Thema: Sichere Abfrage Passwort Client -> Server

Einzelnen Beitrag anzeigen

Martin W

Registriert seit: 29. Mai 2004
Ort: Augsburg
220 Beiträge
 
Delphi XE3 Enterprise
 
#1

Sichere Abfrage Passwort Client -> Server

  Alt 19. Sep 2015, 11:40
Hi,

ich möchte für den Login mit Hilfe eines Benutzernamens + Passwort einer Client/ Serveranwendung ein möglichst hohes Maß an Sicherheit erreichen. Alternative Methoden, z.B. mit Zertifikaten, seien hier außen vor gelassen.

Als Idee habe ich folgende Möglichkeit ermittelt:

Passwort speichern
  • Password wird durch den Nutzer auf dem Client eingegeben
  • Password wird auf dem Client mit Hilfe von BCrypt + Random Salt [Salt-1] in "Hash" umgewandelt
  • Hash wird durch den Client an den Server übertragen.
  • Server führt erneut BCrypt aus, jedoch mit dem gleichen Salt [Salt-1] und speichert das Pwd in Datenbank

User authentifizieren
  • Password wird durch den Nutzer auf dem Client eingegeben
  • Client fragt beim Server nach dem Salt [Salt-1] des Users sowie einem Zufallswert
  • Password wird zweifach auf dem Client mit Hilfe von BCrypt + Salt [Salt-1] umgewandelt (= ergibt selben Wert wie in Server-DB)
  • Ergebnis wird mit Zufallswert kombiniert und erneut mit BCrypt + zufälligem Salt [Salt-2] umgewandelt
  • Hash wird durch den Client an den Server übertragen.
  • Server führt erneut BCrypt mit neuem Salt [Salt-2] mit dem Wert seiner Datenbank + Zufallswert aus, vergleicht Ergebnis mit Anfrage durch Client.

Habe ich etwas übersehen?

Viele Grüße
Geändert von Martin W (19. Sep 2015 um 11:50 Uhr)
  Mit Zitat antworten Zitat