PW-Reminder > Passwort wird gecryptet gesendet :/

[Lamavic]

Hi,
ich habe zwar die Suchfunktion benutzt, bin aber auf kein gutes Resultat gekommen.
Und zwar habe ich folgendes Problem :
Ich habe eine Userdb mit Name, Pw (md5 gecryptet) und Email (für ein Memberscript oder so...). Jetzt wollte ich ja noch einen PW-Reminder einfügen. Allerdings ließt dieser die Daten ebenfalls aus der Userdb aus und schickt immer als Passwort das gecryptete Passwort ab :/. Weißt jmd wie ich dieses Problem umgehen kann und er den Benutzern das echte Passwort sendet ?

mfg Laddy

p.s. falles es wichtig ist, ich benutze ASCII Datenbanken, kein mySql (und will es auch nicht usen ).

 

[m4rtin]

einmal md5 gecryptet, kann das passwort (mit normalen mitteln) nicht mehr entschlüsslet werden. md5 geht nur in eine richtung!

Alternativ sollst du das pw einfach neusetzen und dieses dann per mail verschicken.

 

[Tob]

Ich denke das es das Beste ist, ein neues, zufälliges Passwort zu erzeugen, das Passwort in der Datenbank zu ersetzten, dem User das neu Passwort zuzuschicken und ihn beim ersten login zu "zwingen" ein neues Passwort zu setzten. Das ist auch "sicherer" als das eigentliche Passwort zu schicken, zumal es eigentlich nicht ohne weiteres möglich sein sollte das verschlüsselte Passwort zurückzurechnen.

gruß tob

 

[Lamavic]

Ah, Tob, das ist eine gute Idee . Wie krieg ich das denn hin mit zufällig generieren ? Gibt's da auch ein Tutorial oder so ? Ich weiß im Hinterkopf, dass man erst mal alle Zahlen von A-Z, a-z, 0-9, definieren muss, und dann mit irgendeinem Befehl zufällig ein Pw generieren lassen kann. Könnt ihr mir da näheres Sagen ?

mfg Laddy

 

[Tim C.]

Mit hilfe der rand und srand Funktion von PHP und ein bischen Einfallsreichtum, sollte das zu lösen sein. Zur not kannst du den Leuten halt auch einfach ne Zahl als temp. Passwort schicken.

http://de.php.net/manual/en/function.srand.php
http://de.php.net/manual/en/function.rand.php

Btw: Was glaubst du warum viele Seiten, wenn du dein Passwort vergisst, dir ein neuen zuschicken. Ganz einfach, weil sie es auch nur in "verschlüsselter" (in " " weil md5 ja keine wirkliche Verschlüsselung ist) Form vorliegt.
Und da Gelegeheit ja bekantlich Diebe macht, kommt so erst gar keiner auf dumme Gedanken

 

[Lamavic]

Danke für deine Antwort .

 

[Andreas Dunstheimer]

ich hatte da mal ein Tutorial geschrieben.

Hier der Code:

function getpass($laenge) {
    $newpass = "";
    $string="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789";

    mt_srand((double)microtime()*1000000);

    for ($i=1; $i <= $laenge; $i++) {
        $newpass .= substr($string, mt_rand(0,strlen($string)-1), 1);
    }
    
    return $newpass;
}

an geeigneter Stelle dann einfach per

$neuespasswort = getpass(5);

dann ein neues Passwort generieren lassen und per mail verschicken


Dunsti

 

[Lamavic]

Hey cool, großes Dankeschön ! .