MD5 und Salt (Passwort Hash) für Kundenpasswörter

[p3e]

Sehe ich das richtig, dass modified eCommerce Shopsoftware nur md5-Verschlüsselung ohne salt verwendet? Ich hatte in Erinnerung, dass das unter osCommerce sogar bereits inkl. salt verschlüsselt wurde.



Linkback: https://www.modified-shop.org/forum/index.php?topic=10374.0

[DokuMan]

Das ist korrekt.
Bis osCommerce 2.2rc2a (und xt:Commerce 3.0.4 und modified eCommerce Shopsoftware) wird noch MD5 verwendet,
Ab osCommerce 2.3.1 gibt es eine eigene Klasse, die das Passwort mit Salt verschlüsselt.

[p3e]

Wäre dann nicht angebracht das auch bei modified eCommerce Shopsoftware einzuführen?
Der Shop kann dann ja abhängig vom letzten Login-Vorgang die alte bzw. neue Passwortüberprüfung nutzen und gegebenenfalls nach erfolgreichem Login das Passwort gesalzen neu verschlüsselt abspeichern.
Der Aufwand für diese Umstellung sollte eher gering sein.

[DokuMan]

Ich mach mich grad zum Thema schlau!

Bie bisherige Idee:
- In der Kundentabelle soll es ein neues Feld "customers_password_salt" geben.
- Dieses Feld ist für alle Bestandskunden leer.
- Sich neu registrierende Kunden sollen mit einem Salt-Wert angelegt werden, das dann in dem Feld "customers_password_salt" gespeichert wird und auch Teil des Kundenpassworts wird.
- Das System soll Bestandskunden ("customers_password_salt" = leer) nach erfolgreichem Login auf Salt-Passwörter umstellen ("customers_password" = passwort mit Salt && "customers_password_salt" = gefüllt), ohne das der Kunde damit belästigt wird.

Somit muss es beim Login eine Abfrage geben, ob der Kunde schon mit Salt läuft oder noch ohne...

Betroffene Dateien:
- /account_delete.php
- /account_password.php
- /login.php
- /passwort_double_opt.php
- /admin/create_account.php
- /admin/customers.php
- /xtc_installer/install_step6.php

Weitere Vorschläge oder Ideen?

[cYbercOsmOnauT]

Hallo Dokuman,

ich hab Euch doch schon eine fertige Lösung geliefert Gefällt die Euch etwa nicht? Ein gesondertes Feld ist gar nicht nötig. Man kann es einfach anhand der Lösung und dem Aufbau des Passworthashes erkennen und je nachdem den alten Hash auf die salted Variante aktualisieren.

Grüße,
Tekin

[DokuMan]

Hi Tekin!

Stimmt, da war was!
Gut dass du das nochmal erwähnst. Ein zweites Mal wollte ich das Rad sicherlich nicht erfinden

Du schriebst in der PM:

Wenn ihr das Diff lieber anders haben wollt, einfach kurz Bescheid geben

Kannst du mir die Dateien als nicht-Diffs (auch deine angesproche Lösung mit der class.sha1.php) an dokuman[AT]modified eCommerce Shopsoftware.org mailen, dann sehe ich mir das gerne in Ruhe an!

Danke und viele Grüße
Simon

[cYbercOsmOnauT]

Kein Ding. Mach ich gern. Muss ich nur raussuchen. So viel war es gar nicht was man verändern muss. Die Lösung mit der Klasse ist ja laut h-h-h nicht nötig. Das war nur ein Fallback für Shop die PHP mit Version kleiner 4.3 verwenden.

P.S.: Mit Linux könntest Du den diff einfach einspielen Ich weiß schon warum ich mein Ubuntu liebe *g*

[DokuMan]

Ab r1756 & r1757 stehen nun Passwörter mit Salt und (SHA1) zur Verfügung! Bitte auch mal im Trunk-Demoshop testen.

Vielen Dank an Tekin für seine großartige Unterstützung und die Code-Contribution!
 

[cYbercOsmOnauT]

Keine Angst wegen den alten Passwörtern. Diese bleiben MD5 und werden beim ersten Login nach dem Update automatisch in die neue, sicherere Form SHA1+Salt umgewandelt.

[Tomcraft]

Danke an euch beide!

Grüße

Torsten

[h-h-h]

                     

Zu schön, um wahr zu sein.

[GTB]

Danke Tekin !

Gruß Gerhard

[p3e]

Danke auch von mir, Tekin!

[Tomcraft]

Hier bitte nochmal auf den Hinweis von Speedy schauen:

Bitte prüft den Trunk bzgl. der Salt-Geschichte zur Sicherheit ausgiebig.
Ich hatte nach der "Salt-Umstellung" das Problem, dass ich mich mit dem 2. Admin nicht mehr einloggen konnte. Mit dem 1. Admin schon.
Nachdem ich mit dem 1. Admin dem 2. Admin das alte Passwort erneut gegeben hatte, ging's wieder.

Kann's mir nur durch das Update erklären, da sonst bis zu dem Zeitpunkt nichts am Shop verändert wurde. Keine neuen Module.

Stand war @1768.

Quelle: modified eCommerce Shopsoftware eCommerce Shopsoftware 1.05 veröffentlicht

Grüße

Torsten

[cYbercOsmOnauT]

Ich hatte es zichfach getestet. Es ist wichtig zu schauen, ob das Feld "customers_password" wirklich auf "VARCHAR(50)" geändert wurde. Wenn es bei speedy nochmal nicht klappen sollte, möchte er mir bitte den Inhalt von "customers_password" des betreffenden Users zuschicken.