Office: (Office 2016) Passwort hashing

Hi,
zu Passwort hashing habe ich folgenden Film gefunden:



Habe dies auch mit dem Code nachgebaut:
Code:

funktioniert auch
Aber wie muss es im Formular bzw. im Modul aussehen, dass es mir z.B. das Passwort im Textfeld "Kennwort" ein Hashpasswort daraus macht?

Kenn mich da jetzt wirklich nicht mehr aus *frown.gif*

:)

 

Habe auch folgenden Code gefunden:
https://www.vb-paradise.de/index.php...hl%C3%BCsseln/

jedoch bringt es mir dann einen Laufzeitfehler 2185:
Sie können auf die Eigenschaften oder Methoden eines Steuerelements nur verweisen, wenn das Steuerelement den Fokus hat

 

Die Fehlermeldung dürfte doch wohl mehr als eindeutig sein. Oder stellst Du dazu wirklich eine Frage?

 

würde nicht fragen, wenns ich wüsste.
Hab auch schon mit setfocus gearbeitet, aber des hat auch nicht funktioniert.

Wenn ich es auf:
Code:

ändere kommt FE: Laufzeitfehler 94: Unzulässige Verwendung von Null, obwohl text in txtToEncode eingegeben ist

 

Zeige mal den gesamten Code. Welche Eigenschaftseinstellungen hat das Steuerelement, auf das du mit dem Code zugreifen möchtest? (sichtbar? aktiviert?)

 

Hi,
guckst Du. *Smilie

ah vergiss es, funktioniert jetzt, habe übersehen, dass es aus Passwort und zu txttoencode zusammengesetzt ist.

Jetzt funktioniert es

 

kann mir jemand noch helfen mit der #1 Frage?

 

Servus firela112,

Genau das ist aber Dein Problem.
Halb verschlüsselt ist NICHT verschlüsselt.
Schau mal hier
https://www.ms-office-forum.net/foru...light=passwort

 

Password Hashing ist anders definiert - nämlich in Form einer Verschlüsselung in einer Richtung. Dabei kommt immer vorher definerte Byte-Folge gleicher Länge heraus - egal ob das Passwort aus einem, 10 oder mehr Zeichen besteht. Und obwohl die Methode der Verschlüsselung exakt bekannt und für jedermann zugänglich ist, sollte es quasi unmöglich sein, aus dem Hashwert das ursprüngliche Passwort zu ermitteln. Suche nach SHA-2 (SHA-3 dürfte noch besser sein, benötigt aber eine externe Bibliothek, die AFAIK Windows nicht beiliegt).

Kennt man z.B. das Salz Deiner ersten Version, ist das Umwandeln in Klartext jederzeit gegeben. Noch schlimmer ist die zweite Methode, die ein Passwort verschlüsselt und dann wieder entschlüsselt.

 

Hi, das hat mir vorher ein guter Kumpel jetzt auch erklärt.

Blos komme ich jetzt dev. an meine Grenzen.

Wir wollen folgendes umsetzen:
bei Vergabe eines neuen Benutzers soll ein zufälliges Passwort (z.B. 1234) erzeugt werden.
Zusätzlich soll jedem Benutzer ein zufälliger String erzeugt werden (Salt; 16 Zeichen)
Dann müsste Passwort mit Salt zusammengefasst werden und daraus den SHA512.

Wenn sich jetzt der Nutzer mit dem Passwort (1234) anmeldet (im LoginFormular), müsste die DB nach dem Salt suchen von dem Benutzer.
Dann müsste Salt und Passwort zusammengebaut werden und wieder ein SHA512 daraus gemacht werden.

Wenn das passt und das angegebene Passwort mit dem SHA512 übereinstimmt sollte es weitergehen.

Ich habe in der tbl_Personalverwaltung folgende Spalten:
Email_privat= als benutzername, Salt und SHA512

Hab dazu auch gegoogelt und folgendes gefunden:
https://en.m.wikibooks.org/wiki/Visu...Hashing_in_VBA

Hashing:
Code:

 

zufälliges Passwort:
https://www.tksoft-online.de/downloa...generator.html
Code:

 

Jetzt bin ich soweit mit den obigen Codes, dass es mir ein festes Passwort, einen zufälligen Code (Salt) generiert und diese zusammenführt.
Jedoch macht es mir Probleme beim Typen von SHA512.
Wenn mans in SHA512 umwandelt um welchen Typen handelt es sich bei SHA512?

 

Anmelden und Rollenzuordnung sind zwei verschiedene Paar Schuh. Nutzungseinschränkungen von Formular-Funktionalitäten würde ich von Rollen abhängig machen, während ein Anwender durchaus mehrere oder gar keine Rolle (minimale Rechte) einnehmen kann.

Beim Starten des Frontends kann dann einmalig, um den Anwender nicht unnötig zu nerven, ein Login stattfinden und bei Erfolg kann die Rollenzugehörigkeit globalen Variablen festgehalten werden und beim Öffnen von einschränkenden Formularen darauf basierend Funktionen ausgrauen oder unsichtbar schalten. Wenn man die Rollen so vergibt, dass deren Wert immer Zweier-Potenzen beinhalten, genügt eine Long-Variable, um die Rollenzugehörigkeiten festzuhalten. Die Rollen hätten dann also Werte von 1, 2, 4, 8, 16, ... In VBA legt man sich dafür dann eine öffentlich Enum an und kann mit logischem Und (and) prüfen, ob Voraussetzungen erfüllt sind. Mit logischem Oder (or) bzw. mit plus (+) können Rollen zusammengefasst werden. Voreinstellungen für Ränge in der Feuerwehr-Hierarchie nach Berufen sind natürlich auch möglich, um nicht für jeden einzeln alles zusammenklicken zu müssen. Code:

Das kann man parallel auch in einer Tabelle hinterlegen, um Klartexte lesen zu können und besser Rollen vergeben zu können, was ja auch eine Rolle sein wird.

Wenn sich Anwender selbstständig erstmalig anmelden dürfen, sollte es dafür beim Login-Formular eine Verzweigung mit Hinweisen geben. Wenn alle Benutzerangaben vollzogen sind, kann sich der Benutzer selbst ein Passwort aussuchen, das dann entsprechend eurer Vorgaben mindestens X-Zeichen lang ist und ggf. mindestens eine Ziffer und/oder ggf. aus Buchstaben mit Groß- und Kleinschreibung besteht und/oder mindestens ein Sonderzeichen enthält. Daraus wird dann der Hash-Wert gebildet und beim Anwender entweder Hex-codiert oder Base64-codiert gespeichert. Der Rollenwert sollte 0 sein - also keine besonderen Rechte beinhalten. Wenn jeder sein eigenes Salz verwenden soll - ist nicht unbedingt nötig, muss dieses vorher zufällig erstellt werden und beim Hashing verwendet werden und natürlich auch gespeichert werden.

Nimmt jedoch ein Anwender mit Berechtigung die Erstanmeldung vor, so kann man sich ein zufälliges Passwort erstellen lassen, das man dem neuen Anwender vertrauensvoll in einem Briefkuvert mit Anmeldekennung überreicht-eine Email über einen sicheren Server versendet wäre eine Alternative. Dieses Passwort sollte nur für eine geringe Anzahl an Anmeldungen gültig sein und der Anwender sollte aufgefordert werden, ein eigenes Passwort einzutragen. Ob Passworte nach X-Tagen verfallen sollen, wäre eine Überlegung wert.

Am besten baust Du Dir diese Szenerie in einer kleinen Spiel-Datenbank einmal auf, um das Prinzip richtig zu verstehen und anwenden zu lernen.

 

Hi, nouba
erstmal danke das Du für mich Zeit nimmst.
Schön langsam komme auch rein. Auch mit den Rollen.
Rollen sind auch schon vergeben und das einloggen ist auch kein Problem mehr.
Hab auch schon gebastelt mit dem Hashing. (s. Beispiel eins ober Dir).
Blos haut es mir da den Fehler mit den Typenunverträglichkeiten.
Hab aber keine Ahnung wodurch.

 

Also habs jetzt getestet, wenn ich SHA384 und langer Text bei SHA512 drinnen habe funktionierts.

Warum auch immer. Mit SHA512 funktionierts nicht mehr.
Gibt es da evtl. irgendwas, was ich übersehe?