Frage von nedi23, 39

PHP hash decodieren?

Hallo Community

Ich arbeite in meiner Firma an einem Intranet welche Informationen aus verschiedenen Quellen einbindet. Um die Seite zu besuchen muss man sich einloggen können. Die Passwörter werden mit sha224 verschlüsselt. Wenn nun jemand sein Passwort vergisst, will ich ihm das Passwort per Mail zukommen lassen.

Meine Frage: Wie kann ich das Passwort welches als Hash in der Datenbank abgelegt ist wieder in "normalen Text" umwandeln, so dass ich er per Mail an den jeweiligen Benutzer versenden kann.

Vielen Dank für eure Hilfe.

Gruss Nedi

Antwort
von xGlumi, 19

Da SHA eine One-Way-Encryption ist, ist dort kein normaler Weg mehr diesen zurück zu rechnen...

Das einzige was du machen kannst ist diesen zu cracken.
(Das ist aber bei deinem Vorhaben weniger als Zielführend)

Schreib dir einfach ein Tokensystem, was dann dem Benutzer eine Mail schickt mit den Link(Und dem Token), und er dadurch sein Passwort neu setzen darf.

MFG xGlumi

Kommentar von nedi23 ,

Vielen Dank für deine Antwort. 

Würdest du ein SHA verwenden oder gäbe es da noch andere und bessere Möglichkeiten? Gibt es denn welche die dekodiert werden können?

Kommentar von MrNevio007 ,

Das Dekodieren gerade von Passwörtern stellt eine große sicherheitslücke dar, die natürlich auch von Hackern ausgenutzt werden kann.

Kommentar von xGlumi ,

@Nedi23: Mit SHA bist du schon auf der Sicheren Seite, am besten benutzt du noch einen Salt dazu der für jeden Benutzer random generiert wird (Bitte nicht den Username o.ä nutzen...)

MFG xGlumi

Antwort
von RakonDark, 25

Ein System welches Passwörter so ablegen tut das sie wieder lesbar gemacht werden können ist ein unsicheres System .

Wenn schon denn schon dann sollte es ein Reset System geben , wo ein Resetpasswort angefordert werden kann um  es 
danach

wieder zu ändern .

Es darf gar nicht sein das irgendjemand überhaupt das Passwort kennt , missbrauch etc und gerade Admins sind als gefährlich anzusehen , denn wenn der sein Job mal wechselt wären ihm alle Türen und Tore offen .



Kommentar von nedi23 ,

Ja das ist mir natürlich klar. Wenn aber der Admin das Passwort zurücksetzten kann so kommt es auf das gleiche raus. 

Gibt es aber im Grunde genommen eine Funktion die den Hash dekodieren kann? 

Kommentar von RakonDark ,

nein , dann hat er ein neues gestzt und hat damit gezeigt das es manipuliert wurde , noch trickreicher ist natürlich das es resets in einer ganz anderen datenbank gepseichert sind und somit nur das system dann den eigentlichen datensatz ändert der nur über den Benutzer login funktioniert .

Was aber auf gar keinen Fall sein sollte, das der Admin sich nach und nach alle Möglichen Passwörter aneigenet . Beim Reset weiss er jedenfalls nciht was der Bentuzer für eins nutzt .

Kommentar von RakonDark ,

du könntest vielleicht eine Rainbowtabelle machen wenn du den entsprechenden HASH und SALT etc findest der zur Krypto genommen wurde . Und das sollte das ein CloudSystem übernehmen . Ergo ... nein für dich ist es unmöglich .

Keine passende Antwort gefunden?

Fragen Sie die Community