BETA MODUL: Passwörter sicherer Verschlüsseln mit PHPass

[billybob]

Hi inception,
Auf dem Testsystem habe ich:

Apache/2.2.9 (Debian) DAV/2 PHP/5.2.6-1+lenny16 with Suhosin-Patch mod_python/3.3.1 Python/2.5.2 mod_ssl/2.2.9 OpenSSL/0.9.8g mod_perl/2.0.4 Perl/v5.10.0
PHP Version:   5.2.6-1+lenny16 (Zend: 2.2.0)

installiert.
Außerdem

mcrypt support   enabled
Version   2.5.7
Api No   20021217
Supported ciphers   cast-128 gost rijndael-128 twofish arcfour cast-256 loki97 rijndael-192 saferplus wake blowfish-compat des rijndael-256 serpent xtea blowfish enigma rc2 tripledes
Supported modes   cbc cfb ctr ecb ncfb nofb ofb stream

In der Produktivumbebung ist es ebenfalls ein Debian-System mit PHP 5.2.17 und der gleichen mcrypt-Version.
Die eigentlichen Funktionen sind unter debian und ubuntu in der Systembibliothek libmcrypt enthalten. Das Module php5-mcrypt nutzt diese.

Gruß
billybob

[inception]

Hallo,

es hat leider doch über den Sommer gedauert, aber ich bin jetzt auf dem neuen Server.
Ich wollte nur kurz mitteilen das es klappt 

Viele Grüße!

[billybob]

Hi Users,
wenn Ihr Eure Datenbank auf die Version 1.06 aktualisiert, wird leider durch das Update-Script die Länge des Passwort-Feldes auf 50 Zeichen gekürzt.
Das kann für die, die blowfish auf dem Server nutzen dazu führen, dass die restlichen zehn Zeichen des passworts beim Update einfach ohne Warnung oder Meldung abgeschnitten werden. (Ich liebe MySQL)
Deshalb bitte unbedingt in Zeile 61 der Datei update_1.0.5.0_to_1.0.6.0.sql den Wert für die
Spalte customers_password auf mindestens 60 erhöhen.

Code: SQL  [Auswählen]

#DokuMan - 2011-02-02 - added support FOR passwort+salt (SHA1)
ALTER TABLE customers MODIFY customers_password VARCHAR(60) NOT NULL;

Gruß
billybob

[EDIT Tomcraft 21.08.2014: Hinweis für Shopversion 1.06 in Beitrag 1 ergänzt.]

[volkspost]

Ne blöde Frage von einem Anfänger: Ich setze gerade einen Shop auf, gibt also noch keine Kunden. Ich würde auch gern weg von MD5, PHPass ist schon klasse. Ich nutze modified eCommerce Shopsoftware 1.06 rev 4642 SP2.

Das im ersten Post als Link vorhandene Modul funktioniert doch mit der aktuellen Version? Wenn ich das richtig gelesen habe, ist nur noch die Zeichenzahl im SQL-Table zu ändern.

Sorry für die wahrscheinlich blöde Frage

[billybob]

... Ich nutze modified eCommerce Shopsoftware 1.06 rev 4642 SP2.

Das im ersten Post als Link vorhandene Modul funktioniert doch mit der aktuellen Version? Wenn ich das richtig gelesen habe, ist nur noch die Zeichenzahl im SQL-Table zu ändern.

Genau. Ich habe PasswordHash auch in der 1.06SP2 im Einsatz. Funktioniert einwandfrei.

Sorry für die wahrscheinlich blöde Frage

Nicht wirklich!

Gruß
billybob

[volkspost]

Super billybob und herzlichen dank für den tollen Job - und Deine schnelle Antwort!

Ich bin nicht wirklich paranoid, aber ein Ersatz für das betagte MD5 ist wirklich gut. Ich bin im Bereich Sicherheit tätig und schaut man sich an, mit welcher Performance eine einzelne Grafikkarte AMD HD7970 MD5-Hashes im Vergleich zu PHPass ausprobiert, ist der Vorteil gewaltig.

MD5 : rund 9000 MH/s, das sind 9 Milliarden pro Sekunde
PHPass : rund 2200 KH/s, das sind rund 2 Millionen
Das bremst mögliches Cracking um den Faktor 4.500 aus und macht Hacks eher uninteressant.

Auch wenn aktuelle Versionen von Shopsoftware/PHP/MySQL etc. potentielle Hacks verhindern helfen, klappt das eben leider nicht immer. Und wir wollen ja alle den besten Schutz der Kundendaten.

Also noch einmal herzlichen Dank für das tolle Modul!

[Ceciro]

Ich schließe mich der Danksagung an. 

Es ist schon erschreckend, dass ich 3 Jahre benötige, um diese wertvolle Erweiterung zu entdecken und umzusetzen.

Gruß Cicero

[volkspost]

Ich habe die Dateien eben eingespielt und den SQL-Table erweitert, keine 2 Minuten. Sehr gut: Auch Benutzer mit bestehenden Zugängen müssen sich nicht neu anmelden. Beim nächsten Login wird das neu installierte Hash-Verfahren automatisch angewendet. Der alte MD5-Hash in der Datenbank wir durch den neuen PHPass ersetzt - sehr cool. Das lässt sich also auch im laufenden Betrieb eines Shops ohne Probleme realisieren!

Nochmals Danke billybob!

[HaldOn]

Ertsmal Danke fürs Teilen.

Nach Installation kann ich mich nicht mehr über Cao-Faktura im Shop anmelden, vermutlich liegt es am Script
"cao_xtc.php"

Code: PHP  [Auswählen]

if (!( ($check_customer['customers_password'] == $password) or
             ($check_customer['customers_password'] == md5($password)) or
             ($check_customer['customers_password'] == md5(substr($password,2,40)))
       ))

kann mir jemand einen Tip geben wie ich das beheben könnte.

Danke vorab.

[hpzeller]

Hallo HoldOn

Also ich kenn den code von 'cao_xtc.php' leider nicht, aber versuche doch mal folgendes.

ersetze

Code: PHP  [Auswählen]

    if (!( ($check_customer['customers_password'] == $password) or
                 ($check_customer['customers_password'] == md5($password)) or
                 ($check_customer['customers_password'] == md5(substr($password,2,40)))
           ))

mit

Code: PHP  [Auswählen]

require_once (DIR_FS_INC.'xtc_validate_password.inc.php');

if (!xtc_validate_password($password, $check_customer['customers_password']))

Gruss
Hanspeter

[HaldOn]

Hallo Hanspeter,

danke, leider bekomme ich dann einen xml Fehler von CAO-Faktura gemeldet das die Funktion xtc_validate_password.inc.php nicht findet, DIR_FS_INC ist dem Script unbekannt

Ich habs mal so geändert

Code: PHP  [Auswählen]

require_once ('../inc/xtc_validate_password.inc.php');

dann kommt wieder Passwortfehler

[hpzeller]

Hallo HoldOn

Eigentlich wird der absolute Pfad erwartet aber manchmal geht es auch mit relativen Pfaden deshalb habe ich noch folgende Idee.

Anstelle des von mir geposteten Codes kannst Du mal diesen einfügen

Code: PHP  [Auswählen]

define('DIR_FS_INC', '../inc/');

require_once (DIR_FS_INC.'xtc_validate_password.inc.php');

if (!xtc_validate_password($password, $check_customer['customers_password']))

Gruss
Hanspeter

[HaldOn]

Hallo Hanspeter,

auch dann immer noch "CODE: 108 WRONG PASSWORD"

[hpzeller]

Hallo HoldOn

Letzter Versuch.

Anstelle des von mir geposteten Codes kannst Du mal diesen einfügen

Code: PHP  [Auswählen]

  // Determine Document Root
  function detectDocumentRoot() {
    $dir_fs_www_root = realpath(dirname(basename(__FILE__)) . "/..");
    if ($dir_fs_www_root == '') $dir_fs_www_root = '/';
    $dir_fs_www_root = str_replace(array('\\','//'), '/', $dir_fs_www_root);
    return $dir_fs_www_root;
  }

  //BOF - web28 - 2011-05-06 - NEW Strato document-root function
  function strato_document_root() {
    // subdomain entfernen
    $domain = $_SERVER["HTTP_HOST"];
    $tmp = explode ('.',$domain);
    if (count($tmp) > 2) {
      $domain = str_replace($tmp[0].'.','',$domain);
    }
    $document_root = str_replace($_SERVER["PHP_SELF"],'',$_SERVER["SCRIPT_FILENAME"]);
    //Prüfen ob Domain im Pfad enthalten ist, wenn nein Pfad Stratopfad erzeugen: /home/strato/www/ersten zwei_buchstaben/www.wunschname.de/htdocs/
    if(stristr($document_root, $domain) === FALSE) {
      //Erste 2 Buchstaben der Domain ermittlen
      $domain2 = substr($tmp[count($tmp)-2], 0, 2);
      //Korrektur Unterverzeichnis
      $htdocs = str_replace($_SERVER["SCRIPT_NAME"],'',$_SERVER["SCRIPT_FILENAME"]);
      $htdocs = '/htdocs' . str_replace($_SERVER["DOCUMENT_ROOT"],'',$htdocs);
      //MUSTER: /home/strato/www/wu/www.wunschname.de/htdocs/
      $document_root = '/home/strato/www/'.$domain2. '/www.'.$domain.$htdocs;
    }
    return $document_root;
  }
  //EOF - web28 - 2011-05-06 - NEW Strato document-root function

  if (strpos($_SERVER['DOCUMENT_ROOT'],'strato') !== false) {
    define('DIR_FS_DOCUMENT_ROOT', rtrim(strato_document_root(),'/') . '/');
  } else {
    define('DIR_FS_DOCUMENT_ROOT', rtrim(detectDocumentRoot(),'/') .'/');
  }    
  define('DIR_FS_CATALOG', DIR_FS_DOCUMENT_ROOT);
  define('DIR_FS_INC', DIR_FS_CATALOG.'inc/');
 
  require_once (DIR_FS_INC.'xtc_validate_password.inc.php');
 
 
 
 
  if (!xtc_validate_password($password, $check_customer['customers_password']))
 

Gruss
Hanspeter

[HaldOn]

Hallo Hanspeter,

danke, beim vorherigen Code wurde der Pfad zur "xtc_validate_password.inc.php" gefunden, aber die Zeilen

Code: PHP  [Auswählen]

require_once (DIR_FS_INC.'xtc_validate_password.inc.php');
  if (!xtc_validate_password($password, $check_customer['customers_password']))

lösen nicht das Problem mit dem Password "CODE: 108 WRONG PASSWORD"