title image


Smiley Re: Gefahren eines Passwort-Reminders
ich glaube, du hast den sinn des passwort-verschlüsselns nicht so ganz erfasst:



- wenn ein benutzer sich registriert oder sein passwort ändert, berechnest du mithilfe der funktion md5() von mysql oder auch php den MD5-Hash des passworts und trägst ihn in die db ein. AUS DIESEM HASH KANN MAN DAS QUELLPASSWORT NICHT ZURÜCKBERECHNEN. d.h. du als webmaster oder ein angreifer kann mit den gespeicherten hashes nichts anfangen

- wenn der benutzer sich einloggt, wird der md5-hash des eingegebenen passworts berechnet und mit dem in der db gespeicherten hash verglichen. wenn sie gleich sind, ist dass passwort korrekt, andernfalls nicht. mit diesem hash kann also ein passwort auf seine gültigkeit überprüft werden, ohne dass irgendjemand das passwort auslesen könnte

- da du in diesem fall das klartextpasswort nicht kennst, kannst du dem benutzer auch nicht sein passwort per mail zusenden, wenn er es vergessen hat. stattdessen generierst du ein neues passwort und trägst dessen hash in die db ein. dann schickst du dem benutzer dieses neue passwort per mail.



das nur so am rande. es riehct also NICHT, nur den base64-codierten string des passworts zu speichern, da das auch nicht mehr bringt, als das passwort im klartext zu speichern.



hoffe, ich habe dich erhellt,



Gruß,

Niklas

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: