Kann Admin Passwörter lesen?
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Kann Admin Passwörter lesen?
Hallo! Ich bin in einem phpBB Forum angemeldet und da bin ich heute auf einen Beitrag gelandet, wo sich der Admin über das Passwort von jemandem lustig gemacht, der gelöscht wurde. Zu Recht gelöscht, aber mich wundert das sehr, dass der Admin das Passwort kannte! Heißt das denn, dass er alle Passwörter kennt oder weiß jemand einen anderen Grund? Wenn der Admin sowieso den User löschen wollte, kann er dann vielleicht zuerst seine E-Mail ändern und vielleicht mehr und dann sein Passwort sehen? Ich finde es gruselig, dass der Admin vielleicht einfach alle Passwörter lesen kann. Ich danke euch sehr, wenn ihr mir helft zu erklären.
-
hackepeter13
- Valued Contributor
- Beiträge: 3545
- Registriert: 21.04.2004 12:22
- Wohnort: Berlin
- Kontaktdaten:
Re: Kann Admin Passwörter lesen?
egal88 hat geschrieben: Heißt das denn, dass er alle Passwörter kennt oder weiß jemand einen anderen Grund?
Nein, normalerweise kann er das nicht.
Passwörter werden verschlüsselt in der Datenbank gespeichert.
Selbst wenn der Admin, die Email Addresse des betroffenen Users ändert, kann er das Passwort nicht sehen.egal88 hat geschrieben:kann er dann vielleicht zuerst seine E-Mail ändern und vielleicht mehr und dann sein Passwort sehen?
Wie auch, das Passwort steht verschlüsselt in der Datenbank egal welche Email Adresse der Admin verwendet es wird aus Sicherheitsgründen nirgends offensichtlich angzeigt.
Selbst wenn der Admin die "Passwort vergessen" Funktion mit dem betroffenen Usernamen und einer eigenen Email nutzt, bekommt er nicht das eigentliche Passwort, sondern ein neues Passwort (was zufällig generiert wird) zugeschickt.
ABER:
Da wir nicht wissen, was der Seitenbetreiber gemacht hat, ob er sein Forum so derart Modifiziert hat das er doch durch einfache Mittel Passwörter auslesen kann oder ob die Sache wirklich der Wahrheit entspricht, können wir dir nicht sagen.
Re: Kann Admin Passwörter lesen?
Das klingt danach als ob nur alle Passwörter oder gar keines zu lesen sind. Und wenn er lesen kann, hat er absichtlich den Code modifiziert. Also glaube ich jetzt lieber, dass er gelogen hat mit dem Passwort des Users, oder dass er absichtlich die Passwörter zu lesen gemacht hat? Das ist beides nicht schön. 
Aber danke trotzdem für die Antwort!
Aber danke trotzdem für die Antwort!-
merk würdig
- Mitglied
- Beiträge: 3
- Registriert: 08.03.2012 13:30
Re: Kann Admin Passwörter lesen?
hallo
eine frage - die verschlüsselten passwörter in der datenbank - werden die per salt verändert?
wenn nicht sind ja alle hashes identisch.
das wiederum heisst dass man recht einfach alle anwender erkennen kann welche '123456' oder 'password' und ähnlich banale sachen verwenden.
eine frage - die verschlüsselten passwörter in der datenbank - werden die per salt verändert?
wenn nicht sind ja alle hashes identisch.
das wiederum heisst dass man recht einfach alle anwender erkennen kann welche '123456' oder 'password' und ähnlich banale sachen verwenden.
-
hackepeter13
- Valued Contributor
- Beiträge: 3545
- Registriert: 21.04.2004 12:22
- Wohnort: Berlin
- Kontaktdaten:
Re: Kann Admin Passwörter lesen?
Warum fragst du nicht einfach mal die Forumsuche oder Google mit Begriffe wie "phpbb3 versschlüsselung" gleich das erste Ergebnis führt zu KB:md5merk würdig hat geschrieben:eine frage - die verschlüsselten passwörter in der datenbank - werden die per salt verändert?
Weitere Themen wie Neue Verschlüsselung unter phpBB3 (Salz, md5 und Indianer) liefern dir auch eine Antwort wie:
bantu hat geschrieben:Richtig.hoheidt hat geschrieben:phpBB3 verschlüsselt die Passwörter der User über md5 mit salt. Richtig?
Richtig.hoheidt hat geschrieben:Wenn mein Forum von phpBB2 konvertiert wurde, werden alle Passwörter erst mal ohne salt übernommen und erst beim nächsten Login mit Salt versehen. Richtig?
Korrekthoheidt hat geschrieben:Das würde bedeuten, ich sollte allen Usern empfehlen, sich nach der Konvertierung zumindest einmal anzumelden. Korrekt?
Re: Kann Admin Passwörter lesen?
Ich kenne auch die Passwörter einiger User.
Aber nicht, weil ich die in der Datenbank lesen könnte, sondern weil die User bei der Anmeldung unaufmerksam waren.
Die User haben in diesen Fällen Benutzername und Passwort zusammengeschrieben ins Benutzernamenfeld geschrieben und das nicht bemerkt.
Und ich habe einen Mod installiert, der alle fehlgeschlagenen Einlogversuche protokolliert.
Wie schon richtig bemerkt: Auslesen kann man die Passwörter nicht.
Damit der Admin da ran kommt, muß der Benutzer, wie in meinen Fällen geschehen, schon mitarbeiten.
Aber nicht, weil ich die in der Datenbank lesen könnte, sondern weil die User bei der Anmeldung unaufmerksam waren.
Die User haben in diesen Fällen Benutzername und Passwort zusammengeschrieben ins Benutzernamenfeld geschrieben und das nicht bemerkt.
Und ich habe einen Mod installiert, der alle fehlgeschlagenen Einlogversuche protokolliert.
Wie schon richtig bemerkt: Auslesen kann man die Passwörter nicht.
Damit der Admin da ran kommt, muß der Benutzer, wie in meinen Fällen geschehen, schon mitarbeiten.
