Wie kann ich in PHP in ein login script ein Masterpasswort einfügen?

...komplette Frage anzeigen

2 Antworten

Also vorab würde ich an deiner stelle wenn du schon wenig ahnung hast und es um sowas hochfrequent sicheres gehen muss jemanden beauftragen.. schau dir mal das logout script an.. einmal das ticket abgefangen von nem benutzer kannst du es dein leben lang benutzen als angreifer weils nicht aus der zugelassenen Liste gelöscht wird. Und generell so wenige Sicherheitschecks sind schon mickrig wenns wirklich sicher sein soll.. hab mir nur login und logout angesehen hat mir schon gereicht.. und du könntest bevor du das passwort prüfst einfach prüfen ob post passwort deinem masterpasswort entspricht oder sogar via ODER in der prüfzeile das masterpass prüfen.das das ziemlich unsicher ist dürfte auch klar sein. Hau rein!

Antwort bewerten Vielen Dank für Deine Bewertung

Ein Matsterpassword ist sicherheitstechnisch keine gute Idee, geschweige denn fair den Benutzern gegenüber. Wieso benötigst du denn Zugang zu allen Benutzern?

Antwort bewerten Vielen Dank für Deine Bewertung
max1501 15.10.2016, 21:35

Ich weiß das es unsicher ist  und die benutzer wissen es auch. Bei den benutzern sind tabellen die halt der systemadmin auslesen darf bzw. soll

0
langmattis 15.10.2016, 21:39

Dann benötigst du doch kein Masterpassword. Lies die Tabellen doch einfach direkt in der Datenbank aus (MySQL, MariaDB oder was du verwendest). Dann gibt es sicherheitstechnisch keine Bedenken mehr. Was entwickelst du denn wenn ich fragen darf? :)

0
max1501 15.10.2016, 21:52
@langmattis

Geht nicht da noch eine Person die über mir steht das auch sehen muss/soll und die kennt sich da nicht so aus und das Masterpasswort wäre hal nur für diese Person

0
langmattis 15.10.2016, 22:01

Naja dann prüfst du in der abfrage einfach ob es ein passswort aus der Datenbank oder das Masterpassword in MD5-gehashter Form ist. Bitte leg auch die Passwörter mindestens als MD5-Hash ab, dass ist zumindest etwas sicherer als blank.

0
max1501 15.10.2016, 22:03

Ja aber wie? Muss ich dann in der Login.php bei Passwort überprüfen irgendwie or "Passwort" oder wo muss das hin bzw. Wie mache ich das

0
langmattis 15.10.2016, 22:11
@max1501

Die Frage ist wie prüfst du das normale Passwort des Benutzers. Dieser gibt ja eine Email und ein Passwort ein oder? Und die Passwörter sind in der DB hinterlegt?

0
max1501 15.10.2016, 22:14

Genau aber gehe mal auf den Link oben und gucke dir die Login.php an da steht das auch nochmal.

0
langmattis 15.10.2016, 22:30
@max1501

Das Loginscript ist aber nicht von dir, oder? Ich würde dir empfehlen dich intensiver mit dem Thema HTML/CSS/JS/PHP auseinandersetzen, wenn du wirklich etwas entwickeln willst, mit zusammenkopieren wirst du nicht weit kommen.

Du kannst nach einem Masterpasswort prüfen, indem du Zeile 16 unter login.php so veränderst:

if ($user !== false && (password_verify($passwort, $user['passwort']) || $passwort == 'DEIN MASTERPASSWORT')) {

0
max1501 15.10.2016, 22:34
@langmattis

Ok vielen Dank und mache ich hab ja erst vor kurzem angefangen

0
LeonardM 16.10.2016, 10:02

KEIN MD5 OMG NEHM LIEBER SHA% umso strenger desto besser

0

Was möchtest Du wissen?