frage zum opensim hash

hallo zusammen
ich hab mal eine frage.
wie setzt sich der passwordhash und passwordsalt von opensim in der auth tabelle eigendlich zusammen?
ich bekomm den einfach nicht ausgelesen
mit md5(md5('password') + : etc geht es nicht dann stimmt der wert nicht ueberein. wollte mir was zusammen basteln und dazu die kennwörter der auth verwenden hoffe weiss einer rat:( danke schonma im vorraus

Hallo basecolor

Zu allererst: auslesen geht überhaupt nicht! Das liegt am Grundsatz der MD5-Verschlüsselung, bei der während des Verschlüsselungsprozesses etwas verloren geht. D.h. diese Verschlüsselung ist irreversibel - nicht rückwärts machbar. Ein Passwort auf die Gültigkeit zu prüfen kann man nur, indem man den eingegebenen Wert für das Passwort ebenfalls verschlüsselt und mit dem gespeicherten, verschlüsselten Wert vergleicht.

Die Hash/Salt Methode geht da noch einen Schritt weiter: Dabei ist der (meist zufällig generierte) Salt-Wert selbst dem Ersteller des Passwortes nicht bekannt. Zur Prüfung muss dann md5(md5(eingegebenes Passwort)+":"+Salt) herangezogen werden. Der Nachteil neben der Notwengikeit, 2 Felder (Hash + Salt) statt nur einem (Passwort) speichern zu müssen ist wohl auch ein ungleich höherer Aufwand bei der Prüfung. Der Vorteil allerdings ist ein ungleich höherer Schutz für die gespeicherten Passwörter für die User.

Wenn ich in einer Datenbanktabelle in einem Passwortfeld z.B. den Wert "098f6bcd4621d373cade4e832627b4f6" oder "81dc9bdb52d04dc20036dbd8313ed055" sehe, weis ich sofort, dass das Passwort "test" bzw. "1234" ist. Bei der Hash/Salt Methode ist das aber nicht so ohne weiteres ersichtlich, da der gespeicherte Wert (der Hash) für das selbe Passwort jedesmal ein anderer ist.

Ich hoffe, das hilft dir ein bisserl weiter.

Greetz
FoTo50

Hallo.

Ich bin ebenfalls an diesem Thema interessiert. Leider bin ich nun kein Fachmann au Sachen PHP. Derzeit habe ich mein Login so gemacht:

$user = md5($user);
$user = md5(md5($user).":".$user);

Das Problem ist dabei, das mein Passwort-Hash nicht mit dem in der Datenbank übereinstimmt. Könnte mir da bitte jemand helfen, wie ich mein Login realisieren könnte?

Gruß Tim

Hallo TimSolano

Das ist im Prinzip schon so richtig ... das wird in jOpenSim genauso berechnet. Die Login-Prozedur wird allerdings nicht von uns realisiert, sondern ist von OpenSim festgelegt. Wenn es (so wie bei jOpenSim) lediglich darum geht, das Passwort zu speichern bzw. zu überschreiben, dann müssen nur noch diese BEIDEN Werte ($user und $user) in der Tabelle "auth" in die gleichnamigen Felder geschrieben werden.

Greetz
FoTo50

PS.: da das eindeutig ein DEV-Talk ist, habe ich es in dieses Forum verschoben

Nachtrag:

Was bei 'passwordSalt' verwendet wird hat mit dem Passwort selber nicht wirklich etwas zu tun. Um etwa noch mehr Zufälligkeit zu erreichen, könnte man genauso
schreiben.

Wichtig ist einfach, dass danach auch beide Werte in der Tabelle 'auth' stehen...

Greetz
FoTo50

Hmmm aber wie überprüfe ich nun, ob das eingebene Passwort aus meinem Login Formular dasselbe ist wie das in der "auth" Tabelle vom OpenSim?

Könntest du mir da vllt. nen kleinen Codeschnipsel geben?

Gruß Tim

Hallo Tim

Dazu muss lediglich ein Query mit einer passenden SELECT-Abfrage gebastelt werden.

Z.B.:
bzw. wenn du auch noch Daten aus der Tabelle UserAccounts brauchst z.B.
wobei $eingegebenesPasswort das aus deinem Formular sein muss.

Wenn da eine einzige Zeile herauskommt, war der Login gültig, ansonsten nicht.

Greetz
FoTo50

Du meinst also so:

Aber wie mache ich dann die If Abfrage ob das Passwort richtig ist?

Gruß Tim

Guten Morgen Tim

Zuerst: ich würde nicht htmlspecialchars() verwenden. Passwörter die z.B. ein "&", "<" oder ein ">" beinhalten werden damit falsch umgewandelt. Eine recht zuverlässige Absicherung gegen SQL-Injections wäre z.B.
Ob das Passwort richtig ist, kannst du daran erkennen, ob überhaupt ein Ergebnis retour kommt. Also z.B.:
Greetz
FoTo50

Danke. Nun funzt alles