[S13L1] Authentication

Question 1

Warum müssen Passwörter von Usern gehashed werden?

Answer 1

-Weil wenn sie in Plaintext gespeichert sind, sie nicht sicher gegen Hackingangriffe sind

Question 2

Was ist Hashing?

Answer 2

• Eine One-Way-Function, welche mit Mathematik etwas in einen Hash-String verwandelt
• Dieser Hash-String lässt sich nicht mehr zurückrechnen

Question 3

Was kann man benutzen um Authentication/Hashing zu erreichen?

Answer 3

NPM Package bcrypt

npm i bcryptjs

Question 4

Wie benutzt man bcrypt zum hashen?

Answer 4

const bcrypt = require(‘bcryptjs’);

//2^12 = 4096
const hash = bcrypt.hashSync(user.password, 12)
user.password = hash;

Question 5

Was ist ein Salt?

Answer 5

• Ein zufälliger String, der dem Password addiert wird bevor beide gehashed werden
• Damit sind Passwörter auch unterschiedlich, wenn mehrere Benutzer das gleiche Passwort wählen

Question 6

Wie kann man ein Passwort validieren?

Answer 6

const bcrypt = require(‘bcryptjs’);

Users.findBy({ username})
.first()
.then(user => {
if (user && bcrypt.compaseSync(password, user.password)) {
res.status(200).json( { message: 'wecome ${user.username}!' });
} else {
res.status(401).json({ message: 'invalid credentials ' });
}
})
.catch(error => {
res.status(500).json(error)
})
});

Question 7

Wie kann man endpoints mit Authentication restricten?

Answer 7

-Mit Authentication Middleware

Question 8

Wie sieht eine Authentication Middleware aus?

Answer 8

const bcrypt = require(‘bcryptjs’);

const Users = require(‘../users/users-model.js’);

module.exports = function restricted(req, res, next) {
const { username, password } = req.headers;

if (username && password) {
Users.findBy({ username })
.first()
.then(user => {
if (user && bcrypt.compareSync(password, user.password)) {
next();
} else {
res.status(401).json({ message: 'invalid credentials ' });
}
})
.catch(error => {
res.status(500).json(error)
})
} else {
res.status(400):json({ message: 'Please provide valid credentials' });
}
});

Question 9

Sollte man User Passwörter speichern?

Answer 9

• Am besten man speichert es gar nicht
• Höchstens Salted Hashes
• Ansonsten am besten Dritte für Identitätsmanagement nehmen (Firebase, Oauth etc)

Question 10

Sollte Encryption of Hashes langsam oder schnell sein?

Answer 10

-Langsamer ist besser, damit das Brute-Forcing lange dauert

Question 11

Wie schützt man sich gegen Man in the middle attack?

Answer 11

• Man schickt zwischen Server und Client nur so wenig Daten wie möglich
• Man sendet nie das Passwort, den Passwort hash etc zurück, sondern nur authentication tokens