UserPasswort

Lord of Fire · Beitrag von **Lord of Fire** » 12.05.2004 16:28

Ich wollte mal fragen ob es überhaubt möglich ist als Admin das Password von einem User herraus zu bekommen.

Nicht das ihr jetzt denkt was man halt so denk wenn man so eine Frage gestellt bekommt. Ich wollte nur wissen ob man Angst haben muss wenn man sich in einem kleinem Forum anmeldet dass der Admin mit dem Password unsinn macht.

P.S. Ich hoffe das ist das richtige Forum.

Beitrag von **andreasOymann** » 12.05.2004 16:30

Toller Thementitel!!! KB:knigge

Beitrag von **Markus67** » 12.05.2004 16:39

Und hier gibts Nachschlag

http://www.phpbb.de/topic52671.html

Markus

Crack02 · Beitrag von **Crack02** » 12.05.2004 17:16

nein geht ned. du kannst nur das verschlüsselte passwort rausfinden, das in dein cookie packen und dann dich als ihn ins forum einloggen ohne das pw zu ändern oder gewusst zu haben. aber entschlüsseln kannst es ned

Beitrag von **Christian_W** » 12.05.2004 18:29

In einem standard-phpBB wird das PW verschlüsselt in der DB gespeichert. (wurde ja schon gesagt) Wenn der Admin aber die Verschlüsselung rausnimmt kann er die PW auch im Klartext in der DB speichern. Ich würde also nicht unbedingt das selbe PW wie beim Homebanking benutzen.

Gruß Christian

PaddelPaddy · Beitrag von **PaddelPaddy** » 09.06.2004 00:30

wie soll denn das bitte gehen???

Lord_Femto · Beitrag von **Lord_Femto** » 09.06.2004 01:09

wie das gehen soll?
hier hast du eine info darüber, wie phpbb verschlüsselt:
http://www.phpbb.de/doku/kb/artikel.php ... hlight=md5

phpbb verschlüsselt also mit md5
mögliche funktion

Code: Alles auswählen

$new_passowort = md5($passwort)

und schon ist der klartext, der mit $passwort verschlüsselt wurde, verschlüsselt.
wenn man die passwörter nun ohne md5 verschlüsseln will und diese im klartext anzeigen lassen willst, dann musst du halt md5() entfernen.

frage mich aber bitte nicht, welche dateien du verändern musst. es sind eine ganze menge.

Fabse · Beitrag von **Fabse** » 09.06.2004 07:53

Ja, sehr viele!

includes/usercp_register.php
profile.php

Beitrag von **Dennis63** » 09.06.2004 19:24

Man kann ein mit MD5 gehashtes Passwort wieder "Knacken". Mit Brute Force

Es dauert nur ein wenig.

3-Stellige Passwörter: Einige Sekunden
4-Stellige Passwörter: Mehrere Stunden
5-Stellige Passworter: Mehrere Tage
6-Stellige Passwörter: Mehrere Monate
usw..

Demnach: 8-Stellige PWs sind sehr sicher. Aber ich würde trotzdem nie zwei mal das selbe PW nehmen, denn im Cookie reicht oft der MD5-Hash.

Grüße
Dennis

d23 · Beitrag von **d23** » 11.06.2004 11:05

Dennis Böge hat geschrieben:Man kann ein mit MD5 gehashtes Passwort wieder "Knacken". Mit Brute Force

Es dauert nur ein wenig.

3-Stellige Passwörter: Einige Sekunden
4-Stellige Passwörter: Mehrere Stunden
5-Stellige Passworter: Mehrere Tage
6-Stellige Passwörter: Mehrere Monate
usw..

Demnach: 8-Stellige PWs sind sehr sicher. Aber ich würde trotzdem nie zwei mal das selbe PW nehmen, denn im Cookie reicht oft der MD5-Hash.

Grüße
Dennis

aus purer interesse habe ich das ganze mal getestet, 5 md5 hashes gemacht (0-9, A-Z, a-z, äöü, _-|/~, die gebräuchlichsten zeichen halt)

3-stellig: weniger als 1 sekunde
4-stellig: weniger als 1 minute
5-stellig: ~8 mins
6-stellig: ~30 mins
7- stellig: ~6h
8-stellig: bin ich wahnsinnig oder hab ich zuviel zeit ? schätz mal 3-4 tage

getestet hab ich auf einem Pentium 4 3,2 HT, mit 1 GB DualChannel DDR @ 400 MhZ