phpBB.de

Ich habe eine grundsätzliche Frage:

Ist es prinzipiell durch den Admin möglich, die Passwörter der User herauszufinden? Ich habe das keineswegs vor und möchte auch keine Anleitung dafür. Ich bräuchte lediglich eine Antwort, da mich ein User gefragt hat, ob das im phpBB möglich ist.

Nein, da diese nur verschlüsselt (einwegverschlüsselung) gespeichert werden. Der Admin kann aber ein neues Passwort festlegen.

Passwörter werden im MD5 Format gespeichert.
Du kannst nur in das MD5 Format konvertieren, nicht umgekehrt.
MD5 Hash Generator: http://pajhome.org.uk/crypt/md5/

So, ich habe mich informiert. Es ist wirklich ein Kinderspiel, die Passwörter aus dem MD5 Format in den "normalen" String zu übersetzen. Es gibt gewisse Webseiten mit ganzen Archiven mit Übersetzungen aller möglichen Strings.

Die MD5 Methode ist nicht sicher und als Admin bzw. mit Zugang zur Datenbank kann man jedes PW herausfinden...

insy hat geschrieben:So, ich habe mich informiert. Es ist wirklich ein Kinderspiel, die Passwörter aus dem MD5 Format in den "normalen" String zu übersetzen. Es gibt gewisse Webseiten mit ganzen Archiven mit Übersetzungen aller möglichen Strings.

Die MD5 Methode ist nicht sicher und als Admin bzw. mit Zugang zur Datenbank kann man jedes PW herausfinden...

Ich will jetzt nicht sagen, dass das kompletter Blödsinn ist, aber was du da erzählst, ist höchstens die halbe Wahrheit.
1.) Es ist nicht möglich, aus einem MD5-Hash den Ursprungswert zu errechnen.
2.) Man kann aber auf ein beliebiges Passwort etc. MD5 anwenden und erhält den Hash. Den kann man jetzt mit dem Passworthash des Users vergleichen.
Wenn man das mit sehr vielen Passwörtern macht, nennt man das eine BruteForce-Attacke. Mit derzeit einzelhandelsüblichen Rechner kommst du damit nur bei einer Rechenzeit von mehreren Stunden und einem hinreichend schlechten Passwort zum Erfolg.
3.) Wenn man eine Tabelle mit vielen möglichen Passwörtern und deren Hashes hat, kann man 2.) verkürzen und tatsächlich schnell zum Klartextpasswort kommen. Aber: solche Tabellen gibt es nur für Standardpasswörter aus Wortlisten oder kurze Passwörter.
Ich verweise auf http://www.heise.de/newsticker/result.x ... dung/66039
Diese Firma hat gigabyteweise solche Tabellen berechnet, kann aber trotzdem 'nur' Passwörter bis 7 Zeichen innerhalb von 2h knacken.
Unter http://www.antsight.com/zsl/rainbowcrack/
gibt es komplette Tabelle für MD5 (keine Sonderzeichen, nur Kleinbuchstaben) für Passwörter bis 8 Zeichen mit 36GB.
Zusammengefasst heißt das: man kann nicht >jedes< Passwort knacken.
4.) Hast du noch eine weitere starke Einseitigkeit drin: Als Admin deiner Seite brauchst du nicht die Passwörter der User aus der DB knacken, du kannst auch einfach den Code anpassen und ihr Passwort beim Login im Klartext speichern lassen. Dieses Verfahren ist um Längen einfacher zu machen und umgeht jede Verschlüsselung oder noch so ausgeklügelte Sicherung der Passwörter.

4.) Hast du noch eine weitere starke Einseitigkeit drin: Als Admin deiner Seite brauchst du nicht die Passwörter der User aus der DB knacken, du kannst auch einfach den Code anpassen und ihr Passwort beim Login im Klartext speichern lassen. Dieses Verfahren ist um Längen einfacher zu machen und umgeht jede Verschlüsselung oder noch so ausgeklügelte Sicherung der Passwörter.

Wie soll das bitte funktionieren ?

Mit ein wenig PHP-Kenntnissen sicherlich möglich !

Aber soetwas wird hier nicht genauer erklärt..

tost

Wollte ich auch gar nicht wissen,
Dazu muss man Zugriff auf phpmyadmin/FTP Server haben ?
Dann könnte ein zweiter Admin ja so etwas nicht, eigentlich geht es mir nur darum.

Das kann nur derjenige machen, der Zugriff zum FTP hat..
Er lädt die benötigte Datei herunter, editiert sie kurz und lädt sie wieder hoch, fertig !

tost