Ich habe eine grundsätzliche Frage:
Ist es prinzipiell durch den Admin möglich, die Passwörter der User herauszufinden? Ich habe das keineswegs vor und möchte auch keine Anleitung dafür. Ich bräuchte lediglich eine Antwort, da mich ein User gefragt hat, ob das im phpBB möglich ist.
Passwörter der User
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Passwörter der User
hell is others..
-
maximus Caesar
- Mitglied
- Beiträge: 67
- Registriert: 26.03.2005 14:03
Passwörter werden im MD5 Format gespeichert.
Du kannst nur in das MD5 Format konvertieren, nicht umgekehrt.
MD5 Hash Generator: http://pajhome.org.uk/crypt/md5/
Du kannst nur in das MD5 Format konvertieren, nicht umgekehrt.
MD5 Hash Generator: http://pajhome.org.uk/crypt/md5/
So, ich habe mich informiert. Es ist wirklich ein Kinderspiel, die Passwörter aus dem MD5 Format in den "normalen" String zu übersetzen. Es gibt gewisse Webseiten mit ganzen Archiven mit Übersetzungen aller möglichen Strings.
Die MD5 Methode ist nicht sicher und als Admin bzw. mit Zugang zur Datenbank kann man jedes PW herausfinden...
Die MD5 Methode ist nicht sicher und als Admin bzw. mit Zugang zur Datenbank kann man jedes PW herausfinden...
hell is others..
Ich will jetzt nicht sagen, dass das kompletter Blödsinn ist, aber was du da erzählst, ist höchstens die halbe Wahrheit.insy hat geschrieben:So, ich habe mich informiert. Es ist wirklich ein Kinderspiel, die Passwörter aus dem MD5 Format in den "normalen" String zu übersetzen. Es gibt gewisse Webseiten mit ganzen Archiven mit Übersetzungen aller möglichen Strings.
Die MD5 Methode ist nicht sicher und als Admin bzw. mit Zugang zur Datenbank kann man jedes PW herausfinden...
1.) Es ist nicht möglich, aus einem MD5-Hash den Ursprungswert zu errechnen.
2.) Man kann aber auf ein beliebiges Passwort etc. MD5 anwenden und erhält den Hash. Den kann man jetzt mit dem Passworthash des Users vergleichen.
Wenn man das mit sehr vielen Passwörtern macht, nennt man das eine BruteForce-Attacke. Mit derzeit einzelhandelsüblichen Rechner kommst du damit nur bei einer Rechenzeit von mehreren Stunden und einem hinreichend schlechten Passwort zum Erfolg.
3.) Wenn man eine Tabelle mit vielen möglichen Passwörtern und deren Hashes hat, kann man 2.) verkürzen und tatsächlich schnell zum Klartextpasswort kommen. Aber: solche Tabellen gibt es nur für Standardpasswörter aus Wortlisten oder kurze Passwörter.
Ich verweise auf http://www.heise.de/newsticker/result.x ... dung/66039
Diese Firma hat gigabyteweise solche Tabellen berechnet, kann aber trotzdem 'nur' Passwörter bis 7 Zeichen innerhalb von 2h knacken.
Unter http://www.antsight.com/zsl/rainbowcrack/
gibt es komplette Tabelle für MD5 (keine Sonderzeichen, nur Kleinbuchstaben) für Passwörter bis 8 Zeichen mit 36GB.
Zusammengefasst heißt das: man kann nicht >jedes< Passwort knacken.
4.) Hast du noch eine weitere starke Einseitigkeit drin: Als Admin deiner Seite brauchst du nicht die Passwörter der User aus der DB knacken, du kannst auch einfach den Code anpassen und ihr Passwort beim Login im Klartext speichern lassen. Dieses Verfahren ist um Längen einfacher zu machen und umgeht jede Verschlüsselung oder noch so ausgeklügelte Sicherung der Passwörter.
Schnelle direkte Hilfe? Modeinbau? Umfassender, persönlicher Support? Ein individuelles Design/Template?
Ich bin käuflich und löse zu kleinen Preisen Deine Probleme. Anfragen bitte per PN oder Mail.
Ich bin käuflich und löse zu kleinen Preisen Deine Probleme. Anfragen bitte per PN oder Mail.
4.) Hast du noch eine weitere starke Einseitigkeit drin: Als Admin deiner Seite brauchst du nicht die Passwörter der User aus der DB knacken, du kannst auch einfach den Code anpassen und ihr Passwort beim Login im Klartext speichern lassen. Dieses Verfahren ist um Längen einfacher zu machen und umgeht jede Verschlüsselung oder noch so ausgeklügelte Sicherung der Passwörter.
Wie soll das bitte funktionieren ?
