Externes Login mit KeyHelp Passwörtern  [GELÖST]

Allgemeine Diskussionen rund um KeyHelp.
Post Reply
zl_523
Posts: 11
Joined: Sat 14. Sep 2019, 08:33

Externes Login mit KeyHelp Passwörtern

Post by zl_523 »

Hallo zusammen,

Ich würde gerne das Login auf meiner Homepage mit den Zugangsdaten der jeweiligen Nutzer in KeyHelp ermöglichen. Zugriff zur Datenbank besteht, auch die Tabelle "users" habe ich gefunden.

Aber wir werden die Passwörter verschlüsselt? Ich schätze die sind gehasht, aber wo ist der Salt? Jemand ne Idee?
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Externes Login mit KeyHelp Passwörtern

Post by OlliTheDarkness »

/etc/keyhelp
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Externes Login mit KeyHelp Passwörtern

Post by 24unix »

Im /etc/keyhelp liegt in der Tat eine Config mit dem KeyWord "base".

Nur, ich habe keine Ahnung, wofür das verwendet wird. Evtl. für die Verschlüsselung der gespeicherten Passwörter (restic, db, et al).

Für reines Hashing (also wie bei den Passwörtern) verwendet man heute eigentlich keine expliziten Salts mehr, z.B Argon2 ist unter PHP recht beliebt.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
zl_523
Posts: 11
Joined: Sat 14. Sep 2019, 08:33

Re: Externes Login mit KeyHelp Passwörtern

Post by zl_523 »

Schon mal vielen Dank für die Ratschläge. Wäre halt interessant da man dann nur noch ein Passwort benötigen würde.

Aragon2 benötigt sich auch einen Wert als Hash, oder hab ich das jetzt falsch überflogen?
User avatar
Tobi
Community Moderator
Posts: 2813
Joined: Thu 5. Jan 2017, 13:24

Re: Externes Login mit KeyHelp Passwörtern

Post by Tobi »

RTFM
https://www.php.net/manual/de/function. ... verify.php

Eigene „salts“ zu verwenden ist deprecated.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Externes Login mit KeyHelp Passwörtern

Post by 24unix »

zl_523 wrote: Wed 24. Aug 2022, 19:27 Schon mal vielen Dank für die Ratschläge. Wäre halt interessant da man dann nur noch ein Passwort benötigen würde.

Aragon2 benötigt sich auch einen Wert als Hash, oder hab ich das jetzt falsch überflogen?
Nein, hat Tobi ja schon geschrieben, und "$2y$10…" (einer meiner User) sieht nach PASSWORD_DEFAULT für password_hash() aus.

Kannst ja einfach mal experimentieren.

Code: Select all

echo password_hash("my_password", PASSWORD_DEFAULT) . PHP_EOL;
Und das mit einem bekannten PW aus der DB vergleichen.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Tobi
Community Moderator
Posts: 2813
Joined: Thu 5. Jan 2017, 13:24

Re: Externes Login mit KeyHelp Passwörtern

Post by Tobi »

24unix wrote: Wed 24. Aug 2022, 19:37
Kannst ja einfach mal experimentieren.


Und das mit einem bekannten PW aus der DB vergleichen.
OMG.
Das funktioniert nicht!!!!

Das SALT erzeugt JEDESMAL ein anderes Passwort.
Ansonsten wäre es kein Deut sicherer als MD5.

Leute, das sind Basics. 😳😉
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Externes Login mit KeyHelp Passwörtern

Post by 24unix »

Tobi wrote: Wed 24. Aug 2022, 19:48 Leute, das sind Basics. 😳😉
Äh, ja, war etwas zu wenig von mir geschrieben.

Mit dem Befehle oben kann man schauen, ob der selbe Algorithmus verwendet wird.

Zum Prüfen muss man natürlich password_verify() nehmen …
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
zl_523
Posts: 11
Joined: Sat 14. Sep 2019, 08:33

Re: Externes Login mit KeyHelp Passwörtern

Post by zl_523 »

Ja hab es mittlerweile umgesetzt bekommen. Nochmal vielen Dank für die schnelle Hilfe....
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Externes Login mit KeyHelp Passwörtern

Post by 24unix »

zl_523 wrote: Wed 24. Aug 2022, 20:04 Ja hab es mittlerweile umgesetzt bekommen. Nochmal vielen Dank für die schnelle Hilfe....
Magst Du evtl. auch den Code zeigen?

Reicht ein password_verify, oder brauchtest Du den Crypto-Schlüssel (was ich nicht annehme)?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
zl_523
Posts: 11
Joined: Sat 14. Sep 2019, 08:33

Re: Externes Login mit KeyHelp Passwörtern  [GELÖST]

Post by zl_523 »

Tatsächlich reicht es mit password_verify ;)
Hab ein einfaches Login-Script geschrieben das die entsprechenden Daten direkt aus der Datenbank bei KeyHelp abfragt, abgleicht und eine Session setzt :P
User avatar
Alexander
Keyweb AG
Posts: 3814
Joined: Wed 20. Jan 2016, 02:23

Re: Externes Login mit KeyHelp Passwörtern

Post by Alexander »

Nur zur Erklärung: Der Schlüssel unter /etc/keyhelp/config ist für das Verschlüsseln von Passwörtern (und sonstigen kritischen Informationen) gedacht, die wieder entschlüsselt werden müssen - wie zum Beispiel die Zugangsdaten für ein Backup-Remote-Repository.

--

Ansonsten wird für Hashes bei KeyHelp Systemen aktuell Bcrypt (Blowfish) verwendet (so weit es geht) - zu erkennen an dem "2y" zu Beginn des Passworts.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Post Reply