✔ Login realisieren

[Markus]

Hallo,

ich versuche in ein Programm ein Login screen einzubinden.
Im Prinzip interessiert es mich wie dieser Login umgesetzt werden kann.

Es wäre ja einfach zu realisieren, dass am Anfang eine Abfrage nach einem Passwort kommt und dann einfach mit equals geguckt wird ob das richtige Passwort eingegeben wurde. Der Vergleichswert würde einfach in einem String im Quellcode stehen.
Das klingt aber zu simpel. Ich habe nicht vor mein Programm 100%ig sicher zu halten.
Mich interessiert es nur wie so etwas mit java oder allgemein in Programmen umgesetzt wird.
Weil so wie ich es mir "simpel" vorstelle kann es ja nicht sein.

Gruß

 

[HonniCilest]

Arbeite doch mit Verschlüsselung. Dazu gibt es hier im Forum paar Einträge, aber auch jede Menge Ergebnisse, wenn du danach googelst

z.B. http://www.tutorials.de/forum/java/212543-verschluesselung.html

 

[Anime-Otaku]

In einem normalen Programm wird nie das Passwort selbst gespeichert. Sondern nur ein Hash Wert davon. Oftmals wird dafür sha als Algorithmus verwendet.

Das heißt, beim Registrieren des Benutzers wird der Referenz Hash gebildet. Und beim weiteren einloggen wird das Passwort gehashed und anschließend der Hash gegen den Referenz Hash verglichen.

 

[Markus]

Okay. Mit AES und RSA habe ich mich schon beschäftigt.
Was meinst Du konkret mit "benutze doch verschlüsselung"?

@Anime-Otaku: Das ist natürlich eine gute "Idee" ;-)
Lässt sich aber nicht aus einem Hash Wert das obejct das diesen Hash Wert erstellt hat rekonstruieren? (Habe mich noch nicht eingängig mit Hash verfahren beschäftigt)
Wenn nicht ist das doch relativ sicher oder?

Danke und Gruß

 

[Anime-Otaku]

Nein, du verwechselt es mit einer einfachen Verschlüsselung.

Ein Hash-Verfahren ist immer in einer Richtung möglich. Es kann theoretisch sein, dass natürlich ein anderer Zeichenstring xyz der gleiche Hash bildet, aber das ist sehr unwahrscheinlich und weniger schlimm, als wenn man Passwörter direkt speichert.

Es gibt natürlich Möglichkeiten diese zu knacken, aber dazu braucht man mit aktueller Hardware mehrere Jahrzehnte (je nach Passwortlänge und komplexität) und funktioniert mehr durch ausprobieren. (Brute Force)

 

[PositivDenker]

Alle vohandene Hash code wurde von anderen Leuten erfunden. Das heisst , dass jemand jedes Algorithmus bereit hat. Lieber wäre es, wenn du selbst ein Kodierungsprinzip zu erstellen hätte. Es ist nicht zu schwer und kostet Hackern mehr Mühe.
Viel Spass!

 

[Anime-Otaku]

Alle vohandene Hash code wurde von anderen Leuten erfunden. Das heisst , dass jemand jedes Algorithmus bereit hat. Lieber wäre es, wenn du selbst ein Kodierungsprinzip zu erstellen hätte. Es ist nicht zu schwer und kostet Hackern mehr Mühe.
Viel Spass!

Wenn ich deine Sätze richtig interpretiere meinst du, dass man eher sich selbst ein Hash Algorithmus ausdenken soll, anstatt etablierte zu verwenden? Da die Algorithmen ja öffentlich zugänglich sind.

Nur weil es ein allgemein bekannter Hash-Algorithmus ist, heißt das nicht das dieser leicht zu hacken ist. Weil dafür müsste der Hacker ja 1. wissen welche Algo man verwendet hat und 2. das Gegenstück als klaren Text kennen. Dafür müsste man alle möglichen Textkombinationen durchprobieren (oder Wörtbuch basiert) oder es müsste eine Datenbank geben wo zu jeder Textkombination der Hash zu finden ist.

Warum das Rad neu erfinden^^
Naja ist nur meine Meinung :-D

 

[Kai008]

Wenn du einen Login verwenden willst, willst du doch irgendwelche Daten schützen. Warum verwendest du dann keinen Server, der diese Daten enthält. Dieser bekommt das Passwort (welches von dem Clienten wegen Man-in-the-middle bereits als Hash umgewandelt wurde, md5 ist in Java bereits eingebaut, andere weis ich nicht) und sendet die entsprechenden Daten zurück. Der Server könnte so z. B. nach einer bestimmten Anzahl von Fehlversuchen eine bestimmte Zeit alle Verbindungen zu diesen Clienten abbrechen, oder auch ein neues Password generieren, welches den User per Mail-Addresse zugeschickt wird.

 

[PositivDenker]

Weil dafür müsste der Hacker ja 1. wissen welche Algo man verwendet hat und 2. das Gegenstück als klaren Text kennen.

Jede Algo kann man umprogrammieren, dann fehlt die zweite Aufgabe ab.
Warum haben wir heutzutage so viele Programmiersprachen und fast standardtisiere Passwort-Algorithmen?

Deswegen noch ein eigenes Rad könnte nicht schaden.

Programmierer kann selbst seine Daten schützen.