Frage von max1501, 44

Wie kann ich in PHP in ein login script ein Masterpasswort einfügen?

Guten Abend, ich habe ein Login script ( https://github.com/PHP-Einfach/loginscript ) ich möchte, dass ich wenn läute sich anmelden einfach die Email-Adresse angebe und ein Masterpasswort für alle Benuzterkonten habe. Ich dachte ich kann das irgendwie im Login script mit or machen aber das hat nicht funktioniert. Es wäre gut wenn ich das Passwort einfach in das script schreibe so, dass ich nicht den Passwort_Hash angeben muss sondern nur das reine Passwort. Danke für eure Hilfe

Antwort
von LeonardM, 6

Also vorab würde ich an deiner stelle wenn du schon wenig ahnung hast und es um sowas hochfrequent sicheres gehen muss jemanden beauftragen.. schau dir mal das logout script an.. einmal das ticket abgefangen von nem benutzer kannst du es dein leben lang benutzen als angreifer weils nicht aus der zugelassenen Liste gelöscht wird. Und generell so wenige Sicherheitschecks sind schon mickrig wenns wirklich sicher sein soll.. hab mir nur login und logout angesehen hat mir schon gereicht.. und du könntest bevor du das passwort prüfst einfach prüfen ob post passwort deinem masterpasswort entspricht oder sogar via ODER in der prüfzeile das masterpass prüfen.das das ziemlich unsicher ist dürfte auch klar sein. Hau rein!

Antwort
von langmattis, 25

Ein Matsterpassword ist sicherheitstechnisch keine gute Idee, geschweige denn fair den Benutzern gegenüber. Wieso benötigst du denn Zugang zu allen Benutzern?

Kommentar von max1501 ,

Ich weiß das es unsicher ist  und die benutzer wissen es auch. Bei den benutzern sind tabellen die halt der systemadmin auslesen darf bzw. soll

Kommentar von langmattis ,

Dann benötigst du doch kein Masterpassword. Lies die Tabellen doch einfach direkt in der Datenbank aus (MySQL, MariaDB oder was du verwendest). Dann gibt es sicherheitstechnisch keine Bedenken mehr. Was entwickelst du denn wenn ich fragen darf? :)

Kommentar von max1501 ,

Geht nicht da noch eine Person die über mir steht das auch sehen muss/soll und die kennt sich da nicht so aus und das Masterpasswort wäre hal nur für diese Person

Kommentar von langmattis ,

Naja dann prüfst du in der abfrage einfach ob es ein passswort aus der Datenbank oder das Masterpassword in MD5-gehashter Form ist. Bitte leg auch die Passwörter mindestens als MD5-Hash ab, dass ist zumindest etwas sicherer als blank.

Kommentar von max1501 ,

Ja aber wie? Muss ich dann in der Login.php bei Passwort überprüfen irgendwie or "Passwort" oder wo muss das hin bzw. Wie mache ich das

Kommentar von langmattis ,

Die Frage ist wie prüfst du das normale Passwort des Benutzers. Dieser gibt ja eine Email und ein Passwort ein oder? Und die Passwörter sind in der DB hinterlegt?

Kommentar von max1501 ,

Genau aber gehe mal auf den Link oben und gucke dir die Login.php an da steht das auch nochmal.

Kommentar von langmattis ,

Das Loginscript ist aber nicht von dir, oder? Ich würde dir empfehlen dich intensiver mit dem Thema HTML/CSS/JS/PHP auseinandersetzen, wenn du wirklich etwas entwickeln willst, mit zusammenkopieren wirst du nicht weit kommen.

Du kannst nach einem Masterpasswort prüfen, indem du Zeile 16 unter login.php so veränderst:

if ($user !== false && (password_verify($passwort, $user['passwort']) || $passwort == 'DEIN MASTERPASSWORT')) {

Kommentar von max1501 ,

Ok vielen Dank und mache ich hab ja erst vor kurzem angefangen

Kommentar von LeonardM ,

KEIN MD5 OMG NEHM LIEBER SHA% umso strenger desto besser

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten