"Passwort vergessen" und Md5(Passwort)

25.08.2004, 17:30

Hallo!
Ich habe da mal so eine frage...
Angenommen ich habe eine DB und in die werden Username und Passwort reingeschrieben (PASSWORT IST MD5 VERSCHLÜSSELT)
wie kann ich dann eine "Passwort vergessen" Funktion realisieren?
Irgendwie muss man ja das Passwort wieder entschlüsseln können ?!

25.08.2004, 17:31

neues passwort generieren, mit md5() in DB speichern,
und per e-mail versenden

[edit]
ups verschrieben
[/edit]

25.08.2004, 17:32

HI,

ähm ne ... neues erstellen mit md5() und ab in die db und zuschicken .,.. !

cu

25.08.2004, 17:56

Ähm ne ich wollte keine Alternative haben sondern eine Lösung auf das Problem!
Foren á la phpBB oder WBB können das doch auch

25.08.2004, 18:02

das ist keine alternative, das ist die lösung. vbb, phpbb, wbb, ipb - die machen
das alle so! weil? anders geht's nicht!

25.08.2004, 18:05

MD5 lässt sich lediglich per Brute-Force knacken, wenn du das allerdings machst kommt das passwoert erst einige Tage/Wochen später an. Ich glaub nicht das das sinn der Sache ist. Du hast nun also 3 Möglichkeiten:

1.) Du lässt das PW unverschlüsselt und schickst es dann zu (empfehle ich nicht)
2.) Du Verschlüsselst es über base64 und entschlüsselst es beim Versenden wieder (auch nicht das NonPlusUltra)
3.) Du generierst ein neues Passwort, schreibst es mit MD5-Verschlüsslung wieder in die DB und schickst es dem Nutzer dann per Mail (die beste Variante)

supertramp · 25.08.2004, 18:36

md5 bildet ja lediglich einen Hash-Wert. Dieser Hash wird gespeichert. Es ist ja nicht im eigenltichen Sinne eine Verschlüsselungsmethode. Man kann sie aber dazu benutzen...

Nur kannst du dann wie schon gesagt nur mit Brute-Force das Original-Passwort auslesen.

Ich empfehle dir die 3) Variante meines Vorschreibers...

Chance · 25.08.2004, 19:53

Man müsste das Passwort zusätzlich unverschlüsselt speichern, aber nicht in der User Tabelle.
Denn mit SQL Injektion könnte man, wenn das Script keinen Schutz hat, das Passwort sonst unverschlüsselt auslesen.
Da aber der Hash Wert in der DB gespeichert wird, bekommt derjenige, wenn er es schaffen sollte, nur eine nahezu unbrauchbare Zeichenfolge zu sehen, die man ebend nur per Brute Force knacken könnte.

Deshalb sollte das sichtbare Passwort in einer nahezu unerreichbaren Datenbank gespeichert werden, auf die kein "normaler" Zugriff erfolgt.

26.08.2004, 09:39

Zitat:

Zitat von stef

das ist keine alternative, das ist die lösung. vbb, phpbb, wbb, ipb - die machen
das alle so! weil? anders geht's nicht!

also ich kenn 3 Forentypen:
-wbb2: kann das
-phpBB: Probierts hier aus... es geht!
-Rapid Forum: kanns...

Naja ich dachte hier weiss das einer dann muss ich mir mal son phpBB runterladn und die stelle suchen...

26.08.2004, 09:52

wbb defintiv nicht, da leg ich meine hand für ins feuer. die sw speichert pw's
md5 crypted in der datenbank. und wenn ich auf passwort vergessen klicke,
krieg ich ein neues, zufall generiertes passwort zugeschickt. wäre ja auch
noch schöner, wenn der einfach mein passwort entschlüsselt und es mir an-
zeigt. zudem spielt da der faktor "gefühlte sicherheit" ne rolle (wenn ich das
einfach mal so bezeichnen darf).

mal angenommen du gehst zu deiner bank, sagst du hast deine pin nummer
vergessen. die werden auch nicht in den computer gucken und dir deine pin
sagen (ka ob die das nun können oder nicht). da wird ein vorgang ausgelöst,
du hinterlässt deine kontonummer und binnen weniger tage kriegt der einge-
tragene inhaber dieser nummer post. doppelte sicherheit. solltest du nicht der
inhaber kriegen, hast du die neue pin nicht. der eigentliche inhaber wird sich
zwar wundern und bei seiner bank anrufen, bringt aber keine weiteren prob-
leme mit sich. weder für die bank noch den konto-inhaber.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

25.08.2004, 17:30
Gast Beiträge: n/a	"Passwort vergessen" und Md5(Passwort) Hallo! Ich habe da mal so eine frage... Angenommen ich habe eine DB und in die werden Username und Passwort reingeschrieben (PASSWORT IST MD5 VERSCHLÜSSELT) wie kann ich dann eine "Passwort vergessen" Funktion realisieren? Irgendwie muss man ja das Passwort wieder entschlüsseln können ?!


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

25.08.2004, 17:31
Gast Beiträge: n/a	neues passwort generieren, mit md5() in DB speichern, und per e-mail versenden [edit] ups verschrieben [/edit]

25.08.2004, 17:32
Gast Beiträge: n/a	HI, ähm ne ... neues erstellen mit md5() und ab in die db und zuschicken .,.. ! cu

25.08.2004, 17:56
Gast Beiträge: n/a	Ähm ne ich wollte keine Alternative haben sondern eine Lösung auf das Problem! Foren á la phpBB oder WBB können das doch auch

25.08.2004, 18:02
Gast Beiträge: n/a	das ist keine alternative, das ist die lösung. vbb, phpbb, wbb, ipb - die machen das alle so! weil? anders geht's nicht!

25.08.2004, 18:05
Gast Beiträge: n/a	MD5 lässt sich lediglich per Brute-Force knacken, wenn du das allerdings machst kommt das passwoert erst einige Tage/Wochen später an. Ich glaub nicht das das sinn der Sache ist. Du hast nun also 3 Möglichkeiten: 1.) Du lässt das PW unverschlüsselt und schickst es dann zu (empfehle ich nicht) 2.) Du Verschlüsselst es über base64 und entschlüsselst es beim Versenden wieder (auch nicht das NonPlusUltra) 3.) Du generierst ein neues Passwort, schreibst es mit MD5-Verschlüsslung wieder in die DB und schickst es dem Nutzer dann per Mail (die beste Variante)

25.08.2004, 18:36
supertramp Erfahrener Benutzer Registriert seit: 01.12.2003 Beiträge: 4.113	md5 bildet ja lediglich einen Hash-Wert. Dieser Hash wird gespeichert. Es ist ja nicht im eigenltichen Sinne eine Verschlüsselungsmethode. Man kann sie aber dazu benutzen... Nur kannst du dann wie schon gesagt nur mit Brute-Force das Original-Passwort auslesen. Ich empfehle dir die 3) Variante meines Vorschreibers... __________________ Aufstrebend, kompetent und werbefrei. www.developers-guide.net

25.08.2004, 19:53
Chance Erfahrener Benutzer Registriert seit: 02.08.2004 Beiträge: 209 PHP-Kenntnisse: Fortgeschritten	Man müsste das Passwort zusätzlich unverschlüsselt speichern, aber nicht in der User Tabelle. Denn mit SQL Injektion könnte man, wenn das Script keinen Schutz hat, das Passwort sonst unverschlüsselt auslesen. Da aber der Hash Wert in der DB gespeichert wird, bekommt derjenige, wenn er es schaffen sollte, nur eine nahezu unbrauchbare Zeichenfolge zu sehen, die man ebend nur per Brute Force knacken könnte. Deshalb sollte das sichtbare Passwort in einer nahezu unerreichbaren Datenbank gespeichert werden, auf die kein "normaler" Zugriff erfolgt.

26.08.2004, 09:52
Gast Beiträge: n/a	wbb defintiv nicht, da leg ich meine hand für ins feuer. die sw speichert pw's md5 crypted in der datenbank. und wenn ich auf passwort vergessen klicke, krieg ich ein neues, zufall generiertes passwort zugeschickt. wäre ja auch noch schöner, wenn der einfach mein passwort entschlüsselt und es mir an- zeigt. zudem spielt da der faktor "gefühlte sicherheit" ne rolle (wenn ich das einfach mal so bezeichnen darf). mal angenommen du gehst zu deiner bank, sagst du hast deine pin nummer vergessen. die werden auch nicht in den computer gucken und dir deine pin sagen (ka ob die das nun können oder nicht). da wird ein vorgang ausgelöst, du hinterlässt deine kontonummer und binnen weniger tage kriegt der einge- tragene inhaber dieser nummer post. doppelte sicherheit. solltest du nicht der inhaber kriegen, hast du die neue pin nicht. der eigentliche inhaber wird sich zwar wundern und bei seiner bank anrufen, bringt aber keine weiteren prob- leme mit sich. weder für die bank noch den konto-inhaber.