✔ Passwort aus txt

[splasch]

Es ist egal wenn die denselben Hash haben.
Denn die Pw prüfung folgt. Dann immer auf vergleich des Hash stimmt der überein ist man drinen bwz eingelogt.

Also machst nix aus wenn mal das abweichen sollte.Rein kommt man damit genausft braucht man nicht mal das pw sondern umgeht das ganze einfach.

Ausschlageben ist nur immer das Ergebniss.

@ 2mal md5
Und wer macht schon 2 mal md5 kaum jemand.

Mfg Splasch

 

[crazymischl]

Das trifft den Nagel auf den Kopf: Man kann das Hacken nicht unmöglich machen. Aber man kann es unglaublich aufwendig machen...

den kann ich nur zustimmen xD

außerdem kann man mit php auch strings mit sha1 (welches als "sicherer") gilt verschlüsseln. (ab php 4.3 und MySQL 4.0.2)
Ich persönlich verwende auf meinen Seiten eine 4-fache verschlüsselung aus sha und md5, wenn dass jemand knackt dann ist das Jahr 2050 bereits vergangenehit xD

$pw = "passwort";
$verschluesselt = sha1(sha1(md5(md5($pw))));
echo $verschluesselt;

 

[Dario Linsky]

Hi,

Ich persönlich verwende auf meinen Seiten eine 4-fache verschlüsselung aus sha und md5, wenn dass jemand knackt dann ist das Jahr 2050 bereits vergangenehit

bis das verarbeitet ist, dauerts aber annähernd genau so lange. ;-]

Gut, in Zeiten von Gigahertz-Prozessoren wird einem das wohl nicht mehr so bewusst sein, aber dennoch ist es halt immer die Frage, worauf man mehr Wert legt. Es steht immer ein schnelles Programm gegen hohe Sicherheit, hohe Fehlertoleranz, hohe Datenkompression, usw. Ist ja nicht so, dass ein Aufruf von MD5 intern nur ein paar wenige Anweisungen auslösen würde. Wenn du dir mal eine typische MD5-Funktion ansiehst, wird klar, was da im Hintergrund alles passiert.

Wenn du deine Schuhe statt mit einer normalen Schleife mit einem Doppelknoten zubindest, gehen sie auch nicht so schnell auf - dafür dauert das Zubinden dann aber auch doppelt so lange. Und mit einem Vierfachknoten verdoppelt sich das dann natürlich nochmal. Und schon hast du morgens den Bus verpasst.

Grüße, D.

 

[crazymischl]

bis das verarbeitet ist, dauerts aber annähernd genau so lange. ;-]

Wieso ? Die verschlüsselung geht bei meinem neuen server recht schnell, und ich habe ja nicht hunderte von usern, sondern nur ein paar dutzend ca. und da geht es sehr schnell.
Natürlich ist es für den Server aufwendig, aber dafür hab ich mir ja nen guten neuen Server zugelegt und kein alten xD
Bei mir liegt die Zeitdifferenz zwischen einfach-md5 und 4-fach (2xmd5+2xsha1) nur im zehntel-sekunden-bereich (also nicht spürbar).
Also mach ich lieber "sicher" (wenn man dieses Wort überhaupt noch verwenden kann) xD

 

[Dario Linsky]

Hi!

Ich meinte ja nur... natürlich ist die absolute Verzögerung von ein paar Millisekunden nicht spürbar und kann ruhig draufgeschlagen werden (bei wirklich sicherheitskritischen Sachen müssten sie es sogar). Aber wenn das gesamte Skript dadurch um den Faktor 4 langsamer wird, dann ist das relativ betrachtet doch eher unwirtschaftlich. Auch wenn das bei DSL 16000 und Quadcore-CPUs nicht mehr auffällt.

Ich wollte dir aber auch nicht vorschreiben, wie du es zu machen hast.

Grüße, D.

 

[MaxivB]

Das Passwort schreibe isch schon mit einer anderen PHP. Das Passwort wird auch problemlos geschrieben aber ich will jetzt nur dass der Script (oben, auf der letzten seite) funktioniert! Also nicht den Hash sendet sondern den "entschlüsselten" code!

 

[Flex]

Du kannst einene Hash nicht mal eben so wieder entschlüsseln.

Generiere dem Benutzer ein neues Passwort und schick ihm das.

 

[splasch]

@Maxi
Das geht nicht!
Die Lösung hab ich dir bereits schon gepostet auf Seite 2.
Du mußt ein neues Pasword generieren und dann an die Mail adresse schicken.

function Zufallpw($Anzahl){
  $Ergebnis='';
  for($i=0;$i<$Anzahl;$i++){
    $Ergebnis.=chr(rand(65,90));
      }
  return $Ergebnis;
} 

$user = mysql_real_escape_string($_POST['user']); // Werte von ausen Filtern 
$empfaenger = file_get_contents("".$user."/userdata/email.txt"); // Mail adresse auslesen 
$datei_name = "file/".$dirname."/userdata/passwort.txt"; 

$pass=Zufallpw(8);  // hier erfindest du ein neues Password 
if(fopen($datei_name,"r")) 
{ 
    $datei = fopen($datei_name,"a+"); 
    fwrite($datei, $pass); 
    fclose($datei); 

mail($empfaenger,"Deine ".Benutzerdaten," 
Hallo $user! 
Deine Angeforderten Benutzerdaten: 
Benutzername: $user 
Passwort: $pass 

Mit freundlichen Grüßen 
","From: <meine@email.de>");  

} 
else 
{ 
    echo "Passwort konnte nicht geschrieben werden"; 
}

Mfg Splasch

 

[crazymischl]

Also nicht den Hash sendet sondern den "entschlüsselten" code!

Das geht nicht mit PHP
Du musst ein neues PW generieren, dass aber erst per aktivierungslink aktiv wird, und dafür brauchst du mysql !!
Man kann md5 unter umständen mit programmen sehr schwer entschlüsseln, aber mit php auf jedenfall nicht !

wie gesagt, mach es mit mysql wie hier und im post 20 ab "So nun zu deiner Frage" beschrieben.....die einzelnen befehle dafür findest du hier über dir sufu und
@edit:da war wohl jemand wieder schneller als ich xD

 

[Dario Linsky]

Hi,

Man kann md5 unter umständen mit programmen sehr schwer entschlüsseln, aber mit php auf jedenfall nicht !

MD5 kann man nicht nur mit PHP nicht entschlüsseln, sondern überhaupt nicht, weil es eben keine Verschlüsselung ist. Durch die immer gleiche Länge der Hashes gibt es eine endliche (wenn auch sehr umfangreiche) Menge von Kombinationen, die allerdings aus einer unendlichen Menge von Kombinationen erzeugt werden. Damit gehen beim Hashen mit MD5 definitiv Informationen der ursprünglichen Parameter (des unverschlüsselten Passworts) verloren und lassen sich nicht durch irgendwelche Entschlüsselungsverfahren eindeutig wieder rekonstruieren.

Theoretisch (habe es nicht ausprobiert) gibt es für jeden einzelnen MD5-Hash also unendlich viele Möglichkeiten, wie man ihn wieder in den Klartext kriegen kann. Es gibt im Internet zwar Listen, die zu einem MD5-Hash den ursprünglichen Klartext zuordnen, aber diese sind erstens nur unvollständig und zweitens geht die Wahrscheinlichkeit, dass du damit zufälligerweise genau das Kennwort des Benutzers heraus bekommst, gegen 0.

Du wirst also nicht drum herum kommen, dem Benutzer ein neues Kennwort zu generieren. Oder du speicherst das Kennwort mit einer anderen - oder gar keiner - Verschlüsselung, die reversibel ist. Das macht es dann allerdings wieder unsicher.

Grüße, D.