markus_walther: MD5 - Passwort vergessen Script

SELF-Forum

MD5 - Passwort vergessen Script

markus_walther
Informationen zu den Bewertungsregeln

Guten Morgen!

Ich habe ein Passwort vergessen Script programmiert. Das funktioniert auch alles soweit, nur wenn man das Passwort zu geschickt bekommt, bekommt man z.B. folgenden Zahlensalat:
4d85b036f708847dfadfc93d67efc63d3d03d639
Das liegt an dem MD5 Hash.
Wie kann ich jetzt das "richtige" Passwort ausgeben?

mfg
markus

Beitrag melden
Informationen zu den Bewertungsregeln

  1. MD5 - Passwort vergessen Script

    Jonny 5
    Informationen zu den Bewertungsregeln

    Hallo!

    Guten Morgen!

    Ich habe ein Passwort vergessen Script programmiert. Das funktioniert auch alles soweit, nur wenn man das Passwort zu geschickt bekommt, bekommt man z.B. folgenden Zahlensalat:
    4d85b036f708847dfadfc93d67efc63d3d03d639
    Das liegt an dem MD5 Hash.

    Den du, als Ersteller des Scripts, ja offensichtlich so in der Datenbank abgelegt hast :))

    Wie kann ich jetzt das "richtige" Passwort ausgeben?

    Gar nicht, da man einen md5 Hash nicht 'dekodieren', im glücklichen Einzelfall aber durch einen reverse lookup nachsehn kann.

    Aus Sicherheitsgründen werden Passwörter üblicherweise auch nich roh in einer Datenbank abgelegt. Deswegen wird im Vergessensfall normal ein neues Passwort für den Besucher generiert, dieses ihm zugeschickt.

    Der User kann dann wieder einloggen und sollte die Möglichkeit haben, sein Passwort selbst wieder zu ändern.

    Viel Spaß, Jonny 5

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. MD5 - Passwort vergessen Script

      markus_walther
      Informationen zu den Bewertungsregeln

      Hi!

      Ok dann werde ich jetzt für jeden User ein neues Passwort generieren.

      mfg
      markus

      Beitrag melden
      Informationen zu den Bewertungsregeln

    2. MD5 - Passwort vergessen Script

      Sven Rautenberg Homepage des Autors
      +5 Informationen zu den Bewertungsregeln

      Moin!

      Aus Sicherheitsgründen werden Passwörter üblicherweise auch nich roh in einer Datenbank abgelegt. Deswegen wird im Vergessensfall normal ein neues Passwort für den Besucher generiert, dieses ihm zugeschickt.

      NIcht so ganz. Der Link zum "Passwort vergessen" ist ja zwingend öffentlich verfügbar, kann deshalb von jedem Scherzkeks ausgelöst werden. Usernamen sind ggf. (Forum) auch öffentlich bekannt.

      Deshalb wird man in solch einem Fall für den Account ein ZWEITES Passwort generieren und mailen, mit dem der User seinen Account eine gewisse Zeit lang zusätzlich betreten kann (um sein Passwort zu ändern). Wenn der nächste Login mit dem alten Passwort geschieht, wird das zweite Passwort sofort wieder vergessen.

      Oder man generiert lediglich eine Mail mit einem Hash im Link zu einer Seite, welche dann die Neugenerierung des Passwortes in die Wege leitet.

      - Sven Rautenberg

      Beitrag melden
      +5
      Informationen zu den Bewertungsregeln