phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

verschlüßelung

https://www.phpbb.de/community/viewtopic.php?t=170628

Seite 1 von 1

verschlüßelung

Verfasst: 11.05.2008 07:37
von aphex-
Hallo, bin neu hier :)

Und habe schon gleich verschiedene Fragen...
Ich benutze den phpBB Login nun für verschiedene Logins, zB. dürfen nur User meine Bildergallerie anschauen, die sich in meinem Forum eingeloggt haben. Das hat bisher mittles "bridge" automatisch bei der Instalation z.B. der Gallerie geklappt.
Beim näheren betrachten verstehe ich aber die ganze Login-Prozedur nicht so richtig.
Wie ist das... Die Userpasswörter werden ja verschlüßelt per md5 in der DB abgelegt.. Sie werden (beim login) dann aber im Klartext vom User in das Formular eingegeben. Folglich muß irgendwo ein Vergleich stadtfinden, ob das Passwort im Klartext, dem verschlüßelten Hash entspricht.
Ist also zur Laufzeit des PHP Skripts das Passwort aus der DB im Klartext bekannt?

Wo befindet sich der Schlüßel? Ist er für jedes Passwort anders, oder gibt es ein "Master-Schlüßel" der vieleicht bei der instalation des PHP Interpreters zufällig generriert wurde und nichtmal für den Admin einsichtig ist?
Und was die Sicherheit angeht,.. könnte man, wenn man an die md5 Hashe's kommt per Brute Force den Schlüßel finden und dadurch alle Passwörter auf einen Schlag erfahren?
Indem man z.B. einen neuen User anlegt, dessen Passwort man kennt um dann mittels Klartextpasswort und verschlüßelten Passwort auf den Schlüßel zu kommen?

Mag sein, dass ich die ganze Sache komplett falsch verstehe :)

Verfasst: 11.05.2008 12:49
von domstihler
Also die passwörter werden md5-verschlüsselt in die (MySQL-)Datenbank eingetragen. Beim Eingeben des Passworts, wird dieses zuerst verschlüsselt und dann im verschlüsselten Zustand mit dem in der Datenbank verglichen, so ist es mir zumindest bekannt.

Es wäre unsicher und unnötig das aus der Datenbank zu entschlüsseln wenn man die Passwörter verschlüsselt vergleichen kann.

Dadurch brauch man auch keinen Masterschlüssel oder sowas.


Aber es ist richtig, dass PHP das Passwort im Klartext kennt, da es ja in das Loginfeld eingegeben werden muss, aber nicht aus der DB das.


Ich hoffe du verstehst die Logik nun!

Verfasst: 11.05.2008 14:09
von aphex-
Danke für die Antwort. :)

Verfasst: 11.05.2008 14:15
von domstihler
KEin Problem, dafür sind wir da :wink:

Verfasst: 11.05.2008 14:23
von firepanther
eine frage noch zu dem thema...
das passwort wird ja nicht in md5 verschlüsselt... in was dann?
phpbb 2 war in md5 und ich konnte andere seiten machen, wo erst gecheckt wurde, ob das passwort richtig ist, aber jetzt kann ich das nit mehr...
kann mir einer erklärn, wie das geht? das phpbb-md5-verschlüsselt ^^?

wieso es kein md5 ist?
naja md5 besteht aus zahlen und bcuhstaben...
dieses fängt mit einem $H$9 an ^^
sowas hat ein md5 sicherlich nit... hab mich lang mit md5 beschäftigt und einige md5-hasher gebastelt, aber sowas gibts sicherlich nit ;)
MfG FirePanther

Verfasst: 11.05.2008 14:30
von domstihler
Suche benutzt ???

http://www.phpbb.de/viewtopic.php?t=156 ... h+password
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de