DoubleHash verifizieren? - php.de

X

Ventus

Dabei seit: 31.07.2014

Beiträge: 49
#1

DoubleHash verifizieren?

15.11.2017, 16:24

Hallo Community,
ich möchte gerne meine aktuelles Projekt ein wenig umbauen und mit dem WCF erweitern.

Da ich bei dem Login in mein Projekt auch die Passwörter des WCF prüfen möchte, muss ich ja prinzipiell das Passwort verifizieren.
Die Passwörter sind mit einem double salted bcrypt hash verschlüsselt.

Wären sie einfach verschlüsselt, wäre es ja mit

PHP-Code:

password_verify($password, $hash)

getan.

Kann mir jemand erleutern, ob man mittels verify auch die double salted hashs herausfinden kann?

Gruß.
Stichworte: -
Dormilich

Dabei seit: 17.08.2010

Beiträge: 2596
#2

15.11.2017, 16:48

Was ist WCF? Und was soll ein double salted bcrypt hash sein?
Kommentar
Ventus

Dabei seit: 31.07.2014

Beiträge: 49
#3

15.11.2017, 17:02

Woltlab Community Framework ist WCF

Ein DoubleSaltedHash

PHP-Code:

password_hash(password_hash($password, PASSWORD_BCRYPT), PASSWORD_BCRYPT)

Also auf gut deutsch, 2x gehashed
Kommentar
Dormilich

Dabei seit: 17.08.2010

Beiträge: 2596
#4

15.11.2017, 17:13

Also auf gut deutsch, 2x gehashed

Da hat sich wohl jemand gedacht: Doppelt hält besser ... und es dabei gründlich vermasselt.

Da is nix zu machen, den Hash kannst du nicht verifizieren (weil du nicht mehr an das erste Salt kommst). Aber frag nochmal bei WCF nach, wie die sich das gedacht haben.
1 Likes
Kommentar
Ventus

Dabei seit: 31.07.2014

Beiträge: 49
#5

15.11.2017, 17:26

Hab ich mir schon irgendwie gedacht, aber irgendwie muss das ja funktionieren, sonst würde der login bei denen auch nicht funktionieren.

Werde mich mal dorthin wenden. Gruß.
Kommentar
JaMa

Dabei seit: 23.03.2015

Beiträge: 931
#6

15.11.2017, 17:58

https://github.com/WoltLab/WCF/blob/....php#L122-L149

"Software is like Sex, it's best if it's free." - Linus Torvalds
1 Likes
Kommentar
hausl

Moderator

Dabei seit: 03.08.2010

Beiträge: 13744
#7

16.11.2017, 07:15

password_hash(password_hash

Ich habe mal in einem sehr ausführlichen Artikel gelesen das sowas die Sicherheit nur vermindert, weil durch das erste Hashing die Ausgangsbasis für das zweite Hashing vermindert wurde. Fand den Artikel schlüssig finde ihn aber gerade nicht mehr.

The string "()()" is not palindrom but the String "())(" is.

Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
PHP.de Wissenssammlung | Kein Support per PN
Kommentar
tomBuilder

Dabei seit: 22.05.2017

Beiträge: 4685
#8

16.11.2017, 07:48

Steht doch wieder mal die Frage im Raum, wieso was bvesser zu machen zu versuchen, als es eine recht stabile Lösung schon geschafft hat.

eine simple iteration bringts nicht, bcrypt durchläuft desingbedingt schon mehre, die kann man hochschrauben, wenn es der rechner zulässt:
https://security.stackexchange.com/q...a256/3993#3993
https://stackoverflow.com/questions/...terations-cost

https://stackoverflow.com/questions/...ashing-it-once

Wen es interressiert.
Kommentar
hausl

Moderator

Dabei seit: 03.08.2010

Beiträge: 13744
#9

16.11.2017, 07:50

Da gibts es übrigens (vermutlich eh bekannt) von PHP selbst eine FAQ/Empfehlung für sicheres Password-Hashing: http://php.net/manual/de/faq.passwords.php

The string "()()" is not palindrom but the String "())(" is.

Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
PHP.de Wissenssammlung | Kein Support per PN
Kommentar
Dormilich

Dabei seit: 17.08.2010

Beiträge: 2596
#10

16.11.2017, 10:41

Zitat von JaMa Beitrag anzeigen

https://github.com/WoltLab/WCF/blob/....php#L122-L149

Das erklärt einiges (z.B. wird daraus klar, dass zweimal der gleiche Salt verwendet wird, im Gegensatz zur Annahme in Post #3) ... und wie erschreckend wenig Ahnung von Kryptographie dort vorhanden ist.
1 Likes
Kommentar

Vorherige Weiter

Lädt...

X