Frage zur Passwort Verschlüsselung

**Floriam** · 09.07.2004, 17:28

Das wbb benutzt (glaub ich jedenfalls) md5()

**Clamsy1111** · 09.07.2004, 17:54

Hy,

das habe ich auch gesehen, das die Verschlüsselung md5 ist, reicht es dann aus, wenn ich einfach das .md5 gegen crypt austausche, oder muß ich da mehr machen?

gruß
Clamsy

**Abraxax** · 09.07.2004, 18:25

was ich nicht verstehe .... warum willst du die daten denn mit crypt() speichern?

damit kannst du sie ja wieder entschlüsseln. somit könntest du die auch direkt plain in die db packen. die sicherheit ist in beiden fällen extrem sch****.

**Clamsy1111** · 09.07.2004, 18:44

OK, andere Frage,

wie sieht das aus, wenn ich dann meine Seite auf MD5 mache?
was und wie muß ich den verschlüsselungscode ändern. BZW. wie kann ich das Passwort in plain text umwandeln, damit die User nichts mitbekommen, das ich die Passwortverschlüsselung geändert habe?

Ich möchte nämlich nicht das sich jeder benutzer das passwort neu einrichten muß, sondern das das passwort dann gleich bleibt wie vorher.

Vielleicht kann mir einer im Direct Writing über ICQ verbessert helfen.

Ich habe einen Testserver, der derzeit fast die gleichen Daten hat wie meine Originalseite!

Schöne Grüße
Clamsy

**cst** · 09.07.2004, 19:11

Original geschrieben von Abraxax
was ich nicht verstehe .... warum willst du die daten denn mit crypt() speichern?

damit kannst du sie ja wieder entschlüsseln. somit könntest du die auch direkt plain in die db packen. die sicherheit ist in beiden fällen extrem sch****.

Seit wann denn das?????

There is no decrypt function, since crypt() uses a one-way algorithm.

Hmmm! Ich denke jetzt hast du ein Problem. Du solltest die User vielleicht nach einem neuen Passwort fragen, damit du md5() nutzen kannst. Es gibt jedoch eine klitzekleine Chance. Laut den "User contributet notes" verwendet crypt unter bestimmten Umstanden selber md5:

crypt() on operating systems where multiple encryption mechanisms are supported gets triggered by the actual salt you feed it. If you feed crypt a 2-char salt, then it will use DES encryption. If you feed it a 12-char salt starting with $1$ it will use MD5. If you feed it a 17-char salt starting with $2$ it will do Blowfish.

Also falls du einen "salt" angeben haben solltest (ist ein optionaler Parameter von crypt()) und der beginnt mit $1$, tja, dann hast sowieso md5-Hashes. Jetzt musst Du nur noch mindestens 32 Zeichen in deiner db gespeichert haben, denn so lang sind md5-Hashes nunmal.

Hmmm... soweit die Theorie!

**Payne_of_Death** · 09.07.2004, 20:56

Warum so kompliziert?
Mach ein SQL Statement und Update die komplette Table mit md5....

Das Passwort ist nun ein Hashwert und das einzige was du tun musst ist beim Passwort Vergleich mit der DB. Das eingebene PW aus der Form mit md5 umwandeln und mit der DB vergleichen.

**Coragon Rivito** · 10.07.2004, 10:33

@ payne
was bringt ihm das ? er müsste erst das alte pw entschlüsseln, was - wenn cst recht behält - nicht geht ..

@ clamsy
machs folgendermaßen:
wenn sich benutzer einloggen, dann hast du ja das passwort im klartext ..
wenn der sich also richtig eingeloggt hat dann kannst du sein pw in der tabelle, neues feld als md5-hash speichern

du bräuchtest für ne übergangszeit nur

PHP-Code:


query(" .. WHERE passwort = '" . crypt($_POST['passwort'],"IN") . "' OR passwort = '" . md5($_POST['passwort'] . "'");

zu verwenden und passt ..

nach 2-3 wochen kannst du ja die tabelle nach nicht-md5-hashes durchstöbern (WHERE NOT REGEXP('[0-9a-f]{32}') ) und denen ein neues, generiertes pw per mail zuschicken (nicht vergessen dann in die db aufzunehmen)

was du auf jedenfall tun solltest ist die user zu informieren (für den fall dass etwas nicht so laufen sollte wie geplant)

**Clamsy1111** · 10.07.2004, 11:28

Hy @ all,

sorry, jetzt blicke ich gar nichts mehr.

Kann mir jemand evtl. über ICQ helfen?

kann ich nicht einfach die Scripte des Burnin Boards auf crypt machen? und dann wenn sich auf meiner Seite einer registriert wird das crypt passwort in die Burnin Board tabelle zusätzlich mit eingeschrieben, und der user kann dann beide Teile der Page mit dem selben Passwort betreten.

So war eigentlich mein gedanke. das ich die bestehenden Passwörter in die Table des Burnin Board packe ist kein problem, die können ja im crypt bleiben, nur das halt dann das Burning Board nicht mit md5 arbeitet sondern künftig mit crypt. Laut Woltlab sollte das auch gehen, wenn man die Scripte ändert, aber ich checke die änderung nicht und die von Woltlab mehren sich nicht aus, die hüllen sich ab diesen Punkt im schweigen.

Ganz nach dem Motto reden ist silber schweigen ist gold! :-(

nette grüße
CLamsy

**Coragon Rivito** · 10.07.2004, 12:40

dann such dir nen editor der über mehrere seiten suchen&ersetzen kann ..
gib das verzeichnis des wbb an (vorzugsweise ne kopie davon) und los gehts ..

selbst hab ich das wbb nicht um es zu probieren ..

ich leg dir trotzdem nahe md5 zu verwenden, wenn du die seite mal wo anders laufen lassen willst wirst du mit crypt probleme bekommen (hängt nämlich vom betriebssystem ab)

ps: so ein editor ist zb der WeaverSlave

**asp2php** · 12.07.2004, 11:22

Original geschrieben von Coragon Rivito
@ payne
was bringt ihm das ? er müsste erst das alte pw entschlüsseln, was - wenn cst recht behält - nicht geht ..

man braucht nicht zu entschlüsselt. Man kann auch so das PW auf MD5 (um)verschlüsseln, indem man:
- die Usertabelle um eine weitere Spalte erweitern, etwa strmd5pw
- beim Einloggen erhält das Script das eingegebene PW im Klartext, damit kann man schon mit MD5 und crypt verschlüsseln
- mit dem per crypt verschlüsselten PW die Tabelle abfragen und prüft ob alles korrekt ist
- falls ok, die Spalte strmd5pw per UPDATE ausfüllen.
Nun muss man sich nur noch für crypt oder md5 entscheiden und die Überprüfung entsprechend umschreiben. Es dauert eben eine gewisse Zeit bis alle PW MD5 verschlüsselt sind, dann kann man die Überprüfung per Crypt endgültig abschaffen und nur noch mit MD5 arbeiten.

**Coragon Rivito** · 12.07.2004, 17:11

OffTopic:
@asp2php:
hast du den teil mit @clamsy auch gelesen ? klar hast du .. und umgeschrieben

**Clamsy1111** · 13.07.2004, 15:23

@ Coragon Rivito

du ich hab das mit deinem Code mal probiert, aber ich bekomme es einfach nicht hin. Zum Glück probiere ich es auf dem Testserver aus, aber es funktioniert irgendwie nicht ganz.

Kannst Du mir evtl. helfen? Hast Du ICQ? 67664840 oder kannste mir irgendwie anders auf einem direkten draht helfen?

Gruß
Clamsy

**Coragon Rivito** · 13.07.2004, 16:53

lass dir das aber nicht zur gewohnheit werden ..
als übung schreibst du dann bitte eine (verständlichere) zusammenfassung von dem besprochenen und stellsts hier rein, damit andere auch was davon haben

**Clamsy1111** · 14.07.2004, 08:40

Aber sicher doch.

Ich will ja üben, und ich wills auch eigentlich immer selbst hinbekommen, aber hier scheitere ich irgendwie gnadenlos. Warum weis ich auch nicht!

Aber das geht klar, ist versprochen. Bin erst heute nachmittag wieder online.

Schöne Grüße
Clamsy

Frage zur Passwort Verschlüsselung