[S13L1] Authentication Flashcards

Question 1

Q

Warum müssen Passwörter von Usern gehashed werden?

Answer

A

-Weil wenn sie in Plaintext gespeichert sind, sie nicht sicher gegen Hackingangriffe sind

Question 2

Q

Was ist Hashing?

Answer

A

Eine One-Way-Function, welche mit Mathematik etwas in einen Hash-String verwandelt
Dieser Hash-String lässt sich nicht mehr zurückrechnen

Question 3

Q

Was kann man benutzen um Authentication/Hashing zu erreichen?

Answer

A

NPM Package bcrypt

npm i bcryptjs

Question 4

Q

Wie benutzt man bcrypt zum hashen?

Answer

A

const bcrypt = require(‘bcryptjs’);

//2^12 = 4096
const hash = bcrypt.hashSync(user.password, 12)
user.password = hash;

Question 5

Q

Was ist ein Salt?

Answer

A

Ein zufälliger String, der dem Password addiert wird bevor beide gehashed werden
Damit sind Passwörter auch unterschiedlich, wenn mehrere Benutzer das gleiche Passwort wählen

Question 6

Q

Wie kann man ein Passwort validieren?

Answer

A

const bcrypt = require(‘bcryptjs’);

Users.findBy({ username})
.first()
.then(user => {
if (user &amp;&amp; bcrypt.compaseSync(password, user.password)) {
res.status(200).json( { message: 'wecome ${user.username}!' });
} else {
res.status(401).json({ message: 'invalid credentials ' });
}
})
.catch(error => {
res.status(500).json(error)
})
});

Question 7

Q

Wie kann man endpoints mit Authentication restricten?

Answer

A

-Mit Authentication Middleware

Question 8

Q

Wie sieht eine Authentication Middleware aus?

Answer

A

const bcrypt = require(‘bcryptjs’);

const Users = require(‘../users/users-model.js’);

module.exports = function restricted(req, res, next) {
const { username, password } = req.headers;

if (username &amp;&amp; password) {
Users.findBy({ username })
.first()
.then(user => {
if (user &amp;&amp; bcrypt.compareSync(password, user.password)) {
next();
} else {
res.status(401).json({ message: 'invalid credentials ' });
}
})
.catch(error => {
res.status(500).json(error)
})
} else {
res.status(400):json({ message: 'Please provide valid credentials' });
}
});

Question 9

Q

Sollte man User Passwörter speichern?

Answer

A

Am besten man speichert es gar nicht
Höchstens Salted Hashes
Ansonsten am besten Dritte für Identitätsmanagement nehmen (Firebase, Oauth etc)

Question 10

Q

Sollte Encryption of Hashes langsam oder schnell sein?

Answer

A

-Langsamer ist besser, damit das Brute-Forcing lange dauert

Question 11

Q

Wie schützt man sich gegen Man in the middle attack?

Answer

A

Man schickt zwischen Server und Client nur so wenig Daten wie möglich
Man sendet nie das Passwort, den Passwort hash etc zurück, sondern nur authentication tokens

[S13L1] Authentication Flashcards

(11 cards)