phpBB.de

Hallo zusammen,

aufgrund diverser Probleme mit meiner eigentlichen Seite, die auch einen Login hat und ich nicht möchte, das der User sich doppelt anmelden muss habe ich kurzer Hand auf MD5 Verschlüsselung zurückgerüstet.

Da im Forum oft nach einer solchen Hilfe gesucht wurde aber nie eine Antwort kam, wollte ich dies nun hier kundtun.

Es muss eine einzige function in der includes\function.php geändert werden.
Die Funktion phpbb_hash($password) muss wie folgt geändert werden. Somit wird das Passwort als md5 zurückgegeben und auch ein Passwortwechsel wird im Forum akzeptiert und als MD5 erneut gespeichert!

Von einer solchen Änderung kann man nur dringend abraten, da reines MD5 für Passwörter inzwischen nicht mehr sicher genug ist.

@Pyramide

danke für dein Feedback, ist es besser wenn ich die daten in sha512 hashe und dann abspeicher oder würdest du dies auch als unsicher einstufen?
Wenn es so sein sollte klär mich bitte auf.

Die "Verschlüsselung" spielt doch erst eine Rolle, wenn jemand die Tabelle phpbb_user in die Finger bekommen würde oder habe ich da einen Denkfehler?

Vielen Dank schonmal

Hier ist das Problem und Lösungsansätze ausführlich beschrieben: http://www.heise.de/security/artikel/Pa ... 53931.html

Ich hätte jetzt eine Allgemeine Frage.
Ich nutze phpBB3 seit 31.März 2012.

Also meine Frage ist jetzt, in was werden denn die Passwörter gespeichert ?
In MD5 oder was anderes ?

Danke schonmal, Sonic

Hallo

Sonic 11 hat geschrieben:Also meine Frage ist jetzt, in was werden denn die Passwörter gespeichert ?
In MD5 oder was anderes ?

Ähm..sieh dir mal die Überschrift in diesem Thema an. Na, kommst du darauf? Ja genau --> MD5+Salt


Grüße: Mahony

Hallo,
achso danke.
Gruß Sonic