Franklin 0 Report post Posted March 13, 2004 Hallo IB-Freunde, in meinem Forum kommt es sehr häufig vor, dass User ihr Passwort vergessen haben und neuanfordern. Der Ablauf ist ja immer sehr umständlich und bringt enorme Hindernisse.. Erst muss man den Link der eMail lesen und ein neues Passwort generieren. Das Problem ist dann auch, dass der User aus seiner Usergroup, fliegt und wieder als normales Mitglied erscheint... Es wäre doch ideal, wenn man dem User einfach ne Mail schickt Dein Loginname lautet: XXXXXX Dein Passwort lautet: XXXXX Dann kann er zuück ins Board und sich "normal" einloggen. Sicherheitsproblem sehe ich nicht, da es ja nur an das Mitglied, also seine registriert Mailadresse geht. Und wenn sich jemand ein Scherz erlaubt ist es ja auch kein problem, weil sich ja nichts ändert. Gibt es dazu bereits einen MOD oder vielleicht sogar eine Einstellung im ACP, die ich übersehen habe? Viele Grüße, Franklin Share this post Link to post
Stefan 0 Report post Posted March 13, 2004 Man kann ihm leider nicht sein Passwort zusenden, denn es ist mittels MD5 verschlüsselt in der Datenbank abgelegt. Dies ist eine Einwegverschlüsselung, sprich man kann es nicht mehr rückgängig machen und somit muß ein neues Passwort angelegt werden. Nebenbei, ist mir nicht bekannt, das der User, nachdem er sein Passwort geändert hat, nicht mehr in der eigentlichen Gruppe verweilt. Nach erfolgreicher Durchführung sollte wieder alles beim alten sein. Share this post Link to post
Franklin 0 Report post Posted March 13, 2004 Hallo Stefan, vielen Dank für die Info. Doch, der User fliegt in den Aktivierungsprozess und nach Aktivierung ist er immer Member. (ib1.3f) Irgendwie schade, dass das Passwort so verschlüsselt wird und vom System nicht mehr zurückgelesen werden kann. Wenn ein System ja beim Login den Vergleich durchführt und müsste es doch eigentlich entschlüsselt werden können... Gruß, Franklin Share this post Link to post
Stefan 0 Report post Posted March 13, 2004 Wenn ein System ja beim Login den Vergleich durchführt und müsste es doch eigentlich entschlüsselt werden können... Wenn du dich mit deinem Passwort einloggst, dann wird es ebenfalls md5 verschlüsselt und dieser Hash-Wert mit dem aus der Datenbank verglichen. Ich schau mir die Funktion aber nochmal in Ruhe an, dann kann ich dir genauer sagen, was man da ändern kann. :) Share this post Link to post
Blackman 0 Report post Posted March 13, 2004 (edited) Alles was man machen könnte, wärer das Passwort unverschlüsselt bei JEDEM zu speichern, dann kann mans auch jedem zusenden, aber das birgt halt Sicherheitsrisiken, und ich könnte mir vorstellen das das die User ned wollen. Es ist wohl schon gut so, das auch der Administrator eines Boardes mein Passwort nicht einfach sehen kann ... Als Alternative könntest du seinen MD5-Hash natürlich knacken ... ...nur brauchst du für Passwörter (A-Z a-z und 0-9) mit 6 Zeichen schonmal ca. nen Tag ... Ist wohl auch nicht so prickelnd ! Wenn man nun berechnet das diese Dauer natürlich überproportional steigt, kannste damit rechnen, das Passwörter, so wie ich sie zum Beispiel verwende, mit 13 Zeichen, naja, so ein Monat mindestens brauchen ... *G* Also, gibts eigentlich nur eine Möglichkeit: Schaff dir User an, die nicht so blö* sind, und Ihre Passwörter vergessen ! :teehee: Edited March 13, 2004 by Blackman Share this post Link to post
sacharja 0 Report post Posted March 14, 2004 (edited) Hallo Blackman ich glaube du hast eine bischen falsche Vorstellung von der Sicherheit von Passwörtern. Ich habs mal ausprobiert (A-Za-z0-9): 5 Zeichen ca. 1h 6 Zeichen ca. 2,5d 7 Zeichen ca. 130d 8 Zeichen ca. 8000d 9 Zeichen ca. 530000d ... Wenn du bei 9 Zeichen schon über 1500 Jahre rechnen musst (3ghz) kannst du dir vorstellen wie lange das bei 13 Zeichen dauert Könnte aber schon anders aussehen wenn es die ersten Quantencomputer gibt. Das dürfte aber noch eine ganze Weile dauern. Gruß PS: Für phpbb gibt es glaube ich ein Mod, der nur 3 Logins in einer bestimmten Zeit erlaubt. Gibt es das fürs IPB auch? Edited March 14, 2004 by sacharja Share this post Link to post