Es gibt keinen wirklich schnellen Weg, dies zu beweisen, da der Hash nicht umkehrbar ist .

Sie können das beanspruchte Passwort verwenden und das manuell generieren Hash wie von @TechTreeDev vorgeschlagen. Sie sollten einen gesalzenen Hash (dh BCrypt) verwenden. Stellen Sie daher sicher, dass Sie dasselbe Salt verwenden.

• Wenn der manuell generierte Hash übereinstimmt, haben Sie beim Anmelden ein Problem festgestellt Code.

• Wahrscheinlicher ist, dass der generierte Hash anders ist, dann haben Sie Probleme mit dem Anmeldecode ausgeschlossen, aber es könnte immer noch sein Ein Problem mit der Kennworteinrichtung oder ein Fehler in Ihrer manuellen Generierung.

Das ist so ziemlich das Ausmaß dessen, was Sie tun können, um das Kennwort einer einzelnen Person zu überprüfen . Darüber hinaus befassen wir uns mit Systemtests.

• Wenn Sie einen Fall mit zeitweiliger / zufälliger Wahrscheinlichkeit vermuten, können Sie ein Affentestskript erstellen, um Kennwörter einzurichten und dann versuchen Sie es. Dieser Ansatz ist jedoch wahrscheinlich übertrieben.

• Am besten überprüfen Sie Ihren Anmeldecode und alle Punkte, die das Kennwort zurücksetzen . Der Code sollte so kurz und präzise wie möglich sein. Nach meiner Erfahrung ist der beste Weg, um Randfallprobleme auszuschließen, die Codeüberprüfung, da solche Randfälle häufig nicht durch manuelle Tests abgedeckt werden.

Einige Dinge speziell Suchen Sie nach:

• Stellen Sie sicher, dass die Einstellung maxlength für jedes Kennwort <input> s. Sie suchen nach Konsistenz zwischen der Einrichtung des Kennworts und dem Anmeldeformular.

• Stellen Sie sicher, dass keine serverseitige Kürzung vorliegt.

• Stellen Sie sicher, dass die Codierung konsistent ist. Wenn im Kennwort ein Nicht-ASCII-Zeichen verwendet wird, müssen sich das Kennwort-Setup-Formular und die Anmeldeformulare genau gleich verhalten.

• Entfernen Sie auch nicht automatisch Leerzeichen oder Nicht-ASCII-Zeichen aus dem Kennwort. Dies ist die Art von Dingen, die Sie mit einer Codeüberprüfung leicht erfassen können, wenn Ihr Code präzise ist.

Zum Schluss einige menschliche Tipps:

• Stellen Sie sicher, dass zuerst der richtige Benutzername verwendet wird.

• Überprüfen Sie, ob die Einstellung Feststelltaste korrekt ist.

• Geben Sie den Kundenbetreuern ein Protokoll über jedes Datum / jede Uhrzeit der Anmeldung oder des Zurücksetzens des Kennworts. Wenn seit dem letzten Zurücksetzen mindestens eine Anmeldung erfolgt ist Dann wissen sie, dass das System ordnungsgemäß funktioniert hat.

  Solange der Anmeldecode und der Hash seit dem letzten Erfolg unverändert sind, können Sie ziemlich sicher sein, dass das Problem ein falsch eingegebenes Kennwort sein muss.

• Überprüfen Sie die UX des Fehlers für falsches Passwort und geben Sie dem Benutzer einige einfache Tipps und eine maßgebliche Erläuterung der Möglichkeiten. Dies kann die Anzahl der Anrufe beim Kundendienst verringern.

• Es kann hilfreich sein, den Kunden per E-Mail zu benachrichtigen, wenn ein Kennwort zurückgesetzt wird, um ihn daran zu erinnern. (oder ein anderes Familienmitglied bei gemeinsam genutzten Konten)

Es gibt eine Möglichkeit, dies sicher zu wissen, nämlich den Hash der von dem Benutzer eingegebenen Daten mit demselben Salz zu berechnen und diesen mit dem zu vergleichen, was Sie haben. Dies ist jedoch das, was der Anmeldevorgang bereits tut, und der Benutzer glaubt das nicht. Warum sollten sie es glauben, wenn Sie es für sie tun?

Stattdessen könnten Sie das tun, was ich in letzter Zeit viel gesehen habe, zum Beispiel in Windows 10, aber auch auf Websites:

Geben Sie dem Benutzer die Möglichkeit, zu überprüfen, was er eingegeben hat.

Wenn Sie sich anmelden, sollten die Zeichen natürlich als Punkte oder andere Zeichen dargestellt werden. Snoopers können das Passwort also nicht sehen, indem sie über die Schulter des Benutzers schauen.

Solange es sich im Eingabefeld befindet, wurde es noch nicht verschlüsselt oder gehasht. Stellen Sie also eine Schaltfläche bereit, die diese Punkte in die tatsächlichen Zeichen umwandelt.
Auf diese Weise können sie nach Eingabe des falschen Passworts das Passwort erneut eingeben und sehen, was sie gerade eingegeben haben. Oder sie können dies vor dem Anmelden überprüfen.

Vergessene Feststelltasten, hängende Schichten, Tippfehler; Sie können alle vom Benutzer auf diese Weise erkannt werden.

Um Ihre Benutzererfahrung zu verbessern, müssen Sie zunächst eine Benutzeroberfläche hinzufügen, um Benutzer über die folgenden Bedingungen zu informieren:

• Feststelltaste aktiviert
• Warnung, wenn nachgestellte Leerzeichen vorhanden sind im Benutzernamen
• Warnung, wenn Leerzeichen im Kennwort nachgestellt werden
• die Verwendung von Leerzeichen in E-Mails verhindern (wenn E-Mail anstelle des Benutzernamens verwendet wird)
• die Verwendung von Zeilenumbrüchen verhindern und diese automatisch entfernen (Es gibt mehrere neue Zeilenvarianten.)
• Verhindern Sie die Verwendung von Steuerzeichen und entfernen Sie diese automatisch.
• Wenn Sie Javascript verwenden, ist es in einigen Browsern deaktiviert, sodass Sie diese Schritte auf dem Server verschieben müssen Seite.

Auch wenn das eingegebene Passwort falsch ist, wird die folgende Meldung angezeigt:

Passwort oder Benutzername / Mail ist falsch, bitte geben Sie strong ein > Wenn Sie auf Klein- oder Großbuchstaben und alle Symbolnummern achten, müssen sie perfekt übereinstimmen. Vermeiden Sie das Kopieren und Einfügen, da durch das Kopieren von Text manchmal zusätzliche unerwünschte Leerzeichen und / oder Zeilenumbrüche hinzugefügt werden können.

Beachten Sie, dass Ihre Benutzer möglicherweise Recht haben ! Ich hatte einmal ein altes Telefon, mit dem ich mich nicht auf einer Webseite anmelden konnte. Ich weiß nicht, ob dies ein Problem mit der Textcodierung war, aber mein Passwort war alphanumerisch und funktionierte perfekt auf einem PC.

Die akzeptierte Antwort deckt wirklich das meiste davon ab. Unter der Annahme, dass ich alle Vorschläge dort ausprobiert habe und das Problem immer noch nicht finden konnte, würde ich versuchen, den Fehler zu erkennen, wenn er auftritt. Dazu können Sie Code hinzufügen, der das empfangene Klartextkennwort protokolliert, wenn sich ein Benutzer nicht zweimal hintereinander anmeldet (um alle Benutzer herauszufiltern, die gerade einen dummen Fehler gemacht und ihn beim zweiten Versuch korrigiert haben).

Um die Sicherheit Ihres Systems nicht zu beeinträchtigen, können Sie die Kennwortprotokollierung nur aktivieren, wenn sich tatsächlich ein Benutzer am Telefon befindet, der Probleme beim Anmelden hat, und nur sein Kennwort mit seinem Kennwort protokollieren / ihre Zustimmung.

Das Protokollieren des tatsächlichen Kennworts, das Ihre Anwendung sieht, hat den Vorteil, dass Sie genau sehen, was Ihre Anwendung sieht. Nach einigen Anrufen von verzweifelten Benutzern können Sie ein Muster in ihren Kennwörtern (z. B. Leerzeichen, Sonderzeichen usw.) erkennen, das auf ein Problem in Ihrem Anmeldecode hinweist, oder Sie sehen, dass sie bedeuten. em> um "mysweetheart" einzugeben, aber stattdessen "myseetheart" einzugeben, was bedeuten würde, dass die Anmeldeprobleme höchstwahrscheinlich alle Benutzerfehler waren.

Ich denke nicht, dass die manuelle Ausführung der Kennwort-Hashing-Schritte die Lösung wäre. Wenn Sie festgestellt haben, dass dies tatsächlich fehlschlägt, können Sie dies auf niedriger Ebene tun, um Fehler zu beheben. Ihre Kunden werden dies jedoch fast sofort vergessen.

Hier besteht das Problem darin, dass sie ein falsches Kennwort verwenden Entweder weil sie es falsch geschrieben haben oder weil sie wirklich glauben, dass sie ein anderes als das verwendet haben, das sie getan haben.

Um den ersten Fall auszuschließen, lassen Sie sie das beabsichtigte Passwort in einen Texteditor (z. B. Notizblock) schreiben ), schneiden Sie es in die Zwischenablage und fügen Sie es in das Passwortfeld ein. Das Passwort wird dem Kunden während des Vorgangs angezeigt, sodass die Fälle entfernt werden, in denen ein falscher Buchstabe gedrückt wird. Die Feststelltaste wurde gesetzt. (Natürlich erwarten wir, dass dies zu einem Zeitpunkt geschieht, an dem niemand anderes auf den Bildschirm schaut )

Der zweite Fall ist schwieriger, da wir die Kunden nicht dazu ermutigen möchten, eine Textdatei mit ihren Passwörtern zu führen. Idealerweise würden Sie Ihre Kunden davon überzeugen, einen Passwort-Manager wie KeePass zu verwenden. Wenn dann das Passwort - das gleiche, das zuvor funktioniert hat - korrekt vom Passwort-Manager kopiert wurde, können Sie ziemlich sicher sein, dass es tatsächlich das richtige Passwort ist.

Abgesehen davon, was wirklich eine Änderung von erfordert Wenn Sie Ihre Kunden berücksichtigen, können Sie Ihre Kunden bitten,

• ein neues Passwort zu erstellen
• ihr Passwort durch Einfügen zu ändern
• versuchen Sie es mit der Protokollierung mit demselben Passwort in der Zwischenablage

so oft sie wollen, um zu versuchen, es zu reproduzieren.

Angenommen, Sie melden sich an, wenn sich ein Benutzer anmeldet, können Sie möglicherweise nachweisen, dass er sich seit der letzten Änderung seines Kennworts anmelden konnte. Dies würde zumindest ausreichen, um potenzielle Probleme auszuschließen.

Wenn Sie auf vier verschiedene Authentifizierungssysteme mit dieser tatsächlichen Eigenschaft stoßen, ist die Überprüfung in jedem Fall ziemlich einfach.

Fall 1: Das System schlägt zufällig fehl. Bei einem Fehler wird der falsche Anmeldezähler nicht erhöht. (Ich konnte die Innenseiten nicht überprüfen, bin mir aber ziemlich sicher, dass manchmal die Verbindung zu einem anderen Server unterbrochen wird und in diesem Fall nur ein falsches Kennwort gemeldet wird.)

Fall 2: Das System ist durchgebrannt bis ich ein Apostroph in mein Passwort eingefügt habe. Der Nachweis, dass das Kennwortfeld einer SQL-Injection unterzogen wurde, war trivial.

Fall 3: Ein gültiges Kennwort wurde von einem Zeichenfilter auf dem Anmeldebildschirm abgelehnt, den der Kennwortbildschirm nicht hatte. Dies war trivial, um das Problem ebenfalls zu demonstrieren.

Fall 4: Das System ließ mich nicht anmelden, da es at-sign als Kill Line interpretierte. Booo. Das Anmelden per Telnetting am FTP-Port hat bewiesen, dass ich das richtige Passwort hatte.

Sie können die letzten (gehashten) Passwörter jedes Benutzers in Ihrer Datenbank speichern. Wenn das eingegebene Passwort nicht mit dem aktuellen Passwort übereinstimmt, vergleichen Sie es mit dem alten Passwort. Wenn dort eine Übereinstimmung vorliegt, zeigen Sie die Meldung "Sie haben ein altes Passwort eingegeben - versuchen Sie es erneut" oder einen entsprechenden Fehlercode an. Wenn sie Sie kontaktieren, können Sie fragen: "Sehen Sie den Fehlercode 47? Das heißt, Sie haben hat ein altes Passwort verwendet. ")

Auf diese Weise können Sie ziemlich sicher sein, dass das Anmeldesystem funktioniert, da es zumindest einige Passwortsuchen durchgeführt hat und der Benutzer eine Rückmeldung erhält, dass er sein neues Passwort vergessen hat.

Ich poste eine zweite Antwort, an die ich gestern gedacht habe, war mir aber nicht sicher, ob dies ratsam ist.

Sie können ein temporäres Protokoll der gesetzten / zurückgesetzten und versuchten Kennwörter erstellen stark> in verschlüsselter Form. Sicherheitsexperten (einschließlich mir) würden bei dieser Idee, Kennwörter (oder sogar falsche Kennwortversuche) zu verschlüsseln (anstatt sie zu hashen), schaudern. Daher würde ich drei Vorsichtsmaßnahmen vorschlagen, wenn Sie entscheiden, diese Informationen zu protokollieren.

1. Senden Sie die Informationen an einen separaten / isolierten Computer . Wenn also der Hauptserver gefährdet ist, ist das Kennwortprotokoll weiterhin sicher.
2. Verwenden Sie den öffentlichen Schlüssel (asymmetrisch) ) Verschlüsselung für die protokollierten Informationen. Der private (Entschlüsselungs-) Schlüssel wird nur in einer isolierten Umgebung gespeichert, damit der Entwickler die protokollierten Daten überprüfen kann.
3. Planen Sie eine Aufgabe (oder codieren Sie sie ein), sodass dieses temporäre Protokoll deaktiviert ist stark> zu einem bestimmten Zeitpunkt oder wenn eine ausreichende Anzahl von Tests erfolgreich war.