Mit welcher Passwort Verschlüsselung arbeitet phpBB

Laire · Beitrag von **Laire** » 28.09.2008 16:38

Hallo,

ich wollte die in der Datenbank von einem phpBB.de Forum für ein eigenes Projekt nutzen. Also das die Leute, die sich im Forum bereits angemeldet haben auch auf einer von mir geschriebenen Zusatzseite einloggen können. Beim Passwort abgleich habe ich jetzt festgestellt, das phpBB wohl nicht einfach nur mit einer MD5 Verschlüsselung arbeitet.

Wenn ich zum Beispiel als Passwort Test habe und diese mit dem md5 Befehl umwandel, kommt ein anderer String heraus als wenn ich test als Passwort im Forum genommen habe und da in die user Tabelle gucke...

Dr@gon83 · Beitrag von **Dr@gon83** » 28.09.2008 16:40

es ist md5 +salt

Beitrag von **nickvergessen** » 28.09.2008 16:41

Du könntest sonst auch mal die Forensuche benutzen.
Es wurde schon mehrfach erwähnt, dass die Passwörter noch mit einem kleinem salt gewürzt werden

Laire · Beitrag von **Laire** » 28.09.2008 17:16

Da ich mich in dem Quellcode des phpBB nicht wirklich auskenne, gehe ich mal davon aus das das irgendeine eigene Funktion vom Forum. Muss ich jetzt alles durchsuchen oder kann mir wer sagen wie ich diese Funktion reproduzieren kann? Ich will einfach nur das mein Script die eingegebenen Passwörter mit denen aus Datenbank abgleicht.

Beitrag von **Boecki91** » 28.09.2008 18:12

includes/functions.php

einfach mal schauen was da so Password mäßig drin ist.

Alles weitere findest du über die Suche.

Laire · Beitrag von **Laire** » 28.09.2008 18:43

Habe mir die Funktionen angeguckt. Sind mir ehrlich gesagt zu Umfang reich, dabei wollte ich einfach nur, das sich die Leute auf der Projektseite mit den gleichen Daten einloggen können wie im Forum. Muss ich wohl auf ein anderes Forum umsteigen geht glaube ich schneller als bis ich das alles auseinander gebastelt habe.

RcCluster · Beitrag von **RcCluster** » 29.09.2008 11:46

Besten Dank. War wirklich nicht schwer!

2 Funktionen in meinen Code kopiert und fertig!

lg
RcCluster

_Ming_ · Beitrag von **_Ming_** » 29.09.2008 12:01

RcCluster hat geschrieben:Besten Dank. War wirklich nicht schwer!

2 Funktionen in meinen Code kopiert und fertig!

lg
RcCluster

...könntest Du evtl. die beiden Funktionen veröffentlichen, um dies evtl. auch umsetzen zu können - oder wenigstens einen Anhaltspunkt zu haben?
Thnx!
Ming

RcCluster · Beitrag von **RcCluster** » 29.09.2008 12:44

_Ming_ hat geschrieben:
RcCluster hat geschrieben:Besten Dank. War wirklich nicht schwer!

2 Funktionen in meinen Code kopiert und fertig!

lg
RcCluster
...könntest Du evtl. die beiden Funktionen veröffentlichen, um dies evtl. auch umsetzen zu können - oder wenigstens einen Anhaltspunkt zu haben?
Thnx!
Ming

function _hash_encode64($input, $count, &$itoa64)
function _hash_crypt_private($password, $setting, &$itoa64)

dabei liefert letztere das passwort, wie es in der db gespeichert sein muss.

eingaben:
$password -> vom user eingegeben
$setting -> user_password aus der db
$itoa64 -> nen langer string. steht auch in functions.php

und so verwende ich das dann:

if (_hash_crypt_private($pwd, $user_password, $itoa64) == $user_password)

lg
RcCluster

kellanved · Beitrag von **kellanved** » 29.09.2008 13:55

Laire hat geschrieben:Habe mir die Funktionen angeguckt. Sind mir ehrlich gesagt zu Umfang reich, dabei wollte ich einfach nur, das sich die Leute auf der Projektseite mit den gleichen Daten einloggen können wie im Forum. Muss ich wohl auf ein anderes Forum umsteigen geht glaube ich schneller als bis ich das alles auseinander gebastelt habe.

Für so etwas gibt es die auth plugins http://wiki.phpbb.com/Authentication_plugins