[Erledigt] Passwort(hash) als Klartext per Mail schicken

chickenburner · 20.10.2011, 15:01

Hallo Zusammen,

ich bin momentan an einem Registrierungsscript dran.
Das Passwort wird automatisch generiert und mit einem hash verschlüsselt, zusätzlich kommt noch ein salt dran.
Da das Passwort per sms gesendet werden soll, soll mir allerdings das generierte Passwort als Klartext per email zugesendet werden.

Das Script dazu sieht bis jetzt so aus:

PHP-Code:

  <?php

[...]

 
$password = "";

 
$pool = "qwertzupasdfghkyxcvbnm";

 
$pool .= "23456789";

 
$pool .= "WERTZUPLKJHGFDSAYXCVBNM";

 
 
 
srand ((double)microtime()*1000000);

 
for($index = 0; $index < 10; $index++)

 
{

 
    $password .= substr($pool,(rand()%(strlen ($pool))), 1);

 
 
 
}

 
if(isset($_POST ['submit']) {

 
$empfaenger = "Meineemail@domain.de";

 
$absendermail = "$email";

 
$absendername = "$vorname $nachname";

 
$betreff = "Neu-Registrierung";

 
$text = "Ein neues Mitglied hat sich regestriert.

     Dies sind seine Login-Daten:

 
         $username 

         $password

         $handynummer";

 
mail($empfaenger, $betreff, $text, "From: &absendername <$absendermail>");

}

 
$salt = "ein string der drangehangen wird";          

 
$_POST['password'] = hash('sha256', $_POST ['password'].salt);

 
[...]

?>

1. Da ich noch neu in php bin, bitte einmal kontrolieren, ob der code Fehler hat.

2. Ist es zu unsicher, wenn ich im script mir die Daten (also das Passwort als Klartext) per Mail zusende?

3. Funktioniert das Script so, dass das Passwort generiert wird, mir per mail als Klartext zugesendet und danach erst verschlüsselt wird?

Ich danke euch für eure Hilfe!

wolf29 · 20.10.2011, 15:13

HI

Zitat:

1. Da ich noch neu in php bin, bitte einmal kontrolieren, ob der code Fehler hat.

Verwende bitte eine Mailerklasse (siehe hier im Forum)!

Zitat:

2. Ist es zu unsicher, wenn ich im script mir die Daten (also das Passwort als Klartext) per Mail zusende?

Was heißt "zu unsicher"? Unsicher ist es, ja!

Zitat:

3. Funktioniert das Script so, dass das Passwort generiert wird, mir per mail als Klartext zugesendet und danach erst verschlüsselt wird?

Teste es am besten, dennoch halte ich das nicht wirklich für optimal

.

mfg Wolf29

chickenburner · 20.10.2011, 15:20

Zitat:

Zitat von wolf29

Was heißt "zu unsicher"? Unsicher ist es, ja!

Mit zu unsicher meine ich, ob man die empfängermail ändern kann?

Ok, warum ist es deiner Meinung nach unsicher? Weil es Möglich ist die empfängermail zu ändern? Wenn ja, wie löse ich das Problem am besten?

Zitat:

Zitat von wolf29

Teste es am besten, dennoch halte ich das nicht wirklich für optimal

.

mfg Wolf29

Was wäre deiner Meinung nach optimal?

Vielen Dank, dass du dir die Zeit nimmst, mir zu helfen.

EDIT:

Eine Alternative wäre, dass der User sein Passwort selbst aussucht, aber per sms einen freischaltcode zugesendet bekommt, welcher automatisch generiert wird und mir nach der Registrierung zugesendet wird. Diesen muss er dann beim erstlogin eingeben.

Alleine mit dem Freischaltcode kann niemand etwas anfangen, da das Passwort mit hash und salt in der DB gespeichert wird.

Das wäre schonmal sicherer.

Was hälst du davon?

nikosch · 20.10.2011, 15:56

Zitat:

Da das Passwort per sms gesendet werden soll, soll mir allerdings das generierte Passwort als Klartext per email zugesendet werden.

Ja, das ist sehr schlecht.

Zitat:

Da das Passwort per sms gesendet werden soll

???

Unsicher ist es, weil das Passwort im Klartext über eine ungesicherte Leitung geht. Du verschickst ja auch nicht Deinen Wohnungsschlüssel hinten auf eine Postkarte geklebt.

Zitat:

Das wäre schonmal sicherer.

Was hälst du davon?

Nennt sich double opt in und ist gängiger Standard.

chickenburner · 20.10.2011, 16:28

Auch dir vielen Dank für deine Hilfe

Zitat:

Zitat von nikosch

Nennt sich double opt in und ist gängiger Standard.

Ja, das war mir schon klar, dass das gängiger Standard ist, aber danke für die allgemeine Bezeichnung. Hinterher ist man immer schlauer

Wie das dann ausschaut, habe ich mir so überlegt:

Der Freischaltcode wird generiert und mit den anderen Daten in der DB gespeichert, ausserdem gibt es in der DB noch die Spalte "erstlogin".
Logt der user sich ein, wird zusätzlich geprüft, ob bei "erstlogin" eine 1 gesetzt ist. Wenn nicht, wird der User auf die Seite weitergeleitet, wo er den Freischaltcode eingibt, dieser wird mit dem in der DB verglichen und wenn dieser korrekt ist, wird bei "erstlogin" eine 1 gesetzt.

Ist das ein vernünftiger Lösungsansatz?

nikosch · 20.10.2011, 16:36

Ich würde zu etwas anderem raten: Den Freischalt-Code musst Du ohnehin Account-gebunden in der DB speichern. Das reicht eigentlich aus, um einen noch freizuschaltenden Account zu kennzeichnen. Auf diesem Weg kannst Du auch gleich eine Sperrmöglichkeit implementieren (sozusagen also nicht „erstlogin“ sondern „erstlogin bzw. gesperrt“). Zusätzlich ist eine Befristung der Freischaltung sinnvoll, damit Du Spaßaccounts oder nie freigeschaltete Accounts nach einer Weile aussondern kannst/.

chickenburner · 20.10.2011, 17:07

Also überprüfen, ob ein Freischaltcode in der DB ist.
wenn ja, diesen abfragen und nach dem vergleich den Freischaltcode aus der DB löschen.

Mit der Sperrmöglichkeit meinst du, dass ich einen Adminbereich erstelle und in diesem, die Möglichkeit habe, wenn ich beispielsweise in ein Formular den Usernamen eingebe und auf sperren klicke, dass automatisch ein string in die spalte freischaltcode von dem user gesetzt wird?

Am besten ein geheimer string der mit hash und salt verschlüsselt wird. Dann besteht die Möglichkeit, dass wenn ein code vorhanden ist, noch geprüft wird, ob es der "gesperrt-code" ist. Wenn ja, wird nicht das Formular für den Freischaltcode angezeigt, sondern eine Benachrichtigung, dass der User gesperrt ist.

In etwa so?

nikosch · 20.10.2011, 17:26

chickenburner · 20.10.2011, 18:20

Top.

Ich danke dir für deine große Hilfe.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] PHP mail() sorgt für Interal Server Error	AXELB	Server, Hosting und Workstations	1	18.04.2011 23:16
dateien aus verzeichnis einzeln als mail attachment versenden	mathes	PHP Tipps 2008	5	17.07.2008 19:45
Unterschied zwischen mail() und popen(/usr/sbin/sendmail)...	DonTermi	PHP Tipps 2007	8	27.03.2007 13:25
Mail zu einer bestimmten Uhrzeit schicken	obi	PHP Tipps 2006	2	26.09.2006 16:05
Funktion Mail() verwenden	bendigo	PHP Tipps 2006	2	05.05.2006 11:44
mail() und boundary Problem	Gef	PHP Tipps 2006	4	02.03.2006 00:47
Mail mit mail() kommt nicht an	center	PHP Tipps 2005-2	5	18.08.2005 13:02
Datei auslesen und als Mail schicken!	Broadcast	PHP Tipps 2005-2	2	12.08.2005 14:29
Mail adresse überprüfen?		PHP Tipps 2005-2	6	16.06.2005 11:53
Mit der PHP mail() Funktion eine HTMl mail verschicken?		PHP Tipps 2005	6	09.05.2005 07:13
php mail() header &amp;amp;amp;amp;amp; Spam Problem		PHP-Fortgeschrittene	4	04.05.2005 12:31
[Erledigt] Error Mail() function		PHP Tipps 2005	3	14.04.2005 03:32
[Erledigt] link per mail schicken lassen		PHP Tipps 2005	10	08.02.2005 14:50
felder gegebenen falls überprüfen und sonst mail schicken.	lindner	PHP Tipps 2004-2	1	14.11.2004 15:47
mail() - mail header		PHP-Fortgeschrittene	2	28.09.2004 15:35

20.10.2011, 15:01
chickenburner Benutzer Registriert seit: 14.10.2011 Beiträge: 81 PHP-Kenntnisse: Anfänger	[Erledigt] Passwort(hash) als Klartext per Mail schicken Hallo Zusammen, ich bin momentan an einem Registrierungsscript dran. Das Passwort wird automatisch generiert und mit einem hash verschlüsselt, zusätzlich kommt noch ein salt dran. Da das Passwort per sms gesendet werden soll, soll mir allerdings das generierte Passwort als Klartext per email zugesendet werden. Das Script dazu sieht bis jetzt so aus: PHP-Code: <?php [...] $password = ""; $pool = "qwertzupasdfghkyxcvbnm"; $pool .= "23456789"; $pool .= "WERTZUPLKJHGFDSAYXCVBNM"; srand ((double)microtime()*1000000); for($index = 0; $index < 10; $index++) { $password .= substr($pool,(rand()%(strlen ($pool))), 1); } if(isset($_POST ['submit']) { $empfaenger = "Meineemail@domain.de"; $absendermail = "$email"; $absendername = "$vorname $nachname"; $betreff = "Neu-Registrierung"; $text = "Ein neues Mitglied hat sich regestriert. Dies sind seine Login-Daten: $username $password $handynummer"; mail($empfaenger, $betreff, $text, "From: &absendername <$absendermail>"); } $salt = "ein string der drangehangen wird"; $_POST['password'] = hash('sha256', $_POST ['password'].salt); [...] ?> 1. Da ich noch neu in php bin, bitte einmal kontrolieren, ob der code Fehler hat. 2. Ist es zu unsicher, wenn ich im script mir die Daten (also das Passwort als Klartext) per Mail zusende? 3. Funktioniert das Script so, dass das Passwort generiert wird, mir per mail als Klartext zugesendet und danach erst verschlüsselt wird? Ich danke euch für eure Hilfe!


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

20.10.2011, 16:36
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Ich würde zu etwas anderem raten: Den Freischalt-Code musst Du ohnehin Account-gebunden in der DB speichern. Das reicht eigentlich aus, um einen noch freizuschaltenden Account zu kennzeichnen. Auf diesem Weg kannst Du auch gleich eine Sperrmöglichkeit implementieren (sozusagen also nicht „erstlogin“ sondern „erstlogin bzw. gesperrt“). Zusätzlich ist eine Befristung der Freischaltung sinnvoll, damit Du Spaßaccounts oder nie freigeschaltete Accounts nach einer Weile aussondern kannst/. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

20.10.2011, 17:07
chickenburner Benutzer Registriert seit: 14.10.2011 Beiträge: 81 PHP-Kenntnisse: Anfänger	Also überprüfen, ob ein Freischaltcode in der DB ist. wenn ja, diesen abfragen und nach dem vergleich den Freischaltcode aus der DB löschen. Mit der Sperrmöglichkeit meinst du, dass ich einen Adminbereich erstelle und in diesem, die Möglichkeit habe, wenn ich beispielsweise in ein Formular den Usernamen eingebe und auf sperren klicke, dass automatisch ein string in die spalte freischaltcode von dem user gesetzt wird? Am besten ein geheimer string der mit hash und salt verschlüsselt wird. Dann besteht die Möglichkeit, dass wenn ein code vorhanden ist, noch geprüft wird, ob es der "gesperrt-code" ist. Wenn ja, wird nicht das Formular für den Freischaltcode angezeigt, sondern eine Benachrichtigung, dass der User gesperrt ist. In etwa so?

20.10.2011, 17:26
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Ja. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

20.10.2011, 18:20
chickenburner Benutzer Registriert seit: 14.10.2011 Beiträge: 81 PHP-Kenntnisse: Anfänger	Top. Ich danke dir für deine große Hilfe.