# Anmeldung bei einem Webservice simulieren

Wir simulieren hier das anmelden bei einem Webservice. Damit wir uns mit einem Passwort anmelden können, muss der Webservice die Benutzernamen und die Passwörter zusammen speichern. Die sind in einer Datenbank auf dem Server gespeichert, auch diese wird hier simuliert.

# Aufgabe 1

Im nächsten Block sehen Sie einen haufen Code. Dieser Code stellt uns die Funktionen zur Verfügung die wir für das Aufgabenblatt benötigen. Wenn Sie einen solchen **Code-Block** ausführen möchten, klicken Sie ihn einfach an und drücken **CTRL-Enter**.

Oder Wenn Sie mit der MAus über den **Code-Block** fahren, sehen Sie oben links eine **Play-Taste**. Sie können auch diese drücken um einen Block auszuführen.

> **Aufgabe:**   
> Führen Sie den ersten **Code-Block** aus.  
> Nach der Ausführung sollte unterhalb der Zelle der folgende Text stehen: *Zelle erfolgreich ausgeführt!*.


In [None]:
import hashlib


def md5(input, silent=False):
  s = bytes(input, 'utf-8')
  res = hashlib.md5(s)
  res = res.hexdigest()
  if not silent:
    print(f'Der md5-Hash von "{input}" ist: {res}')
  else:
    return res


pw_list = {
    'test': 'password',
    'admin': '1234'
}

pw_list_hashed = {
    'test': md5('password', True),
    'admin': md5('1234', True)
}

rb_table = {
    md5('password', True): 'password',
    md5('1234', True): '1234'
}


def salted_hash(input, salt):
  hash = md5(input + salt, True)
  print(f'Der Hash-Wert von "{input}" mit dem Salz "{salt}" ist: {hash}')


def auth(username, password, db=pw_list):
  if username in db:
    if db[username] == password:
      print(f'Erfolgreich! Der Benutzer "{username}" hat sich erfolgreich mit dem Passwort "{password}" angemeldet.')
    else:
      print(f'Fehlgeschlagen! Das Passwort "{password}" für den Benutzer "{username}" ist falsch!!!')
  else:
    print(f'Fehlgeschlagen! Konnte den Benutzer "{username}" nicht in der Datenbank finden.')

def auth_hashed(username, password):
  auth(username, md5(password, True), pw_list_hashed)

def dump():
  print(pw_list)

def dump_hashed():
  print(pw_list_hashed)

def lookup(input):
  if input in rb_table:
    print(f'Die Eingabe für den Hash-Wert "{input}" ist: "{rb_table[input]}"')
  else:
    print(f'Konnte keine Eingabe für den Hash-Wert "{input}" finden.')


print("Zelle erfolgreich ausgeführt!")

# Bravo

Sehr gut! Sie haben nun den Code geladen den wir brauchen um die Anmeldung an einem Webservice zu simulieren.

# Aufgabe 2

In der nächsten Zelle, finden Sie Code um den Anmeldevorgang zu simulieren.

Sie können Code in den Zellen natürlich auch verändern. Klicken Sie dafür einfach in die Zelle und dann auf den Text den Sie gerne ändern möchten. Damit der Code weiterhin Funktionsfähig bleibt, ändern Sie bitte nur Text der **zwischen** Anführungszeichen steht.

> In dieser Zelle ist das `'test'` und `'password'`.

Sie können die Funktion `auth('benutzername', 'passwort')` benutzen um die Anmeldung am Webservice zu simulieren. Sie erhalten verschiedene Rückmeldungen, jenachdem ob die Anmeldung geklappt hat oder nicht.

> **Aufgabe:**  
> Versuchen Sie sich mit verschiedenen *Benutzernamen* und *Passwörtern* anzumelden.  
> Es gibt nur 2 Benutzer auf dem System. Probieren Sie also nicht zu viel herum. Es geht nur darum sicherzustellen dass sich ein Benutzer mit dem richtigen Passwort anmelden kann, und sonst nicht.

# Benutzer

|Benutzername | Passwort|
|---|---|
|admin|1234|
|test|password|



In [None]:
auth('test', 'password')

# Super

Gut gemacht! Sie haben jetzt gesehen wie Sie sich bei einem Webservice mit einem *Benutzernamen* und *Passwort* anmelden können.

# Achtung!!!

Diese Methode hat einen gewaltigen Nachteil. Sie sehen dass Ihr *Passwort* in Klartext auf dem Server gespeichert wurde. Sollte also ein Angreifer Zugriff auf den Server erhalten, kann er ihr *Passwort* und dass aller anderen Benutzer auslesen.

In der nächsten Zelle, sehen Sie die Funktion `dump()`. Die gibt Ihnen aus was gerade in der Datenbank steht.

> **Aufgabe:**  
> Führen Sie die nächste Zelle aus.  
> Die Ausgabe ist nicht in der schönsten Form, aber Sie können sehr leicht erkennen, welche *Benutzernamen* und welche dazugehörigen *Passwörter* auf dem Server gespeichert sind.

In [None]:
dump()

# Passwörter verbergen

Damit *Passwörter* nicht in Klartext gespeichert werden müssen, können wir sie einer sogenanten **Hash-Funktion** übergeben.

# Hash-Funktion

Eine **Hash-Funktion** nimmt eine Eingabe von beliebiger Länge und wandelt diese in eine Ausgabe von fixer Länge um und hat die weiteren Eigenschaften:
 
 - Gleiche Eingabe erzeugt **immer** die gleiche Ausgabe.
 - Bereits kleine Änderungen erzeugen eine komplet andere Ausgabe.
 - Ist **nicht** umkehrbar.
 - Verschiedene Eingaben haben nicht die gleichen Ausgaben.

Wir schauen uns als Beispiel für eine **Hash-Funktion** die Funktion `md5()` an. Dafür steht Ihnen in der nächsten Zelle die Funktion `md5('passwort')` zur Verfügung. Die Funktion nimmt die EIngabe entgegen und sagt Ihnen was der **Hash-Wert** dieser Eingabe ist.

> **Aufgabe:**  
> Überprüfen Sie dass die ersten beiden Eigenschaften einer **Hash-Funktion** erfüllt sind, und dass alle Ausgaben die gleiche Länge haben.  
> Dazu können Sie die Eingabe in der nächsten Zelle immer wieder ändern und ausführen, oder Sie Kopieren die Zeile und führen gleich mehrere Berechnungen in einer Zelle aus.

In [None]:
md5('passwort')

# Toll

Sehr gut gemacht! Wir haben nun eine Funktion gefunden, mit der wir Text für uns unleserlich machen können. Damit können wir nun *Passwörter* so abspeichern, dass sie nicht direkt ausgelesen werden können.

# Passwörter prüfen

Jetzt wo wir die *Passwörter* nicht mehr lesen können, wie können wir nun sicher sein das sich ein Benutzer mit dem richtigen *Passwort* angemeldet hat?

Das ist dank der Eigenschaften der **Hash-Funktion** zum Glück sehr einfach. Wir erinnern uns, das eine **Hash-Funktion** die gleiche Eingabe immer auf die gleiche Ausgabe umwandeln muss. Wir können also den **Hash-Wert** in der Datenbank speichern, und dann das *Passwort*, das wir erhalten, durch die **Hash-Funktion** geben, und dann die beiden vergleichen.

In der nächsten Zelle finden Sie die Funktion `auth_hashed()`. Auch dieser Funktion können Sie 2 Eingaben geben, und sie wird versuchen Sie einzuloggen.

> **Aufgabe:**  
> Versuchen Sie sich mit der neuen Funktion `auth_hashed()` mit den gleichen Daten wie zuvor einzuloggen. Was fällt Ihnen auf?

In [None]:
auth_hashed('test', 'password')

# Wundervoll

Einfach toll wie Sie das machen. Sie haben sich jetzt bei einem Webservice mit einem gehashten *Passwort* angemeldet.

# Ist das wirklich sicher?

Wie sicher ist das ganze denn in Wirklichkeit? Gibt es wirklich keinen Weg wie ich vom **Hash-Wert** zum Passwort komme?

Die Eigenschaften einer **Hash-Funktion** macht es mathematisch Unmöglich die Umkehrfunktion zu berechnen. Wenn ich aber bereits weiss welche Eingabe in welchen **Hash-Wert** umgewandelt wird, kann ich mir das einfach merken und den **Hash-Wert** dann einfach in einer Tabelle nachschauen. Solche Tabellen nennt man auch **Rainbow-Tables**.

# Rainbow Tables

**Rainbow-Tables** sind Tabellen in denen die **Hash-Werte** für bekannte Eingaben gespeichert werden. Damit kann mit einem einfachen Nachschlagen die Eingabe bestimmt werden, die zu einem **Hash-Wert** gehört.

In der nächsten Zelle finden sie die Funktion `lookup('hashwert')` mit der Sie die Eingabe von bestimmten **Hash-Werten** bestimmen können.

> **Aufgabe:**  
> Bestimmen Sie die *Passwörter* für alle **Hash-Werte** die Ihnen die Funktion `dump_hashed()` liefert.

In [None]:
dump_hashed()

In [None]:
lookup('5f4dcc3b5aa765d61d8327deb882cf99')

# Schade

Wenn es so einfach ist für Angreifer, die Passwörter zu entschlüsseln, bingt das doch alles nichts.

# Salted Hashes

Wie wir bereits wissen, führt schon eine kleine Änderung in der Eingabe, zu einem komplett anderen **Hash-Wert**. Wir können diese Eigenschaft also ausnutzen um es Hackern schwer bis unmöglich zu machen, die **Rainbow-Tables** zu verwenden.

Dafür verwenden wir eine Technik die sich *salzen* nennt. Das bedeutet, dass wir eine beliebige Zeichenkette an das *Passwort* hängen, und dann den **Hash-Wert** davon bestimmen. Diese Zeichenkette nennen wir Salz. Das Salz ist pro Benutzer verschieden, und wird für jeden Benutzer in der Datenbank gespeichert. Wir können also mit dem Salz und dem *Passwort* den **Hash-Wert** berechnen den wir in der Datenbank gespeichert haben.

In der nächsten Zelle finden Sie die neue Funktion `salted_hash()`. Diese nimmt das *Passwort* und das Salz als Eingabe, und berechnet den **Hash-Wert** den beiden in Kombination. Die Funktion `md5()` kennen Sie bereits von weiter oben.

> **Aufgabe:**  
> Überprüfen Sie für verschiedene Werte für *Passwort* und Salz, dass die Funktion `salted_hash()` das gleiche berechnet wie `md5()` von der zusammengesetzten Eingabe.  
> Überprüfen Sie ausserdem, dass die **Hash-Werte** nicht übereinstimmen, wenn Sie den Salz bei der `md5()` Funktion weglassen.

In [None]:
salted_hash('passwort', 'abcd')
md5('passwortabcd')

# Hurra

Toll! Nun kenne wir eine kompliziertere Version wie ich das Passwort hashen kann.

Ich habe aber immer noch den Hash, den ich in einer **Rainbow-Table** nachschauen kann, und dann habe ich auch den Salz den ich einfach vom erhalteten Wort abziehe, um das eigentliche Passwort zu erhalten. Bin ich jetzt also gleich weit wie zuvor?

> **Aufgabe:**  
> Überlegen Sie sich, wie man das Salz so wählen kann, dass die Methode sicher ist.