Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Password versand bei logintool

Mitglied: jensgebken

jensgebken (Level 2) - Jetzt verbinden

14.05.2019 um 17:22 Uhr, 401 Aufrufe, 9 Kommentare, 1 Danke

Hallo Gemeinschaft,

habe ein Loginscript, bei dem leider die passwort vergessen funktion fehlt -

so wird das password weggeschrieben beim anlegen eines neuen users

01.
if(!$error) {    
02.
        $passwort_hash = password_hash($passwort, PASSWORD_DEFAULT);
03.
        
04.
        $statement = $pdo->prepare("INSERT INTO users (email, passwort) VALUES (:email, :passwort)");
05.
        $result = $statement->execute(array('email' => $email, 'passwort' => $passwort_hash));
könnt ihr mir vielleicht beschreiben, wie ich es dem user als plain text wieder zusenden kann

mal alle sicherheitsbedenken aussen vor gelassen

gruss
Mitglied: Kraemer
14.05.2019, aktualisiert um 17:36 Uhr
Zitat von jensgebken:
könnt ihr mir vielleicht beschreiben, wie ich es dem user als plain text wieder zusenden kann
ganz einfach, indem du das Passwort irgendwo plain speicherst...
Bitte warten ..
Mitglied: 139708
14.05.2019, aktualisiert um 19:13 Uhr
mal alle sicherheitsbedenken aussen vor gelassen
Macht man niemals und das geht aus einem Hash auch nicht da es ein Oneway Verfahren ist, in so einem Fall generiert man immer ein neues ändert es in der DB und sendet es entweder dem User an seine Mail und fordert ihn auf ein neues zu generieren oder es wird ein Token generiert und der User via Mail auf eine spezielle Passwort-Ändern Seite geleitet.
Passwörter speichert man niemals als Plaintext!

Gruß wireguard
Bitte warten ..
Mitglied: Lochkartenstanzer
14.05.2019, aktualisiert um 19:02 Uhr
Zitat von jensgebken:

könnt ihr mir vielleicht beschreiben, wie ich es dem user als plain text wieder zusenden kann

Du könntest passende Rainbowtables vorhalten und daraus direkt das Paßwort ablesen, wenn Du den hash hast.

Oder Du generierst einfach ein neues Paßwort für den User und schickst es ihm zu und zwingst ihn, beim ersten Anmelden das Paßwort zu ändern.


mal alle sicherheitsbedenken aussen vor gelassen

Das macht man nicht! Niemals! Unter keinen Umständen!1eins!11!elf!

lks
Bitte warten ..
Mitglied: maretz
14.05.2019 um 19:55 Uhr
Ok, lassen wir mal die Sicherheitsbedenken aussen vor... Gehen wir mal davon aus das es ein rein interner Server ist der auch wirklich NIEMALS ans Internet kommt. Stell dir vor ich nehme also bei dir mein Standard-Passwort "Passwort". Steht bei dir im Plain-Text in der Datenbank. Leider werden jetzt sämtliche Accounts von mir geknackt kurz nachdem ich (im Streit) die Firma verlassen hab. Jetzt wärst du aber mal sowas von im Ar... wenn ich weiss das du es auslesen kannst - da ich natürlich jetzt das ganze als Beleg anführe das du / die Firma mir noch einen auswischen wollte...

Von daher: Sch.. auf Sicherheitsbedenken -> denk nur mal an deine EIGENE Sicherheit... Und wofür? Schicke bei einem Passwort-Wechsel halt nen Einmal-Passwort zu (wenn du wirklich sicher bist das der Server nur intern ist und nie geknackt werden kann). Da das an die hinterlegte Mail-Adresse geht kann der Benutzer das abrufen und sich dann anmelden. Ich würde jedoch (da dein Mailserver jetzt Kenntnis über das Passwort hat) auch gleich eine "must change"-funktion einbauen. Wenn das Einmal-Passwort gesetzt wurde MUSS nach dem Login das Passwort geändert werden...
Bitte warten ..
Mitglied: jensgebken
14.05.2019, aktualisiert um 22:09 Uhr
Wie würdest du es denn umsetzen - Ich müsste jetzt doch eine Seite bauen, Passwort zurücksetzen – ein Textfeld wo ich die E-Mail-Adresse eintragen dies betrifft bloß wie dann weiter?
Bitte warten ..
Mitglied: Lochkartenstanzer
14.05.2019 um 22:23 Uhr
Zitat von jensgebken:

Wie würdest du es denn umsetzen - Ich müsste jetzt doch eine Seite bauen, Passwort zurücksetzen – ein Textfeld wo ich die E-Mail-Adresse eintragen dies betrifft bloß wie dann weiter?

  • User beim Support, also bei Dir anrufen lassen
  • gemeinsam ein Paßwort festlegen.
  • Du setzt diese Paßwort für den User.
  • User loggt sich ein und ändert Paßwort.

Du mußt nur sicherstellen, daß der User der echte User ist und kein Hacker mit social skills.

lks
Bitte warten ..
Mitglied: maretz
15.05.2019 um 06:54 Uhr
Moin,

uff - wenn ich das so lese -> sorry wenn ich dir das so hart sage, in deinem Fall GAR NICHT! Da fehlt glaub ich jedes Verständnis auch nur für ein minimum an Datenschutz. Ich bin ja auch nen Freund davon das es manchmal eben funktionieren muss, den Standard der dazu passt kann ich dann später finden. Aber hier wirds langsam schon gefährlich (danke das du nicht mit Strom arbeitest... 2 10kV-Leitungen kann man auch mal un-isoliert übern Boden legen... im öffentlichen Raum... mit Fussgängern....)

Überlege bitte kurz selbst: Wenn ich meine Email-Adresse selbst eingebe - wie weisst du dann das ich wirklich der Besitzer des Accounts "Admin" bin? Wie machen es denn andere Seiten - wie z.B. auch bei Administrator.de? Wenn du da auf "Passwort vergessen" klickst - kannst du da ne Mail-Adresse fürs Zusenden angeben? Vermutlich nicht...

Üblicherweise registriert man sich mit ner Email-Adresse bereits. Und NUR dahin wird das Passwort bzw. der Link fürs Passwort zurücksetzen geschickt. Fertig -> Wenn ein Benutzer es jetzt wirklich geschafft hat sein Passwort zu vergessen UND auch keinen Zugriff mehr auf die Emails hat dann hilft eben nur noch nen persönlicher Kontakt (Email an den Admin, Anruf,...)
Bitte warten ..
Mitglied: Th0mKa
15.05.2019 um 07:31 Uhr
Zitat von maretz:

Wie machen es denn andere Seiten - wie z.B. auch bei Administrator.de? Wenn du da auf "Passwort vergessen" klickst - kannst du da ne Mail-Adresse fürs Zusenden angeben? Vermutlich nicht...
Vermutlich schon, es wird halt ne Mail gesendet mit der man das Passwort des assoziierten Accounts (und nur den) ändern kann. Gibt es reichlich Beispiele im Netz...

/Thomas
Bitte warten ..
Mitglied: maretz
15.05.2019 um 07:36 Uhr
Das eine Mail gesendet wird ist keine Frage... nur: Ich kann bei dem Punkt üblicherweise keine Email-Adresse mehr angeben sondern NUR die hinterlegte wird verwendet... DAS ist eben der Unterschied. Denn sonst würde ich ja einfach z.B. hier bei Administrator.de sagen können: Passwort vergessen, Account Th0mKa -> und schicke das Passwort / die Reset-Möglichkeit bitte an meine Email-Adresse maretz@wirfmichweg.de ... Schon habe ich deinen Account "gehackt" -> würde mir dann doch etwas sorgen machen.
Bitte warten ..
Ähnliche Inhalte
Microsoft
Password management
Frage von TECHGENEMicrosoft3 Kommentare

Guten Tag, jeder kennt das Problem des Password-Management der User. Unser Helpdesk verliert täglich viel Zeit um Passwörter von ...

SAN, NAS, DAS
Synology weigert password
Frage von AtoAtoSAN, NAS, DAS5 Kommentare

Hallo Zusammen, ich habe ein Synology DS216play. Da mein Konto abgelaufen war, musste ich ein Password reset am System ...

Humor (lol)
Worst Wifi Password Ever
Frage von pelzfruchtHumor (lol)3 Kommentare

Haha :-D Ich hab mich gerade so totgelacht :-D :-D Ich glaub ich kann nicht mehr, vor Lachen :-D ...

Windows Server
AD Password Komplexität anpassen
gelöst Frage von enduranceWindows Server3 Kommentare

Hallo zusammen Wenn ich im nachhingen die Passwort Komplexität für alle User (default GPO) anpasse, müssen dann alle User ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic23 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 3 TagenWindows 109 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic23 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing12 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...