Passwort auslesen und vergleichen

Anuschka · Beitrag von **Anuschka** » 07.08.2004 22:07

Hallo,

ich möchte gerne mit Hilfe eines php-Skriptes den usernamen und das passwort von meinem clanmitgliedern aus meinem board auslesen, das vergleichen. Mein Problem besteht darin, dass das Passwort in der Datenbank verschlüsselt ist. Ich habe bereits im Netzt gestöbert und auch herausgefunden dass ich es decodieren kann, nur leider weiss ich nicht wie.
Ich habe auch bereits folgendes probiert:

Code: Alles auswählen

<?php
$con = mysql_pconnect("localhost","","");
 mysql_select_db("f4", $con);
  $sql = "SELECT * FROM phpbb_users WHERE username LIKE '%$username%'";
 $result = mysql_query($sql, $con);
 
 while ($row = mysql_fetch_object($result))
 {
 
if( md5($password) == $row['user_password'] && $row['user_active'] )
{
echo "es hat geklappt";
}

else 
{
echo "schade";
}
}
?>

habe in der login.php mal ein bissel gestöbert, aber das funktioniert leider auch nicht.

Kann mir jemand von euch weiterhelfen, auch wenn es eventuell etwas banal klingt?

LG anuschka

Beitrag von **PhilippK** » 07.08.2004 22:17

Die Passwörter lassen sich nicht entschlüsseln - nur mit Brute Force knacken...
Siehe KB:md5

Gruß, Philipp

Anuschka · Beitrag von **Anuschka** » 07.08.2004 23:06

jo thx, werd mir das gleich mal anschauen, wenn ich nicht weiterkommen sollte, meld ich mich nochmal

thx

anuschka

sierra · Beitrag von **sierra** » 08.08.2004 00:17

<?php
$con = mysql_pconnect("localhost","","");

ich würde hier keine persistente verbndung aufbauen

pconnect = Verbindung zum DB Server schliest erst nach zeit x glaube 30 min. waren das..

connect = schliest verbindung sofort nach scriptende

Coby · Beitrag von **Coby** » 10.11.2004 00:56

wo bekomm ich den das Programm Brute Force her?

fagus · Beitrag von **fagus** » 10.11.2004 01:29

hallo,

@coby
das ist kein programm sondern bedeutet, dass man jede beliebige kombination ausprobiert, bis zufällig die kombination und das passwort übereinstimmen.
dabei kann man aber lange ausprobieren und ist sicher nicht geeignet für ein forum oder chat.
im phpbb wird das vermutlich mit der phpfunktion md5() gelöst.
der user gibt sein passwort ein dann wird es nach md5 verschlüsselt und mit dem gespeicherten verschlüsselten passwort verglichen. stimmen beide überein, dann wird der user eingeloggt.
ich denke dieser lösungsansatz könnte auch dir weiterhelfen.

Blutgerinsel · Beitrag von **Blutgerinsel** » 10.11.2004 12:22

fagus hat geschrieben:hallo,

@coby
das ist kein programm sondern bedeutet, dass man jede beliebige kombination ausprobiert, bis zufällig die kombination und das passwort übereinstimmen.
dabei kann man aber lange ausprobieren und ist sicher nicht geeignet für ein forum oder chat.
im phpbb wird das vermutlich mit der phpfunktion md5() gelöst.
der user gibt sein passwort ein dann wird es nach md5 verschlüsselt und mit dem gespeicherten verschlüsselten passwort verglichen. stimmen beide überein, dann wird der user eingeloggt.
ich denke dieser lösungsansatz könnte auch dir weiterhelfen.

Vorteil dabei ist der Admin als auch Leute die in die DB blicken kennen das PW nicht wozu auch?

Sofern der User das PW vergessen hat wird ein neues zugestellt da man das alte nicht sagen kann.....Einwege Hashwert

Deutlich besser ist SHA was im kommenden PHPBB zum Einsatz kommt......
Es wäre auch möglich sofern die Mcrypt Bibliothek zur Verfügung steht ala PGP einen Key zum Verschlüsseln des PW zu verwenden damit könnte das PW im Klartext übermittelt werden....Finde ich aber unnötig bis gar Sicherheitskritisch