nicht angemeldet
Passwörter mit md5 verschlüsseln?
Hey!
Die Passwörter meiner Benutzer speichere ich mit md5 verschlüsselt in einer MySQL-Tabelle. Beim Login überprüfe ich die mit md5 verschlüsselte Eingabe mit dem Tabelleneintrag, der ja ebenfalls mit md5 verschlüsselt wurde.
So weit, so gut. Allerdings gibt es da folgedes Problem:
Ich möchte eine "Passwort vergessen"-Funktion anbieten. Ihr wisst ja wie's läuft: Man gibt den Usernamen und die E-Mail Adresse an, und bekommt, falls die E-Mail Adresse mit der gespeicherten übereinstimmt, eine E-Mail mit dem Passwort an diese Adresse. Allerdings bringt es doch dem Benutzer nichts, wenn da so was steht wie:
"Dein Passwort lautet: 7834577349853adc1eef8488baae1084"
Also muss ich es doch irgendwie entschlüsseln können, oder? Wie machen das denn bekannte Webseitenbetreiber?
Freue mich über jegliche Hilfe!
Hendrik
--
-------------------
Zur Info: Ich habe leider nur PHP 4.4.2 zur Verfügung!
-------------------
ie:% fl:| br:> va:) ls:[ fo:) rl:( n4:° ss:| de:> js:| ch:? sh:( mo:) zu:)
SELFCode Decoder
-------------------
Zur Info: Ich habe leider nur PHP 4.4.2 zur Verfügung!
-------------------
ie:% fl:| br:> va:) ls:[ fo:) rl:( n4:° ss:| de:> js:| ch:? sh:( mo:) zu:)
SELFCode Decoder
-
Hi,
Wie machen das denn bekannte Webseitenbetreiber?
beispielsweise versenden sie an die hinterlegte E-Mail-Adresse ein temporäres Passwort, welches das bisherige Passwort bestehen lässt, nur ein Mal verwendet werden kann, begrenzte Zeit gültig ist und zur sofortigen Passwortänderung zwingt. Und niemals, *niemals* versenden sie Benutzername und Passwort in ein und derselben Mail.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Und niemals, *niemals* versenden sie Benutzername und Passwort in ein und derselben Mail.
Doch tun sie, sehr viele sogar, insbesondere viele Boards.
Aber auch grosse Anbieter.Wolke
-
Hi,
Und niemals, *niemals* versenden sie Benutzername und Passwort in ein und derselben Mail.
Doch tun sie, sehr viele sogar, insbesondere viele Boards.
Aber auch grosse Anbieter.vielleicht sollte die Größe solcher Anbieter aufgrund dieser Information neu bewertet werden ...
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hi,
vielleicht sollte die Größe solcher Anbieter aufgrund dieser Information neu bewertet werden ...
Zumindest fehlt die Geistesgröße. =;->
Gruß, Cybaer
--
Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
-
-
-
-
Hallo Forum,
Also muss ich es doch irgendwie entschlüsseln können, oder?
Nein, MD5 ist irreversibel.
Wie machen das denn bekannte Webseitenbetreiber?
Man erzeugt ein neues Passwort, schickt es an die E-Mail-Adresse des Benutzers und speichert den Hash davon in der Datenbank.
Gruß
Alexander Brock -
Hallo,
möchte nur eine Anmerkung in den Raum werfen: Je nachdem was das für eine Webseite/Anwendung ist und wie lange sie mit diesem technischen Stand laufen soll (bedenke: du kannst die Passwörter dank fehlender Entschlüsselung nicht von dir aus auf eine andere Verschlüsselungsfunktion umstellen), ist MD5 nicht mehr das angemessene Verfahren, da sich je nach eingesetzter Rechenkapazität Kollisionen (also unterschiedliche Eingaben mit dem selben Schlüsselkode) innerhalb von Minuten finden lassen.
MfG
Rouven--
-------------------
Eine Bilanz ist wie der Bikini einer Frau. Sie zeigt fast alles, aber verdeckt das Wesentliche -- Günter Stotz, Regierungsdirektor des baden-württembergischen Wirtschaftsministeriums-
Hallo Forum,
[...] bedenke: du kannst die Passwörter dank fehlender Entschlüsselung nicht von dir aus auf eine andere Verschlüsselungsfunktion umstellen [...]
Doch, das kann man:
Man legt ein weiteres Feld in der Tabelle mit dem Passwort-Hash an, das das Ergebnis der neuen Hashfunktion enthalten soll.
Immer wenn sich ein bestehender Benutzer anmeldet wird das alte Feld auf NULL gesetzt und das neue Feld mit dem Ergebnis der neuen Hasfunktion gefüllt.
Gruß
Alexander Brock-
Hi,
Man legt ein weiteres Feld in der Tabelle mit dem Passwort-Hash an, das das Ergebnis der neuen Hashfunktion enthalten soll.
Immer wenn sich ein bestehender Benutzer anmeldet wird das alte Feld auf NULL gesetzt und das neue Feld mit dem Ergebnis der neuen Hasfunktion gefüllt.korrekt, da hab ich so nicht drüber nachgedacht. Was nichts daran ändert, dass bei selten eingeloggten Nutzern der MD5-Login noch länger vorhanden sein könnte und damit angreifbar ist. Worauf ich eigentlich hinauswollte war eine Möglichkeit, dass der Admin sagt "UPDATE ..." und mit einem Schlag sind alle Passwörter "umverschlüsselt".
MfG
Rouven--
-------------------
Death is nature's way of telling you to slow down.-
Hallo Forum,
korrekt, da hab ich so nicht drüber nachgedacht. Was nichts daran ändert, dass bei selten eingeloggten Nutzern der MD5-Login noch länger vorhanden sein könnte und damit angreifbar ist.
Wenn man so eine Umstellung macht kann man ja nach einem halben Jahr alle Accounts löschen, die noch nicht umgestellt wurden.
Und wenn ein Angreifer Zugriff auf die MD5-Hashes erhält sind da sowieso noch viel schlimmere Fehler als in MD5 drin.
Gruß
Alexander Brock
-
-
-
