Passwort verschlusselung entschlusseln!

hagily · Beitrag von **hagily** » 15.12.2005 15:39

Hallo!

Wie kann ich die PWs unentschlüsselt in einer php datei sehen, also eine PHPdatei anlegen, in der alle Usernamen und das Passwort angezeigt werden?

Muss nicht irgend nen style haben hauptsache informativ.

LeoManiac · Beitrag von **LeoManiac** » 15.12.2005 15:40

Mit Passwort gar nicht siehe:
http://www.phpbb.de/viewtopic.php?t=106197

2005 · Beitrag von **2005** » 15.12.2005 16:05

wie jetzt???
man kann die Passwörter nicht entschlüsseln???
Wie wird dann überbrüft, ob das Passwort richtig ist?

Condor · Beitrag von **Condor** » 15.12.2005 16:13

Hi,

ganz einfach:

Du schreibst deine Zeichenfolge in das Eingabefeld.
Dieses wird nun verschlüsselt.
Jetzt wird der verschlüsselte Werte mit dem in der DB oder Textdatei verglichen. Wenn es übereinstimmt, kommst du rein, wenn nicht gibts ne Fehlermeldung.

So ungefähr funktioniert das.

LeoManiac · Beitrag von **LeoManiac** » 16.12.2005 10:36

jo in php gibt

md5("test") == md5("test") in 99% Prozent aller Fälle immer TRUE

In der Datenbank wird der verschlüsselte String (oder auch MD5 Hash genannt - in der Regel immer 32 Zeichen) hinterlegt und wenn sich jemand einloggt wird einfach nur eine Abfrage gestartet die pauschal gesagt so aussieht:

Code: Alles auswählen

"SELECT * FROM tabelle_nutzerdaten WHERE password='" . md5('test') . "'"

und wenn diese Abfrage genau 1 Datensatz zurückgibt ist der jenige Authentifiziert

2005 · Beitrag von **2005** » 16.12.2005 16:36

Also zurückverschlüssel geht nicht, aber verschlüsseltes vergleichen geht???

Aber forhin hat jemand geschrieben, dass es nach einem einmalcode verschlüsseld wird, aber wie kann dann das in der Datenbank mit dem neu verschlüsseldem übereinstimmen???

Kann hier mal jemand schrieben, wie ich eine value ($pw) mit dem passwort in der datenbank vergleiche und dann wenn es stimmt etwas ausführt und wenns falsch ist eine Fehlermeldung ausgibt??? Komplett mit <?php und ?> ???

FatFreddy · Beitrag von **FatFreddy** » 16.12.2005 16:49

2005 hat geschrieben:Aber forhin hat jemand geschrieben, dass es nach einem einmalcode verschlüsseld wird, aber wie kann dann das in der Datenbank mit dem neu verschlüsseldem übereinstimmen???

Die Stelle, auf die Du dich beziehst, finde ich zwar nicht, ich vermute aber, Du hast da was falsch vrstanden.
Es ist kein Einmalcode, sondern ein Einwegcode.. Will sagen, die Verschlüsselung funktioniert nur in eine Richtung und ist nicht umkehrbar.

FatFreddy

LeoManiac · Beitrag von **LeoManiac** » 16.12.2005 19:28

FatFreddy hat geschrieben:Es ist kein Einmalcode, sondern ein Einwegcode.. Will sagen, die Verschlüsselung funktioniert nur in eine Richtung und ist nicht umkehrbar.

Sie ist schon umkehrbar nur den Aufwand den man dafür betreiben müsste ist es nicht Wert.

Aber die Einweg-Verschlüsselung bei Passwörtern hat durchaus einen Sinn. Ich würde meine Passwörter auch nicht überall eingeben wenn der Admin von der Seite die Passwörter im Klartext einsehen kann wer weiß was der damit anstellt.
Einige "Billigforen" scheinen das nicht zu benutzen dort kriegt man einfach sein Passwort zurück wenn man es anfordert.

Condor · Beitrag von **Condor** » 19.12.2005 16:02

Hi,

also es gab schon mehrere Versuche mit "Super-Computern" die Verschlüsselung zu durchbrechen, jedoch ohne wirklichen Erfolg.

2005 · Beitrag von **2005** » 19.12.2005 17:13

Aber wenn man das Verschüsselt, kann man das doch durch gegenteil-Rechnung(nenn ich jetzt mal so) rückgängig machen!
z.B.

156 * 2 = 312

312 : 2 = 156

Warum geht es da nicht?