Passwörter aller Benutzer auslesen, aber wo?

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Benutzeravatar
DaniM
Mitglied
Beiträge: 687
Registriert: 28.04.2003 19:22
Wohnort: Ulm
Kontaktdaten:

Beitrag von DaniM » 12.05.2006 20:49

Slyver hat geschrieben:Ich frage um zu erfahren wo die passwörter versteckt sind. Und wenn sie versteckt sind dann finde ich sie. Eigentlich hab ich mir einen einfacheren weg erhofft aber da muss ich wohl jetzt wieder arbeit investieren.
Also die Passwörter sind garantiert nicht versteckt, denn wenn du in deine MySQL Datenbank schaust und in die Usertabelle gehst, dann siehst du sehr schön "password", nur eben verschlüsselt.
Die meisten Foren verwenden dazu die md5 Verschlüsselung die nur in eine Richtung funktioniert, also du kannst die Passwörter verschlüsseln, es ist aber danach unmöglich sie zu decodieren.

Liebe Grüße,
Dani
Ihr wohnt im Süd-Westen Deutschlands?
|- Nehmt an der Schwäbischen phpBB Usergroup teil!

Slyver
Mitglied
Beiträge: 74
Registriert: 13.09.2005 18:18

Beitrag von Slyver » 12.05.2006 20:52

Und warum sollte es unmöglich sein? Ich glaube das nicht. Alles was man encodieren kann, kann man auch decodieren. Da kenn ich mich aus! 8)

Benutzeravatar
Pyramide
Ehrenadmin
Beiträge: 12735
Registriert: 19.04.2001 02:00
Wohnort: Meschede

Beitrag von Pyramide » 12.05.2006 20:55

Lies dir mal diese Artikel durch:
KB:md5
http://de.wikipedia.org/wiki/MD5
KB:knigge

Benutzeravatar
DaniM
Mitglied
Beiträge: 687
Registriert: 28.04.2003 19:22
Wohnort: Ulm
Kontaktdaten:

Beitrag von DaniM » 12.05.2006 20:56

Slyver hat geschrieben:Und warum sollte es unmöglich sein? Ich glaube das nicht. Alles was man encodieren kann, kann man auch decodieren. Da kenn ich mich aus! 8)
Das kann gut sein dass du dich auf diesem Gebiet auskennst, das will ich auch gar nicht bezweifeln, ich will nur damit sagen dass es keinen regulären und auch keinen leichten Weg dafür gibt, diese Passwörter zu decodieren.

Um aber wieder auf dein Problem zurückzukommen. Wenn deine User ihr Passwort vergessen haben und sie ein neues möchten, dann können sie doch erst ihr Passwort verschlüsseln und dir anschließend den verschlüsselten Wert geben, den du dann in die "password" Spalte einträgst. So musst du das Passwort nicht wissen und deine User können die herkömmlichen Passwörter verwenden.

Liebe Grüße,
Dani
Ihr wohnt im Süd-Westen Deutschlands?
|- Nehmt an der Schwäbischen phpBB Usergroup teil!

Benutzeravatar
darkon
Mitglied
Beiträge: 1133
Registriert: 08.08.2003 15:07
Wohnort: Wölfersheim

Beitrag von darkon » 12.05.2006 21:19

DaniM hat geschrieben: Wenn deine User ihr Passwort vergessen haben und sie ein neues möchten, dann können sie doch erst ihr Passwort verschlüsseln und dir anschließend den verschlüsselten Wert geben, den du dann in die "password" Spalte einträgst.
Oder, ganz bizarre Idee, sie nutzen den "Paßwort vergessen?" Link in der LogIn Box.....


Ansonsten sollten die Möchtegernespione doch bitte ihre ForenURL im Profil angeben, damit man sich da nicht aus versehens registriert.

Benutzeravatar
Fennias Maxim
Mitglied
Beiträge: 489
Registriert: 12.08.2005 20:16
Wohnort: Technodrome
Kontaktdaten:

Beitrag von Fennias Maxim » 12.05.2006 23:12

BraveEagle hat geschrieben:Aber hallo ist das strafbar. Ich sagte ja nicht, dass es unmöglich ist das PW rauszubekommen, ich sagte, dass du es nicht darfst. Es fällt einfach (zum Glück) unter das Datenschutzgesetz
Fällt es nicht, da der User bei registrierung zugestimmt hat, das seine Daten verwendet werden.
50% aller Fragen können mit der Knowledge Base oder der Forensuche beantwortet werden!
Warum hast du also diesen Thread hier eröffnet?

Luckyze

Beitrag von Luckyze » 13.05.2006 00:37

hi

nichts geht über die privatsphäre, und daher so meine meinung, sollten passwörter auch vor einem admi nicht sichtbar sein.

irgendwie verstehe ich dein post eh nicht. auf was bist du aus? nachrichten anderer user überwachen? *pfui*

bannen, und passwörter ändern kannst du auch in acp.

aber da frage ich mich, für was du ein forum machst. nee dass geht doch ein bissel zu weit.

wenn du meinst, in daten andere rumzuschnüffeln, dann kann ich nur sagen => liebe user, verbrennt euch nicht die finger, in einem forum, wo bei support gefragt wird, wie ein admi an die passwörter kommt, von denn eigenen usren. :evil: :evil: :evil:

sowas gehört doch nicht hier her.

greetz Luckyze

edit;
Pathologe hat geschrieben:Ich finde, das Admin sollte auch Zugriff zu den Passwörtern haben!
und? willst du, dass deine bank an dein passwort kommt?

nee, ich glaube es einfach nicht.

gott lass hirn wachsen
Zuletzt geändert von Luckyze am 13.05.2006 00:45, insgesamt 2-mal geändert.

Benutzeravatar
Mahony
Ehemaliges Teammitglied
Beiträge: 12014
Registriert: 17.11.2005 22:33
Wohnort: Esslingen (Neckar)
Kontaktdaten:

Beitrag von Mahony » 13.05.2006 00:38

Hallo
Fällt es nicht, da der User bei registrierung zugestimmt hat, das seine Daten verwendet werden.
Die Unverletzlichkeit der Privatsphäre ist Menschenrecht. Diese (die Menschenrechte) sind laut Grundgesetz unveräusserlich. Da nutzt auch keine Zustimmung bei der Registrierung, da diese wirkungslos ist.


Grüße: Mahony
Taekwondo in Berlin
Wer fragt, ist ein Narr für fünf Minuten, wer nicht fragt, ist ein Narr für immer.

Coaster-Friend
Mitglied
Beiträge: 89
Registriert: 06.09.2005 18:12
Wohnort: Deutsch Evern
Kontaktdaten:

Beitrag von Coaster-Friend » 13.05.2006 00:54

Und warum sollte es unmöglich sein? Ich glaube das nicht. Alles was man encodieren kann, kann man auch decodieren. Da kenn ich mich aus!
Versuch du mal, einen AES-verschluesselten Test mit 4096 Bit langem Schluessel zu knacken. Du hast allerdings den Schluessel nicht. Viel Spass!

MfG
Dominic Laumer
Auf und nieder, immer wieder!

Meine Page :)

Benutzeravatar
cYbercOsmOnauT
Ehemaliges Teammitglied
Beiträge: 3820
Registriert: 18.02.2004 23:02
Wohnort: Göttingen
Kontaktdaten:

Beitrag von cYbercOsmOnauT » 13.05.2006 02:19

Da muss ich glatt an meine verschlüsselten Festplatten denken. -g-
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu

Gesperrt

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“