Frage von Anonymous273854, 44

Passwort auslesen Website?

Auf meiner Webseite habe ich ein Accountsystem aber bei phpMyadmin wird bei den ACcounts über so ein ewig langer key angezeigt weiß jemand ob man aus dem das Passwort auslesen kann?

Antwort
von derobert, 12

Nein, das Passwort sollte NIEMAL wieder ausgelesen werden könne, wozu auch. Du würdest damit ein Sicherheitsrisiko für all deine registrierten Benutzer eingehen.

Ansich leuft ein Login so ab (Pseudocode)

Vorraussetzung ist das der Benutzer bereits in der Datenbank ist mit einem Passwort Hash

1. Benutzer gibt Benutzername und Passwort ein
2. Aus dem eingegebenem Passwort wird ein Hash-Wert erzeugt
3. Das Passwort Hash wird anhand des benutzernamens aus der Datenbank geholt
4. jetzt wird der Hash-Wert aus 2 mit dem Hash-Wert aus 3 verglichen
5.1 Sind beide gleich -> login
5.2 sind sie unterschiedlich -> fehler

Nur Exemplarisch. Du stellst fest, das Passwort als Klartext zu kennen ist nicht notwendig.

@marc2108

1. Passwörter werden nicht Verschlüsselt (auch nicht ggf.) sondern es wird ein Hash-Wert erzeugt

2. MD5 ist seit Jahren unsicher da es hier schon zu Kollisionen gekommen ist (zwei Strings haben den gleichen Hash-Wert)

Statt MD5 ist SHA256 oder SHA512 zu verwenden.

@happyfish2

Nicht unbedingt, eine SessionID ist nichts anderes als ein MD5 Hash der sehrwohl ein gehashdes Passwort sein könnte.

Antwort
von marc2108, 13

Ggf werden die Passwörter in dr DB verschlüsselt z.b. mit MD5

Antwort
von happyfish2, 29

Nein, kann man nicht. Was du meinst ist eine Session-ID. Die hat mit dem Passwort selbst nix zu tun.

Kommentar von Anonymous273854 ,

Aber wenn sich ein BEnutzter auf meiner Website anmeldet kann cih das üpasswort dann irgendwie auslesen?

Kommentar von webflexer ,

Nein, das ist ja der Sinn der Sache.

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten