snitz -> phpBB - neue Passwörter

nepf · Beitrag von **nepf** » 13.09.2004 09:56

Ich bereite den Wechsel meines Forums von SNITZ auf phpBB vor.
Die Konvertierung der Datenbank habe ich nun im Griff - alles klar.

Aber wenn ich die Umstellung vornehme, müssen sich alle user ein neues Passwort anfordern. Nur - ich finde das Verfahren ein wenig umständlich für meine user. Okey für die Versierten ist das ein Klacks und in 2 Minuten gemacht, die gehen auch gleich in ihr Profil rein und tragen da ein leicht zu behalten Passwort ein.
Aber ich möchte auch die Schlafmützen mitnehmen. Und ob die das wirklich schaffen? Geht das nicht einfacher?

Kennt ihr irgendwelche Mods oder Lösungen - folgende Ideen hätte ich:

Wenn man ein neues Passwort anfordert, bekommt man eine völlig sinnlose Zeichenkombination. Könnte phpBB die neuen Passworte vielleicht nicht völlig zufällig generieren, sondern zufällig aus einem von mir zusammengestellten Katalog aussuchen. Dann bekämen die user Passworte wie "Sonne", "Fußball", "Badelatschen" usw. - das würde es schon etwas leichter machen und änern können sie ja immer noch.

Oder - vielleicht noch besser - kann man nicht für jeden einzelnen einen link generieren, der ihn sofort und ohne Passwortabfrage auf sein Profil oder ein Extrafenster lenkt, wo es sich dann selbst sein neues Paßwort eintragen kann.

Ja - oder vielleicht so und vielleicht nochnoch besser, daß man dort, wo man beim Anfordern eines neuen Passwortes seinen userNamen und seine eMail-Adresse angibt, auch gleich ein neues Passwort der eigenen Wahl eintragen kann, daß das ganze aber erst dann funktioniert, wenn man den link auf der Aktivierungsmail, die dann verschickt wird, anklickt - das ist doch eigentlich sicher genug.

Kennt Ihr da was in dieser Richtung, oder könnt ihr mir helfen so eine Lösung zu realisieren?

Beitrag von **PhilippK** » 13.09.2004 17:50

Wie sind denn bei SNITZ die Passwörter codiert? Evtl. lassen die sich ja auch übernehmen...

Gruß, Philipp

nepf · Beitrag von **nepf** » 13.09.2004 19:29

Genauso gut wie hier.

Ich weiß jetzt zwar nicht mehr, wie der Verschlüsselungstyp heißt - aber es ist ein adnerer als in phpBB - die kann man weder übernehmen, noch sind sie zu knacken - leider.

Hast du denn vielleicht ne Idee zu meinen Vorschlägen?

nepf · Beitrag von **nepf** » 13.09.2004 19:35

ich habs, der Algorithmus heißt sha256 und fürchte, da ist wirklich nicht ranzukommen.
Auswege sind gefragt!

Beitrag von **saerdnaer** » 13.09.2004 19:47

weise den usern ein einfach ein neues passwort zu und schicke ihnen dieses per email.

mfg saerdnaer

nepf · Beitrag von **nepf** » 13.09.2004 20:36

ja stimmt - das geht.

Aber das klingt nach wahnsinnig viel Arbeit, wenn ich mich manuell durch sämtliche user durcharbeiten muß.
Wie kann ich das denn vereinfachen? Kann ich irgend ne Liste machen und ne sql-Anweisung, daß die passworte dann auf einen Streich verschlüsselt in die db kommen?

Ich bin da einfach nicht so fit und brauche eure Hilfe.

Beitrag von **PhilippK** » 13.09.2004 23:48

Man könnte natürlich auch einfach den phpBB-Code durcharbeiten und md5 durch shs ersetzen

Gruß, Philipp

nepf · Beitrag von **nepf** » 14.09.2004 12:36

mmh - neee - das gefällt mir nicht so gut. Ist zwar irgendwie ne geniale Idee, aber ich möchte jetzt doch lieber richtig umsteigen und dann auch in Zukunbft für alle updates von phpbb kompatibel bleiben.

Die Idee von saerdnaer finde ich besser, allen usern ein neues Pawort zu verpassen und das per eMail mitzuteilen. Hat nicht vielleicht doch jemand von euch ne Idee wie ich das komfortabel hinbekomme ohne mich durch alle 300 user manuell durchzuarbeiten.

Beitrag von **PhilippK** » 14.09.2004 19:45

Mit etwas PHP-Kenntnis lässt sich so was schon realisieren. Bevor ich jetzt losleg: wie fit bist du denn darin?

Gruß, Philipp

nepf · Beitrag von **nepf** » 15.09.2004 09:07

naja - nicht gerade besonders fit, höchstens so eine Grundahnung. Wenn ich selbst was machen sollte, würde ich total scheitern, aber wenn du mir hilfst, könnte ich einen Vorschlag sicher nachvollziehen.

So ein paar Gedanken habe ich mir inzwischen gemacht, und weil das ganze ja ne ziemlich einmalige Aktion ist, muß das ja auch alles nicht sooooo perfekt werden.

Das könnte dann alles so laufen:
Ich habe ja die ursprüngliche Access-Tabelle.
Da füge ich ein neues Feld ein, in welches ich jedem user ein unverschlüsseltes Passwort zuweise. Aus dieser Tabelle kann ich dann später ne Serienmail generieren, um den usern ihr neues Passwort mitzuteilen.

Inzwischen habe ich die Snitz-Access-db in die phpBB-mysql-db mit dem converter konvertiert, das klappt super, die userIDs werden unverändert übernommen.
Nun könnte man doch eine php-Datei erstellen (für jeden Datensatz eine eigene Zeile - das kann man dann mit einer SerienbriefFunktion unter Verwendung der Access-Tabelle vereinfachen) die dann mit einer update-Abfrage und unter Verwendung der md5()-Funktion diese passwörter nun verschlüsselt in das richtige Feld der richtigen Tabelle schreibt.

Irgendwie so müßte das aussehen:

<?php
update .... md5(passwort1) ... where ID=1
update .... md5(passwort2) ... where ID=2
update .... md5(passwort3) ... where ID=3
update .... md5(passwort4) ... where ID=4
?>

du siehst, ich bin mal gerade so fit, daß ich mir so eine Art Strategie zurechtfriemle, nur wie der code dann wirklich genau lauten muß, dafür brauche ich Hilfe.

Bekomme ich die hier? Von dir Philipp? Von einem anderen crack?