Passwörter entschlüsseln

[Crake]

Die Passwörter beim YaBBse werden doch verschlüsselt in der MySQL unter Members abgelegt. Ich möchte nun diese Passwörter jedoch auslesen können, weil ich zum Beispiel Passwörter wie 123456 oder ähnlich verhindern möchte.

Danke im vorraus

[Siberian...Husky]

also es is möglich diese zu endschlüsseln. ich würde aba abraten(weswegen ich dir jetz hier nich sage wie das geht). die sind mit absicht verschlüsselt! man endschlüsselt nicht einfach passwoerter. das würde die datensicherheit sehr beeinträchtigen !!!!!!! und solange kein admin si ein schwachsinniges passwort nimmt(und da solltest du schon vertrauen in deine freunde haben) giebt es doch auch kein problem...

[Marko]

jo, sowas würde ich auch gerne haben, wäre echt wichtig. Im alten YaBB konnte man ja auch die pw's sehen, und ein so großer sicherheitsmalngel wäre das ja auch nicht, ich meine wer gibt schon seine login-daten für die db weiter.

[Siberian...Husky]

wenn fremde auf deinem board sind und du deren passwoerter endschlüsselst zu welchem zwec auch immer finde ich das nicht gut. denn die meisten benutzen ihre passwoerter nicht nur in diesem board.


wie gesagt das hat einen grund warum sie verschlüsselt sind!

[BRAIN]

also ich seh auch keine notwendigkeit dafür ??!!

wen ein user sein pass vergessen hat
kannst du es doch immer noch ändern
(oder er lässt es sich zuschicken)

also
WOZU ??

[Marko]

also ichs seh im allgemeinem gerne, was in meiner db steht.

[Siberian...Husky]

is nur so das die passwoerter nich dir sondern dem user gehoeren. ausserdem siehst du was da in deiner db steht ! du weißt nur nich was es bedeutet. udn das musst du auchnich wissen....

[Marko]

ich kann es aber net entschlüsseln, das wäre genauso, als ob ich dir jetzt wörter in  einer sprache, die du nicht vertsehst hinschreiben würde, du möchtest wissen, was da steht.

[Siberian...Husky]

also jetz weiß ich endlöich was du willst. du willst einfach die passwoerter wissen !  dafür wird dir hofentlich keiner zeigen wie du das endschlüsselt bekommst.  den an den passwoerter deiner user hast du nix zu suchen ! egal ob es dich interesiert oder nicht...

[Crake]

Ui!
Mit so einer Diskussion darum hatte ich nicht gerechnet
Aus dem Standpunkt der Datensicherheit habe ich das noch gar nicht betrachtet. Viele verwenden ja für alles das gleiche Passwort, deswegen sollte man wirklich darauf verzichten.

[chris]

YaBB SE benutzt zum Verschlüsseln der Passwörter meines Wissens nach die crypt() Funktion von PHP. Diese verschlüsselt die Passwörter mit dem DES-Algorithmus. Du kannst nur versuchen die Passwörter per Brute-Force Attacke (ausprobieren jedes möglichen Passwortes) zu knacken. Eine andere Möglichkeit gibt es nicht. Und eine Brute-Force Attacke auf so ein Password dürfte sehr lange dauern (ich weiss nicht genau welche Implementierung des DES PHP nutzt, aber es kann sich dabei um mehrere Millionen bis mehrere Milliarden mögliche Kombinationen drehen die Du ausprobieren müsstest) *g*

Achja... das Entschlüsseln ist deshalb nicht möglich, weil das Passwort überhaupt nicht gespeichert wird, sondern ein Wert der aus dem Passwort berechnet wird. Das ist damit vergleichen, dass Du das Passwort nimmst, allen Zeichen bestimmte Werte zuordnest (ein A ist immer 1, ein B immer 2 usw.) und dann nur die Zahl abspeicherst die beim addieren aller Werte rauskommt. Daraus kannst Du nicht ohne weiteres errechnen was der Ausgangsstring war (zumindest nicht bei längeren Zeichenketten). Und DES ist wesentlich komplizierter als mein Beispiel.

crake: Wenn Du verhindern willst, dass Deine User "schlechte" Passwörter (aaaaaa,123456,abcdefg,etc.) oder "widely-known" Passwörter (gott,liebe,joshua,etc.) nehmen, musst Du in der Profile.php einen Check am ANFANG der Funktion "ModifyProfile2" einfügen, wo Du testest was in $member['passwrd1'] steht... gleiches gilt für Register.php in der Funktion "Register2" !

Eine andere Möglichkeit hast Du prinzipiell nicht... ausser Du generierst von den Passwörtern die Du checken willst die entsprechenden verschlüsselten Versionen (siehe Register.php/Profile.php wie das geht) und schaust ob die in der Datenbank stehen...

BlackHunter: Egal wie Du argumentierst, es gibt absolut keinen Grund warum Du die Passwörter wissen solltest.... und selbst wenn jemand etwas "bedenkliches" als Passwort nimmt (etwas rassistisches z.B.) spielt es keine Rolle... in der DB steht der Text nicht... und sonst ist es Sache des Users und nicht die des Admins. Genauso wie es z.B. den Admin nicht zu interessieren hat was die User in den Instant-Messages bereden, solang nicht der begründete Verdacht besteht das da was bedenkliches abläuft. Und zum Thema Sicherheitsmangel... doch, genau das ist es wenn die Passwörter unverschlüsselt da stehen.... denn sollte jemand einen Bug finden, der genau den Inhalt dieses Feldes irgendwo sichtbar macht, dann wüsste jeder sofort Dein Passwort... so weiss er nur den Hash-Wert der nach der Verschlüsselung rauskommt... und der nützt ihm so gut wie garnix...

[Siberian...Husky]

meinermeinung nach kann man nur bei passwoertern die mit mcrypt verschlüsselt sind nicht wqieder endschlüsseln. wie sollte man sonst das passwort ber e-amil an den user zusenden koennen ?

[chris]

meinermeinung nach kann man nur bei passwoertern die mit mcrypt verschlüsselt sind nicht wqieder endschlüsseln. wie sollte man sonst das passwort ber e-amil an den user zusenden koennen ?

Man kann das Original-Passwort nicht per eMail zusenden. Probier es aus. YaBB generiert ein zufälliges, neues Passwort für den User. mcrypt() versetzt Dich in die Lage z.B. einen Algorithmus wie Blowfish oder Twofish zu nutzen mit denen Du Daten so verschlüsseln kannst, dass man sie wieder entschlüsseln kann.

[Marko]

na gut, ich geb mich geschlagen.

[mario]

hi!

gibt es denn eine moeglichkeit die passwoerter mit md5 statt crypt zu verschluesseln, ohne das ganze board zu hacken?

hintergrund: wuerde gerne die passwoerter mit anderen login-accounts abgleichen. die benutzten allerdings md5-verschluesselung (imho noch sicherer als crypt()) und damit stehe ich vor einem problem...

wer weiss rat?

cya
mario