Scripte keine Passwörter, sondern Passwort-Hashes, wie die Titel der generierten Dokumente ja auch korrekt angeben.