md5 pws aus Tabelle wieder richtig auslesen?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
account
beitrag
daten
eigentliche passwort
eingabe
eingegebene passwort
eintrag
fan
formular
gern
login
minute
pawort
sekunde
skript
steigen
tausendstel
tutorial
ups
zugang
-
Hi, kann man md5 verschl?sselte pws aus einer Tabelle wieder auslesen, wo aber nicht die md5 Verschl?sselung ausgegeben werden soll, sondern das richtige PW?
also wenn ich test als pw habe und md5 sagen wir einfach mal 234dji2 ist, dann m?cht ich nicht 234dji2 ausgelsen haben sondern test. geht das? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hi
T?rlich geht das!
Die variable $passwort enth?lt das gemd5te passwort.
mit "$passwort = md5();" hast du es wieder als normalen Text!
b2k-fan -
b2k-fan's aussage ist falsch!!!
md5 ist eine sogenannate einwegverschl?sselung. Das bedeutet man kann strings verschl?sseln, aber nicht wieder entsch?sseln. Es gibt eine M?glichkeit mit einem sehr aufwendigem script, die dauert aber selbst bei hochleistungsrechnern mehrere tage, also is das sinnlos.
Wenn du etwas verschl?sseln und wieder entschl?sseln willst, dann such dir eine verschl?sselungs-methode, die auch wieder entschl?sseln kann, z.B. base64_encode -
Well, es gibt john the ripper.
Der is relativ schnell, und knackt MD5-Passw?rter. Bei einem langen PW mit zahlen kann das aber wirklich mehrere tage dauern. Das PW "chemie" dauert allerdings nur 7 minuten (Beispiel).
Einfach Google -> John the ripper
is ein linux-proggy, gibts aber auch f?r dos -
Warum solltest du denn verschl?sselte PWs in Datenbanken entschl?sseln wollen?
Wenn du ein Login mit verschl?sselten PWs machen willst, dann VERschl?sselst du das vom User eingegebene PW und vergleichst es mit dem MD5-String aus der Datenbacnk. stimmen beide ?berein, ist das PW richtig, wenn nich halt nich. Du musst die PWs nicht ENTschl?sseln.
Beitrag ge?ndert am 27.12 12:51 von jannis -
Wie schon gesagt, online aus DB's gehts ned...
Das programm w?re die einzige m?glichkeit, das w?re dann aber jedes mal ein heiden umstand... -
och ne dann lieber nciht, wiel soll ja f?r unsere member sein, geht das auhc einfacher? :( ich wollt ja schonmal versuchen dass user ihre pws ?ndenr k?nn...noch ncihmal das ahbe cih geschaftt, obwohl er sagt er hats erfolgreich ge?ndert...der l?gnert mcih an ;)
-
Wo ist das Problem, PWs verschl?sselt abzuspeichern? Wenn MD5 nich geht, mach dir halt nen eigenen Verschl?sselungsmechanismus.
-
Ein EIGENES Paswort bzw. ein Passwort in der eigenen Datenbank,
bei dem man selbst weis, wie es verschl?sselt wurde (welche Daten "dazugelogen" wurden, um einen sicherne Schl?ssel zu bekommen) kann man durch die "Umkehrung" des Befehls mit all den denzugelogenen Daten wieder entschl?sseln.
Zeitaufwand: tausendstel-Sekunden.
System: hat "b2k-fan" schon beschrieben.
ABER
Ein fremdes Passwort, dass durch ein fremdes Skript verschl?sselt wurde kann man nur mit viel Rechenpower entschl?sseln (cracken).
Erst recht, wenn das Passwort-Verschl?sseler (das Skript) das eingegebene Passwort automatisch etwas "erg?nzt" hat.
Beispiel:
Passwort soll sein: "Liebe".
MD5-Ver- und Entschl?sseln mit MD5 dauert wenige Tausendstel-Sekunden.
Entschl?sselung (cracken) mit guter Hardware: 5 bis 50 Minuten.
Beispiel2:
Passwort soll sein: "Liebe".
Programmierer setzt um ein entschl?sseln zu erschweren noch den niemanden bekannten Spruch: "Hallo-DU_Schelm2was#willst99du.denn%6*()231" da dran.
Somit hei?t das Passwort nun: "LiebeHallo-DU_Schelm2was#willst99du.denn%6*()231".
MD5-Ver- und Entschl?sseln mit MD5 dauert wenige Tausendstel-Sekunden.
Nach dem entschl?sseln holt das Skript halt einfach die letzen 43 Zeichen weg und es bleibt das reine saubere Passwort ?brig.
Diese zu cracken wird selbst bei guter Hardware, solange der "angehangene Nachsatz" unbekannt ist wohl mehrerer Jahre dauern.
NACHTRAG:
Ich bin mir bei reichlich ?berlegung nun aber nicht mehr so sicher, ob mein geschwafel wirklich stimmt.. ..
denn md5 ist eigentlich wie schon geschrieben eine "einbahnstra?e" ...
hmmm muss ich mich selbst schlau machen ??
Beitrag ge?ndert am 27.12 13:07 von frankgo -
Was w?rdet ihr dann raten, wenn man den angemeldeten Usern Ihr Passwort zuschicken will? Also wenn sie ihr passwort vergessen?
-
ein neuse Passwort machen und dieses den usern senden
-
Wenn es nicht anders geht muss man es so machen. Hast du vielleicht ein konkretes Script wie man das realisieren kann?
-
Also, wie w?re es wenn du dir nicht alles zusammenklaust, bzw zusammenbauen l?sst. ich denke ein solches forum ist nicht dazu da ein komplettes script hier runter zu laden, so wie man es gerade braucht. hier werden nur denkanst?sse verteilt, der rest bleibt bei dir. wenn du ein wenig googlen w?rdest, w?rden auch nicht solche fragen aufkommen. ich habe deine googleschw?che mal ?berbr?ckt und dir ein paar suchergebnisse zu md5 und sendmail zusammen getragen. ich denke mit denen solltest du in der lage sein ein pissiges random passwort zu erstellen und dies in einer mail zu schicken.
WICHTIG:
http://shop.tutorials.de/buch/tutorials-mode-books_de-input_string-PHP-locale-de.html
MD5:
http://de.php.net/md5
http://forum.de.selfhtml.org/archiv/2003/2/t38560/
Mail:
http://www.schattenbaum.net/php/mail.php
PHP:
http://www.php.net
http://manuals.phpforum.de/php/index.php
ich denke das sollte f?rs erste reichen
mfg
Steup -
also, ich hab auch ein login mit MD5 und mach das so:
bei der anmeldung wird das passwort md5 verschl?sselt, und so in die DB eingetragen! das eingegebene pw kann ja als mail gesendet werden, wer das will!
beim login wiederrum, wird das eingegebene Passwort wieder md5 verschl?sselt und mit dem in der datenbank verglichen!
Bis jetzt hat das geklappt! -
das eingegebene pw kann ja als mail gesendet werden, wer das will!
wie machste das denn, wenn es verschl?sselt ist? -
jop das versch?sselte pw kannste als mail verschicken und wem n?zt das dann was?
dasnn wennd u das eingibst wird das wieder verscl?sselt und ist falsch!!
@special dune, das diene user ein pw ?ndern k?nnen is doch nicht os schwer habe ich auch hin bekommen einfache in input feld ohne value dann die eingabe mit md5 = PW verschl?sselt lassen, ne neue seite aufrufen die das Pw aufrufen tut und es in der db ersetzen tut, wenn du jetzt hier bei meinem text ne durch sehen tutst, einfach in icq mal wieder anschreiben! -
Im Grunde wird dem User eine "neues" Passwort zugeschickt, wenn er es vergessen sollte. Das "neue" Passwort ist dann das eigentliche Passwort, dass md5 verschl?sselt ist. Klar oder?
Mit diesem "neuen" Passwort meldet er/sie sich auf einer zweiten LogIn Plattform ein und ist in seinem Account drin, wo er/sie nun das Passwort ?ndern kann. Bei diesem LogIn sollte das durch den User eingegebene Passwort nicht nochmal md5 verschl?sselt werden, wie es beim normalen LogIn ist, sondern die Eingabe ohne Ver?nderung mit dem Verschl?sselten Passwort in der DB verglichen werden ("Neues" Passwort == Gespeichertes Passwort -> Zugang zum Account!).
Damit er?brigt sich das Entschl?sseln des Passwortes, das md5 verschl?sselt wurde.
JO -
Im Grunde wird dem User eine "neues" Passwort zugeschickt, wenn er es vergessen sollte. Das "neue" Passwort ist dann das eigentliche Passwort, dass md5 verschl?sselt ist. Klar oder?
Mit diesem "neuen" Passwort meldet er/sie sich auf einer zweiten LogIn Plattform ein und ist in seinem Account drin, wo er/sie nun das Passwort ?ndern kann. Bei diesem LogIn sollte das durch den User eingegebene Passwort nicht nochmal md5 verschl?sselt werden, wie es beim normalen LogIn ist, sondern die Eingabe ohne Ver?nderung mit dem Verschl?sselten Passwort in der DB verglichen werden ("Neues" Passwort == Gespeichertes Passwort -> Zugang zum Account!).
Damit er?brigt sich das Entschl?sseln des Passwortes, das md5 verschl?sselt wurde.
JO
ups im vorraus sry hab auf dieses spam ding geklickt^^
so also wie bitte?? steig da nicht durch^^ -
ups im vorraus sry hab auf dieses spam ding geklickt^^
so also wie bitte?? steig da nicht durch^^
1. User registriert sich: Bekommt ein selbst gew?hltes passwort (md5 verschl?sselt)
2. User vergisst sein passwort. Will es zugeschickt haben.
3. In DB md5 verschl?sselt gespecihertes Passwort wird zugeschickt (ohne es zu entschl?sseln)
4. In der E-Mail ist noch ein Link zu deiner Seite mit dem gesonderten LogIn Formular.
5. In dieses LogIn Formular gibt der User seinen Usernamen und das erhaltene Passwort ein.
6. Die Eingabe wird mit dem DB eintrag verglichen und Zugang gew?hrt.
--> Du brauchst dann ein zus?tzliches LogIn Formular, dass das eingegebene Passwort nicht md5 verschl?sselt, um es mit dem DB eintrag zu vergleichen!<--
----
Hab ich fast vergessen: Du schreibst dann in der E-Mail an den User noch, dass er sein Passwort ?ndern soll, wenn er sich eingeloggt hat.
----
Beitrag ge?ndert am 4.01 19:55 von econline -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage