Non esiste un modo rapido per dimostrarlo perché l'hash è progettato per non essere reversibile .

Puoi prendere la password rivendicata e generare manualmente il hash come @TechTreeDev suggerito. Dovresti usare un hash salato (cioè BCrypt) quindi assicurati di usare lo stesso salt.

• Se l'hash generato manualmente corrisponde, allora hai riscontrato un problema nel login codice.

• Più probabilmente l'hash generato sarà diverso, quindi hai escluso problemi con il codice di accesso , ma potrebbero ancora esserci un problema con la configurazione della password o un errore nella generazione manuale.

Questo è più o meno l'entità di ciò che puoi fare per controllare la password di una singola persona . Oltre a ciò entriamo nel test del sistema.

• Se sospetti un caso limite casuale / intermittente, potresti creare uno script di test scimmia per impostare le password e poi provali. Tuttavia, questo approccio è probabilmente eccessivo.

• La cosa migliore è rivedere il codice di accesso e tutti i punti che reimpostano la password . Il codice dovrebbe essere il più breve e conciso possibile. Nella mia esperienza, il modo migliore per escludere problemi di casi limite è con la revisione del codice, poiché tali casi limite spesso non sono coperti da test manuali.

Alcune cose da fare cerca:

• Assicurati che l'impostazione maxlength sia coerente (o meglio ancora, non presente) su qualsiasi password <input> s. Stai cercando coerenza tra la configurazione della password e il modulo di accesso.

• Assicurati che non vi sia alcun troncamento lato server.

• Assicurati che la codifica sia coerente. Se nella password viene utilizzato un carattere non ASCII, il modulo di configurazione della password e i moduli di accesso devono comportarsi esattamente allo stesso modo.

• Inoltre, non rimuovere automaticamente dalla password caratteri quali spazi vuoti o non ASCII . Questo è il genere di cose che puoi facilmente individuare con una revisione del codice se il tuo codice è conciso.

Infine alcuni suggerimenti umani:

• Verifica prima che stiano utilizzando il nome utente corretto .

• Verifica che l'impostazione blocco maiuscole sia corretta.

• Fornisci al personale dell'assistenza clienti un registro di ogni data / ora di accesso o di reimpostazione della password. Se è stato effettuato almeno un accesso dall'ultimo ripristino allora sanno che il sistema ha funzionato correttamente.

  Fintanto che il codice di accesso è invariato e l'hash è invariato dall'ultimo successo, si può essere ragionevolmente certi che il problema deve essere una password digitata male.

• Rivedi l ' UX dell'errore di password errata , fornendo all'utente alcuni semplici suggerimenti e una spiegazione autorevole delle possibilità. Ciò potrebbe ridurre le chiamate al servizio clienti.

• Potrebbe essere utile avvisare tramite email il cliente quando una password viene reimpostata per ricordarglielo. (o altro membro della famiglia in caso di account condivisi)

C'è un modo per saperlo con certezza, ed è calcolare l'hash di ciò che l'utente ha inserito, usando lo stesso salt e confrontandolo con quello che hai. Tuttavia, questo è ciò che già fa il processo di accesso e l'utente non ci crede. Perché dovrebbero crederci quando lo fai per loro?

Invece, potresti fare quello che ho visto spesso ultimamente, ad esempio in Windows 10, ma anche sui siti web:

Fornisci all'utente un modo per verificare ciò che ha inserito.

Ovviamente, quando si accede, i caratteri devono essere rappresentati come punti o altri caratteri, quindi i ficcanaso non possono vedere la password guardando alle spalle dell'utente.

Ma finché è nel campo di input, non è stata ancora crittografata o hash in alcun modo. Quindi fornisci un pulsante che trasformi quei punti nei caratteri reali.
In questo modo, dopo aver inserito la password sbagliata, potranno inserirla di nuovo e vedere cosa hanno appena inserito. Oppure possono controllare prima di accedere.

CapsLock dimenticati, turni sospesi, errori di battitura; possono essere rilevati tutti dall'utente in questo modo.

Per migliorare la tua esperienza utente devi prima di tutto aggiungere un po 'di interfaccia utente per comunicare agli utenti le seguenti condizioni:

• Caps lock attivato
• Avviso se ci sono spazi vuoti finali nel nome utente
• Avviso se sono presenti spazi vuoti nella password
• Impedisci l'utilizzo di spazi vuoti nell'email (se usi l'email invece del nome utente)
• Impedisci l'utilizzo e rimuovi automaticamente le nuove righe (ci sono diverse nuove varianti di riga)
• Impedisci l'utilizzo e rimuovi automaticamente i caratteri di controllo
• Se stai usando Javascript, alcuni browser lo hanno disabilitato, quindi devi spostare questi passaggi sul server lato.

Inoltre, se la password inserita è sbagliata, visualizza il seguente messaggio:

La password o il nome utente / e-mail è sbagliato, per favore digita ​​strong > facendo attenzione alle lettere minuscole o maiuscole e a tutti i numeri dei simboli, devono corrispondere perfettamente . Evita di fare copia-incolla perché a volte la copia del testo può aggiungere ulteriori spazi bianchi e / o nuove righe indesiderate.

Tieni presente che i tuoi utenti potrebbero avere ragione ! Una volta avevo un vecchio telefono che non mi permetteva di accedere a una pagina web, non so se fosse un problema di codifica del testo ma la mia password era alfanumerica e funzionava perfettamente su un PC.

La risposta accettata copre davvero la maggior parte di essa. Ma supponendo che ho provato tutti i suggerimenti lì e ancora non sono riuscito a trovare il problema, proverei quindi a rilevare l'errore quando si verifica. Per fare ciò, è possibile aggiungere il codice che ha registrato la password in chiaro ricevuta se un utente non è riuscito ad accedere due volte di seguito (in modo da filtrare tutti gli utenti che hanno appena commesso un errore stupido e lo hanno corretto al secondo tentativo).

Per non indebolire la sicurezza del tuo sistema, puoi abilitare la registrazione della password solo quando effettivamente c'era un utente sul telefono che ha avuto problemi ad accedere, e registrare solo la sua password, con la sua / il suo consenso.

La registrazione della password effettiva visualizzata dalla tua applicazione ha il vantaggio di vedere esattamente ciò che vede la tua applicazione. Dopo alcune chiamate da utenti disperati, potresti iniziare a prendere uno schema nelle loro password (ad esempio spazio finale, caratteri speciali ecc.) Che indicavano un problema nel tuo codice di accesso, oppure potresti vedere che intendevano per digitare "mysweetheart" ma invece "myseetheart", il che significherebbe che i problemi di accesso erano molto probabilmente tutti errori dell'utente.

Non credo che l'esecuzione manuale dei passaggi di hashing della password sia la soluzione. Se hai rilevato che effettivamente fallisce, certo, puoi farlo a basso livello per eseguire il debug, ma i tuoi clienti se ne dimenticheranno quasi immediatamente.

Qui il problema è che stanno usando una password sbagliata , sia perché l'hanno digitato male, sia perché pensano di averne usato uno diverso da quello che hanno usato loro.

Per escludere il primo caso, fai scrivere la password desiderata in un editor di testo (ad es. blocco note ), taglialo negli appunti e incollalo nel campo della password. La password viene mostrata al cliente durante il processo, in modo che rimuova i casi in cui viene premuta una lettera sbagliata, Caps Lock è stato impostato ... (ovviamente ci aspettiamo che lo faccia in un momento in cui nessun altro sta guardando il proprio schermo )

Il secondo caso è più difficile, poiché non vogliamo incoraggiare i clienti a conservare un file di testo con le loro password. Idealmente, convinceresti i tuoi clienti a utilizzare un gestore di password come KeePass. Quindi, se la password, la stessa che funzionava prima, viene copiata correttamente dal gestore delle password, puoi essere certo che sia effettivamente la password giusta.

A parte questo, che richiede davvero un cambio di mente dei tuoi clienti, potresti chiedere ai tuoi clienti di:

• creare una nuova password
• cambiare la loro password in quella incollandola
• provare ad accedere con la stessa password che hanno negli appunti

tutte le volte che vogliono, per tentare di riprodurla.

Supponendo che tu stia effettuando l'accesso ogni volta che un utente effettua il login, potresti essere in grado di dimostrare che è stato in grado di accedere dall'ultima volta che ha cambiato la sua password. Questo sarebbe almeno sufficiente per escludere alcuni potenziali problemi.

Quando si incontrano quattro diversi sistemi di autenticazione con questa proprietà effettiva, è abbastanza facile da verificare in ogni caso.

Caso n. 1: il sistema fallisce casualmente. In caso di errore, il contatore di login errato non viene incrementato. (Non sono stato in grado di ispezionare l'interno ma sono abbastanza sicuro che quello che sta succedendo è che a volte perde la connessione con un altro server e riporta solo una password errata quando ciò accade.)

Caso n. 2: il sistema è saltato quando metto un apostrofo nella mia password. Dimostrare che il campo della password era soggetto a SQL injection è stato banale.

Caso n. 3: una password valida è stata rifiutata da un filtro di caratteri nella schermata di accesso che la schermata della password non aveva. Anche questo è stato banale per dimostrare il problema.

Caso n. 4: il sistema non mi ha permesso di accedere perché interpretava il segno at come kill line. Booo. L'accesso tramite telnet alla porta FTP ha dimostrato che avevo la password corretta.

È possibile memorizzare le ultime password (con hash) di ogni utente nel database. Se la password inserita non corrisponde alla password corrente, confrontarla con quella precedente. Se c'è una corrispondenza, presenta un messaggio "Hai inserito una vecchia password - riprova" o un codice di errore in tal senso (quindi quando ti contattano, puoi chiedere "Vedi il codice di errore 47? Significa che hai ha usato una vecchia password. ")

In questo modo, puoi essere abbastanza sicuro che il sistema di login funzioni poiché ha effettuato almeno alcune ricerche di password e l'utente riceve un feedback sul fatto che ha dimenticato la nuova password.

Sto postando una seconda risposta a cui pensavo ieri, ma non ero sicuro che fosse consigliabile.

Potresti creare un registro temporaneo delle password impostate / reimpostate e tentate in forma crittografata. Gli esperti di sicurezza (me compreso) rabbrividirebbero all'idea di crittografare (invece di hashing) le password (o anche i tentativi di password errate), quindi suggerirei tre precauzioni se decidi di iniziare a registrare queste informazioni.

1. Invia le informazioni a un computer separato / isolato in modo che, se il server principale è compromesso, il registro delle password è ancora al sicuro.
2. Utilizza la chiave pubblica (asimmetrica ) crittografia per le informazioni registrate. La chiave privata (decrittografia) viene archiviata solo in un ambiente isolato affinché lo sviluppatore possa rivedere i dati registrati.
3. Pianifica un'attività (o inseriscila nel codice) in modo che questo log temporaneo sia disabilitato in una determinata data o quando un numero sufficiente di test ha avuto esito positivo.