Passwort in Datenbank speichern

Erste Frage Aufrufe: 1149     Aktiv: 17.05.2020 um 14:25
1

Hallo Zusammen,

ich bin momentan ein Anwendung mit Java am schreiben. Jetzt ist es so die User haben bei mir einen Account und dort halt ein Passwort, welches verschlüsselt in der Datenbank liegt. Nun müssen sie aber auch noch die Login-Daten für eine externe Anwendung eingeben als Configuration. Ich weiß aber nicht genau wie ich dieses Passwort schützen kann das es nicht einfach als Klartext in der Datenbank steht. Das Passwort für die externe Anwendung kann ich ja nicht Hashen weil ich sie dann nicht mehre "endhashed" bekomme. Hat da jemand eine Idee wie man das ganze machen könnte?

Diese Frage melden
gefragt

Punkte: 15

 
Kommentar schreiben
2 Antworten
1

Moin Also Passwörter ungehasht zu speichern ist ziemlich großes Pfui... Ich würde erst einmal schauen, inwieweit der externe Dienst irgendeine API zur Verfügung stellt und die dann nutzen. Sollte das nicht gehen wäre meine Idee das Passwort für den externen Dienst in deiner Datenbank zu verschlüsseln, dass ist zwar ebenfalls ganz weit weg von ideal aber geht noch grad so. Als Key würde ich den Hash des Userpassworts oder so nutzen, vielleicht auch mit einem salt versehen... In dem unwesentlich größeren Informatikforum wurde das gleiche diskutiert und die kamen zu ähnlichen Lösungen (https://stackoverflow.com/questions/13497527/php-storing-password-for-external-service-securely)

Beste Grüße

Diese Antwort melden
geantwortet

Punkte: 10

 

Kommentar schreiben

0

Hallo,

wenn du ein Passwort in deiner Datenbank abspeicherst, versiehst du es mit einem Hash. Du hast zwar recht, das du es dann nicht mehr "enthashed" bekommst, aber das musst du auch gar nicht.

Denn sobald ein Nutzer sich in deinem Programm anmelden möchte, hasht du das von ihm eingegebene Passwort und vergleichst einfach den gerade erstellten Hash-Wert mit dem in deiner Datenbank.

Ich hoffe das beantwortet deine Frage!

Gruß Kevin

Diese Antwort melden
geantwortet

Student, Punkte: -10

 

Ich hatte es so verstanden, dass es um einen externen Dienst (Facebook, Google was auch immer) ging und genau da liegt ja das Problem, wenn du dich gegen den Dienst authentifizieren möchtest reicht dir ja kein Hash

   ─   jettil 16.05.2020 um 09:53

Achso. Hm, vielleicht hab ichs falsch verstanden ^^

   ─   kingkevin23 16.05.2020 um 20:18

Genau es geht um den externen Dienst. In meiner Anwendung hashe ich natürlich die Passwörter.

   ─   nimal 17.05.2020 um 14:25

Kommentar schreiben