Einmal wieder von vorne

[Kampfgummibaerlie]

Ich scheine wirklich absolut viel Spaß an der Maschine zu haben.

Problem war:
Ich habe 3 NAS vom selben Hersteller, ich aktualisiere alle 3, alle 3 "kaputt", entsprechend das am nächsten NAS abgesicherte Backup nichtmehr zugänglich.

aber ich komme mit einer neuen (brilliant, wie ich denke) Idee:
Sollte ich das Passwort in der Account Tabelle per Trigger in eine hashed Form bringen?

Wieso?:
Damit, falls ein Hacker zugriff hat, und ein Passwort womöglich ändert, nicht 1:1 ein Passwort angeben kann, mit welchem er sich authorisieren kann?
Oder reicht es, wenn ichs auf den "Insert" hashe, und die Passwörter "löschbar" sind?

Ein anderer Gedanke, ob die pgcrypto extension 2 "banale" gleiche Worte durchgehen lässt? Wenn das der Fall wäre, würde der Trigger viel bringen.

(Also, wenn die Hashed Form auf 'Andi0815' geändert wird, und er sich danach effektiv einloggen will mit dem Passwort 'Andi0815', ob das dann möglich ist, oder ob die Extension die hashed Form benötigt, um authentifizieren zu können).

 

[Kampfgummibaerlie]

OneDrive lasse ich erstmal so weiterlaufen....

Backup von tauglicher Homepage und Datenbank gefunden *freu*

also wieder beim alten xD

 

[Dukel]

Sollte ich das Passwort in der Account Tabelle per Trigger in eine hashed Form bringen?

Ein Passwort sollte nicht unverschlüsselt irgendwo gespeichert werden. D.h. du speicherst nur den Hash.

 

[Kampfgummibaerlie]

ist mir bewusst, meine Frage ist, ob es irgendeinen sinnvollen Zweck hat den hash on insert zu erzeugen, oder mittels eines triggers, der läuft, wenn man etwas einfügt...

wenn ich die frage schreibe, um ehrlich zu sein, offenbar das selbe....

 

[Dukel]

Die Applikation, die den Insert macht soll das Passwort verschlüsseln und den Hash in die DB schreiben.

 

[Kampfgummibaerlie]

ich nutze die extension pgcrypto, und erstelle beim insert eine hashed form, und speichere diese ab.

ich glaube, wir reden gerade aneinander vorbei ^^

 

[Dukel]

Das kann sein. Wer führt denn die Inserts aus? Das muss doch irgendeine Applikation sein.

 

[Kampfgummibaerlie]

eine Homepage.

Und mittels PHP führe ich quasi 1:1 den SQL Code aus

 

[Dukel]

In PHP machst du den Hash und speicherst diesen.

 

[Kampfgummibaerlie]

$conn = pg_connect für die Datenbankverbindung
$sql = sql_abfrage für insert
sql_abfrage erzeugt den hash

 

[Dukel]

Statt "insert into ... (user, password,...)..." machst du
$hash = ... (password)
und "insert into ... (user,hash,...)...".

Für das Hashen gibt es mehrere Möglichkeiten:
PHP: Password Hashing - Manual

 

[Kampfgummibaerlie]

Dukel, die PG-Extension pgcrypto, die im insert enthalten ist, erzeugt ein crypted passwort.

select crypt('Password', gen_salt('BF', 8))

Da PHP ebenfalls eine Server-Seitige Sprache ist, denke ich, ist es irrelevant, obs PHP oder die Datenbank crypted/hashed.
In Folge dessen denke ich, ist es auch irrelevant, ob ich per einem before insert Trigger oder beim insert hashe.

 

[Dukel]

Dann eben ein "insert ... (crypt(...)) ...". Aber wo brauchst du da einen Trigger?

 

[Kampfgummibaerlie]

Genau das frage ich im ersten Post
Lesen <3

 

[Dukel]

Wenn du gleich den Hash speicherst brauchst du keinen Trigger.