phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

UserPasswort

https://www.phpbb.de/community/viewtopic.php?t=54487

Seite 1 von 2

UserPasswort

Verfasst: 12.05.2004 16:28
von Lord of Fire
Ich wollte mal fragen ob es überhaubt möglich ist als Admin das Password von einem User herraus zu bekommen.

Nicht das ihr jetzt denkt was man halt so denk wenn man so eine Frage gestellt bekommt. Ich wollte nur wissen ob man Angst haben muss wenn man sich in einem kleinem Forum anmeldet dass der Admin mit dem Password unsinn macht.

P.S. Ich hoffe das ist das richtige Forum. :roll:

Verfasst: 12.05.2004 16:30
von andreasOymann
Toller Thementitel!!! KB:knigge

Verfasst: 12.05.2004 16:39
von Markus67
Und hier gibts Nachschlag :D

http://www.phpbb.de/topic52671.html

Markus

Verfasst: 12.05.2004 17:16
von Crack02
nein geht ned. du kannst nur das verschlüsselte passwort rausfinden, das in dein cookie packen und dann dich als ihn ins forum einloggen ohne das pw zu ändern oder gewusst zu haben. aber entschlüsseln kannst es ned

Verfasst: 12.05.2004 18:29
von Christian_W
In einem standard-phpBB wird das PW verschlüsselt in der DB gespeichert. (wurde ja schon gesagt) Wenn der Admin aber die Verschlüsselung rausnimmt kann er die PW auch im Klartext in der DB speichern. Ich würde also nicht unbedingt das selbe PW wie beim Homebanking benutzen. ;)

Gruß Christian

Verfasst: 09.06.2004 00:30
von PaddelPaddy
wie soll denn das bitte gehen???

Verfasst: 09.06.2004 01:09
von Lord_Femto
wie das gehen soll?
hier hast du eine info darüber, wie phpbb verschlüsselt:
http://www.phpbb.de/doku/kb/artikel.php ... hlight=md5

phpbb verschlüsselt also mit md5
mögliche funktion

Code: Alles auswählen

$new_passowort = md5($passwort)
und schon ist der klartext, der mit $passwort verschlüsselt wurde, verschlüsselt.
wenn man die passwörter nun ohne md5 verschlüsseln will und diese im klartext anzeigen lassen willst, dann musst du halt md5() entfernen.

frage mich aber bitte nicht, welche dateien du verändern musst. es sind eine ganze menge.

Verfasst: 09.06.2004 07:53
von Fabse
Ja, sehr viele!

includes/usercp_register.php
profile.php

:D

Verfasst: 09.06.2004 19:24
von Dennis63
Man kann ein mit MD5 gehashtes Passwort wieder "Knacken". Mit Brute Force

Es dauert nur ein wenig.

3-Stellige Passwörter: Einige Sekunden
4-Stellige Passwörter: Mehrere Stunden
5-Stellige Passworter: Mehrere Tage
6-Stellige Passwörter: Mehrere Monate
usw..


Demnach: 8-Stellige PWs sind sehr sicher. Aber ich würde trotzdem nie zwei mal das selbe PW nehmen, denn im Cookie reicht oft der MD5-Hash.

Grüße
Dennis

Verfasst: 11.06.2004 11:05
von d23
Dennis Böge hat geschrieben:Man kann ein mit MD5 gehashtes Passwort wieder "Knacken". Mit Brute Force

Es dauert nur ein wenig.

3-Stellige Passwörter: Einige Sekunden
4-Stellige Passwörter: Mehrere Stunden
5-Stellige Passworter: Mehrere Tage
6-Stellige Passwörter: Mehrere Monate
usw..


Demnach: 8-Stellige PWs sind sehr sicher. Aber ich würde trotzdem nie zwei mal das selbe PW nehmen, denn im Cookie reicht oft der MD5-Hash.

Grüße
Dennis
aus purer interesse habe ich das ganze mal getestet, 5 md5 hashes gemacht (0-9, A-Z, a-z, äöü, _-|/~, die gebräuchlichsten zeichen halt)

3-stellig: weniger als 1 sekunde
4-stellig: weniger als 1 minute
5-stellig: ~8 mins
6-stellig: ~30 mins
7- stellig: ~6h
8-stellig: bin ich wahnsinnig oder hab ich zuviel zeit ? schätz mal 3-4 tage

getestet hab ich auf einem Pentium 4 3,2 HT, mit 1 GB DualChannel DDR @ 400 MhZ
Alle Zeiten sind UTC+02:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de