MD5 zurückumwandeln...GEHT DAS?

[Matthias Reitinger]

ich würde Dir allerdings SHA1 Verschlüsselung empfehlen, da MD mitterweile nicht mehr (so) sicher ist.

Auch hier nochmal: SHA1 ist keine Verschlüsselung! Es ist ein Algorithmus zur Bildung einer Prüfsumme.

Außerdem: Ob MD5 oder SHA1... das ist bei 0815 Webanwendungen ziemlich egal. Die Hashes werden meist in einer Datenbank zusammen mit allen anderen Benutzerdaten abgelegt. Das heißt, wenn ein Cracker an die Hashes kommt, dann kommt er i.d.R. auch an die anderen Sachen, die er wissen will. Und zwar ohne lang mit der Brechstange nach dem Passwort zu suchen.

 

[Sicaine]

Auch hier nochmal: SHA1 ist keine Verschlüsselung! Es ist ein Algorithmus zur Bildung einer Prüfsumme.

Außerdem: Ob MD5 oder SHA1... das ist bei 0815 Webanwendungen ziemlich egal. Die Hashes werden meist in einer Datenbank zusammen mit allen anderen Benutzerdaten abgelegt. Das heißt, wenn ein Cracker an die Hashes kommt, dann kommt er i.d.R. auch an die anderen Sachen, die er wissen will. Und zwar ohne lang mit der Brechstange nach dem Passwort zu suchen.

Vielleicht will ja jemand die Passworter und die Emailadressen? Nicht jeder verwendet für jeden acc ein anderes PW.

 

[JohannesR]

SHA1 wurde geknackt.

 

[preko]

...Auch hier nochmal: SHA1 ist keine Verschlüsselung! Es ist ein Algorithmus zur Bildung einer Prüfsumme....

Sorry Matthias,

im Eifer des Gefechts übernahm ich die Fehlerhafte Bezeichnung. Selbstverständlich hast Du recht.

Eine kleine Freud´sche Fehlleistung!

Beste Grüße,
preko

 

[mgd-one]

Warum macht ihr es euch so komplieziert? Es ist doch viel einfacher als ihr es euch da überlegt. Das ist doch nur unnötige Arbeit!

Nach eurem Prinzip braucht ihr ein extra Script.

Aber wenn ihr eh schon ein Script habt wo sich der angemeldete User sein Passwort ändern kann. Und ihr ein Script geschrieben habt womit ihr die E-Mail an die E-Mail des Users aus der Datenbank schickt dann braucht ihr doch keinen aktivierungs Link oder geheimfrage. Ihr schickt einfach anstatt des Aktivierungslinkes eine E-Mail in der steht: "Ihr neues Passwort lautet: blabla" und das Passwort ist eine belibiglange zahlenkombination die mit einem Zufallsgenerator gemacht wird. Und beim nächsten Login kann wenn der User es möchte sein Passwort ändern. Da braucht ihr dann keine neuen Splaten oder ähnliches in eurer DB.

Gruß mgd-one

 

[qsrs]

Es geht nicht um den angemeldeten User.

Wie realisiert man so etwas, wenn ein User sein Passwort vergessen hat und man ihm dieses zukommen lassen will, dieses jedoch MD5 verschlüsselt wurde?

 

[mgd-one]

Das ist mir schon klar. Was ich mit dem Angemeldeten User meinte war, dass man nur sein passwort ändern kann wenn man angemeldet ist. Und wenn man sein passwort vergessen hat dann kann man durch die eingabe des user namens und dem drücken eines buttens namens "passwort vergessen?" sich an die in der datenbank abgespeicherten E-Mail adresse eine E-Mail mit einem generierten neuen passwort zukommen lassen das man dann wen man sich mit dem neuen passwort angemeldet hat ändert. zusätzlich absichern könnte man das dann noch das man sagt wenn man das passwort vergessen hat muss man benutzernamen und e-mail angeben und beide daten mit der datenbank vergleichen. dadurch das das neue passwort in der e-mail an die adresse aus der datenbank verschickt wird kann kein dritter irgendwas damit machen.

gruß mgd-one

 

[qsrs]

Nunja, das war ja unsere Überlegung.

zusätzlich absichern könnte man das dann noch das man sagt wenn man das passwort vergessen hat muss man benutzernamen und e-mail angeben und beide daten mit der datenbank vergleichen.

Nur gibt es Foren etc., bei welchen genau diese Daten öffentlich sind.

Kennt einer Benutzername und E-Mail-Adresse, kann er es veranlassen das Passwort eines anderen Users zu ändern.

Da finde ich ein temporäres Passwort, welches nach der ersten Anmeldung fest übernommen wird, bzw. die Variante mit dem Aktivierungslink noch am Besten.

 

[Neurodeamon]

Letztenendes ufert die Diskussion doch wieder in eine Glaubensfrage aus ...
;-]

Jede Methode hat ihre Vor- und Nachteile. Jeder Benutzer tendiert zu einer anderen Lösung. Und wenn wir so weitermachen haben wir hier bald eine Thread, der jede erdenkliche Möglichkeit beschreibt ;-)

 

[mgd-one]

@qsrs

das ist doch egal (sorry für den ausdruck)!

die absicherung ist ja nur ne halbe, damit nicht jeder x belibige einfach aus scheis benutzernamen eingibt und auf "passwort vergessen?" drückt. die eigentliche absicherung ist die e-mail wenn du einfach ne e-mail mit dem neuen passwort verschickst und in der datenbank das neue passwort über dem alten passwoirt schreibst kann keiner außer der entsprechende benutzer die e-mail abrufen und somit hat das neue passwort auch nur der EINE user dem der account auch gehört.

ist doch einfach und logisch, oder? versteht mich irgendjemand nicht?

ich habe es auf jeden fall so auf meiner hp und keiner kann die accounts der anderen hacken.

also wünsch euch noch viel spass bei der diskusion

gruß mgd-one