nicht angemeldet
(mySQL) Passwort auslesen?
Hallo,
ich habe in ASP eine Login Seite, aus der Benutzer und Passwörter von einem mySQL Server eingelesen werden.
Was auch wunderbar funktioniert, nur leider stehen die Passwörter unverschlüsselt in der DB. Wenn ich nun die Passwort Felder in mySQL als Passwort definiere, werden sie zwar verschlüsselt, aber ASP kann sie nun nicht mehr lesen (Was ja auch verständlich ist)
Wie schaffe ich es nun in ASP, das Passwort Feld wieder zu entschlüsseln?
Gibt es vielleicht eine Möglichkeit wie z.B.
objRS=PASSWORD("user_passwort")?
Danke euch...
-
Halihallo thomas .:
ich habe in ASP eine Login Seite, aus der Benutzer und Passwörter von einem mySQL Server eingelesen werden.
Hm... Ich dachte MySQL verwaltet die Daten und ASP liest sie ein?
Was auch wunderbar funktioniert, nur leider stehen die Passwörter unverschlüsselt in der DB. Wenn ich nun die Passwort Felder in mySQL als Passwort definiere, werden sie zwar verschlüsselt, aber ASP kann sie nun nicht mehr lesen (Was ja auch verständlich ist)
Es gibt in MySQL keinen Datentypen Passwort, was meinst du damit? - Mit was
"verschlüsselst" du die Werte?Wie schaffe ich es nun in ASP, das Passwort Feld wieder zu entschlüsseln?
Oftmals ist es eine Sackgasse. Einmal gecrypted ist für immer gecrypted... Es ist oft
nicht zwingend, dass man das Passwort kennt, sondern man muss nur den gecrypteten
Wert in der Datenbank mit der gecrypteten Eingabe des Users _vergleichen_. Das Original-
Passwort brauchst du nicht.Gibt es vielleicht eine Möglichkeit wie z.B.
objRS=PASSWORD("user_passwort")?Informiere dich über crypt, MD5
Viele Grüsse
Philipp
-
Hi, hallo
entweder drückst du dich nur falsch aus oder du hast dein Problem nicht richtig erkannt.
meine These: du möchtest Eingaben in das Loginformular in ASP mit in MySQL verschlüssselten Feldern vergleichen ... also in dem fall das Passwort, welches irgendwie in mySQL in einem Feld vom typ Passwort steht und damit verschlüsselt ist,
frag doch mal dein Manual, wie es die Daten im Passwortfeld verschlüsselt, mit welchem Mechanismus ...
sowie du das anscheinend willst, die unverschlüsselten PWs vergleichen, ist es falschrum, weil dann die Sicherheit der verschlüsselung wenig sinn macht. Vernünftige Passwortcryptographie sollte one-way sein, digest-mäßig -> MD5
schnapp dir ne ASP Komponente die MD5 cryptophiert und lege das DB feld als einfachen Text an, wo dieser MD5 Output drin ist.. dann erstelle vom im Login eingegebenen PW ebenfalls den MD5 hash und vergleiche ihn mit dem in der DB.
das einzige, was du damit sicherstellst ist, das niemand, der backdoormäßig in die DB schaut die PWs im Klartext sieht, aber während der Übertragung der Eingaben zum Server kann man immer noch den Klartext sniffen ... wenn du nicht eine verschlüsselte (SSL) Verbindung nimmst.
Ich hoffe das hilft dir in deinen Überlegungen weiter.
Tschau, tschüß,
Frank