Discussion:
Passwort in Klartext als Backup
(zu alt für eine Antwort)
Heiko Rompel
2012-08-01 14:57:14 UTC
Permalink
Hallo,

eine Userdatenbank soll Umziehen.
Nicht nur der ISP wird ein anderer, sondern auchh die MySQL-Version.

Normalerweise liegen die Passwörter der User verschlüsselt in der Datenbank.
Wenn ich jetzt diese Datenbank einfach sicherer und in das neue MySQL
einspiele, sollte das dannn problemlos gehen oder muss ich die
Passwörter vorher irgendwie in Klartext wandeln?

MfG
Heiko
Thomas 'PointedEars' Lahn
2012-08-01 15:08:40 UTC
Permalink
eine Userdatenbank soll Umziehen. Nicht nur der ISP wird ein anderer,
sondern auchh die MySQL-Version.
Normalerweise liegen die Passwörter der User verschlüsselt in der
Datenbank. Wenn ich jetzt diese Datenbank einfach sicherer und in das neue
MySQL einspiele, sollte das dannn problemlos gehen oder muss ich die
Passwörter vorher irgendwie in Klartext wandeln?
Zweimal nein. Umwandeln kannst Du sie auch nicht, da es sich um Hashing
(d. h. einen Prüfsummenalgorithmus) und _nicht _um Verschlüsselung handelt
(die wäre nämlich reversibel).

RTFM: <http://dev.mysql.com/doc/refman/5.1/de/password-hashing.html>
--
PointedEars

Please do not Cc: me. / Bitte keine Kopien per E-Mail.
Heiko Rompel
2012-08-01 19:20:14 UTC
Permalink
Post by Thomas 'PointedEars' Lahn
Zweimal nein. Umwandeln kannst Du sie auch nicht, da es sich um Hashing
(d. h. einen Prüfsummenalgorithmus) und _nicht _um Verschlüsselung handelt
(die wäre nämlich reversibel).
RTFM: <http://dev.mysql.com/doc/refman/5.1/de/password-hashing.html>
Im Manual steht, das die Hashes von 16Byte auf 41 Byte geändert wurden.
Die Hash-Werte in der Tabelle sind 32 Byte lang.
Ist sind KEINE MySQL-Passwörter, sondern anscheinend durch das
PHP-Script erzeugte.
Wenn ich google richtig verstehe, dann sind das MD5-Werte.

Also, muss ich versuchen das ursprüngliche Script zu verstehen.

Gruß HEiko
Thomas 'PointedEars' Lahn
2012-08-01 20:09:10 UTC
Permalink
^^^^^^

Das stört nur, bitte weglassen.
Post by Heiko Rompel
Post by Thomas 'PointedEars' Lahn
Zweimal nein. Umwandeln kannst Du sie auch nicht, da es sich um Hashing
(d. h. einen Prüfsummenalgorithmus) und _nicht _um Verschlüsselung
handelt (die wäre nämlich reversibel).
Bitte stell Deinen Thunderbird richtig ein. An den verstümmelten Stellen
standen mal Umlaute. In de.test und de.comm.software.mozilla.mailnews
findest Du weitere Information.
Post by Heiko Rompel
Post by Thomas 'PointedEars' Lahn
RTFM: <http://dev.mysql.com/doc/refman/5.1/de/password-hashing.html>
Im Manual steht, das die Hashes von 16Byte auf 41 Byte geändert wurden.
Ja, von MySQL 4.0 zu 4.1. Die Frage ist, mit welchen Versionen Du es zu tun
hast. Sollte die alte DB tatsächlich noch eine MySQL-4.0-Datenbank sein,
musst Du noch ganz andere Probleme lösen als nur die Passworthashes. Das
steht auch im Handbuch bzw. den Handbüchern für die jeweilige MySQL-Version
IIRC unter "Upgrade von MySQL $alteVersion zu $neueVersion".
Post by Heiko Rompel
Die Hash-Werte in der Tabelle sind 32 Byte lang.
Ist sind KEINE MySQL-Passwörter, sondern anscheinend durch das
PHP-Script erzeugte.
OK. Bei weiteren Fragen wäre dann die Angabe des Scripts bzw. der
Webapplikation hilfreich, sofern es kein Eigenbau ist.
Post by Heiko Rompel
Wenn ich google richtig verstehe, dann sind das MD5-Werte.
Gut möglich. Mit der md5()-Funktion von PHP 5.3.10 generierte MD5-Hashes
sind jedenfalls 32 Bytes (256 Bit) lang.
Post by Heiko Rompel
Also, muss ich versuchen das ursprüngliche Script zu verstehen.
Auch wenn es grundsätzlich eine gute Idee ist, keine Software einzusetzen,
die man nicht versteht: In dem Fall kannst Du wahrscheinlich die
Passwortdaten einfach übernehmen. Denn an der Applikation ändert sich ja
bei der Migration nichts, oder? Versuch macht kluch.

Es sei denn, auch die PHP-Versionen unterscheiden sich, dann solltest Du im
PHP-Handbuch nachlesen, ob sich zwischen den beiden PHP-Versionen an der
md5()-Funktion etwas geändert hat. Falls ja, hast Du ein Problem[tm], denn
dann wird Dir nichts anderes übrig bleiben, als die Hashes zu erraten (dafür
gibt es Programme wie z. B. Crack(8), kann aber lange dauern) oder die
Passwörter neu zu vergeben (und alle Nutzer zu benachrichtigen). Weitere
Fragen dazu solltest Du in de.comp.lang.php stellen; mit MySQL hat das dann
nichts zu tun.

HTH
--
PointedEars

Please do not Cc: me. / Bitte keine Kopien per E-Mail.
Bastian Blank
2012-08-02 09:15:39 UTC
Permalink
Post by Heiko Rompel
Im Manual steht, das die Hashes von 16Byte auf 41 Byte geändert wurden.
Das ist der MySQL-Passwort-Hash.
Post by Heiko Rompel
Die Hash-Werte in der Tabelle sind 32 Byte lang.
Ist sind KEINE MySQL-Passwörter, sondern anscheinend durch das
PHP-Script erzeugte.
Wenn ich google richtig verstehe, dann sind das MD5-Werte.
Und in dieser Form unsicher, einfach den Hash bei Google einwerfen. Du
darfst also sowieso mal alle User neue Passwörter wählen lassen und
diese dann mit einem brauchbaren Algorithmus hashen.

Bastian
Niels Braczek
2012-08-02 12:36:51 UTC
Permalink
Post by Bastian Blank
Post by Heiko Rompel
Wenn ich google richtig verstehe, dann sind das MD5-Werte.
Und in dieser Form unsicher, einfach den Hash bei Google einwerfen. Du
darfst also sowieso mal alle User neue Passwörter wählen lassen und
diese dann mit einem brauchbaren Algorithmus hashen.
Das ist - so wie's hier steht - Blödsinn. MD5 stellt nur dann ein
potenzielles Problem dar, wenn es nicht in Verbindung mit einem Salt
verwendet wird.

MfG
Niels
--
| http://barcamp-wk.de · 2. Barcamp Westküste Frühjahr 2013 |
| http://www.bsds.de · BSDS Braczek Software- und DatenSysteme |
| Webdesign · Webhosting · e-Commerce · Joomla! Content Management |
------------------------------------------------------------------
Bastian Blank
2012-08-02 15:07:21 UTC
Permalink
Post by Niels Braczek
Post by Bastian Blank
Post by Heiko Rompel
Wenn ich google richtig verstehe, dann sind das MD5-Werte.
Und in dieser Form unsicher, einfach den Hash bei Google einwerfen. Du
darfst also sowieso mal alle User neue Passwörter wählen lassen und
diese dann mit einem brauchbaren Algorithmus hashen.
Das ist - so wie's hier steht - Blödsinn. MD5 stellt nur dann ein
potenzielles Problem dar, wenn es nicht in Verbindung mit einem Salt
verwendet wird.
32 Zeichen sind 16 Byte == 128 Bit Information. Zusätzlich sieht man das
Pattern "md5($password)" in so verdammt vielen PHP-Anwendungen. MD5 hat
128 Bit, der Salt kommt noch dazu, müsste also insgesammt länger werden.

Bastian
Thomas 'PointedEars' Lahn
2012-08-02 15:21:54 UTC
Permalink
Post by Bastian Blank
Post by Niels Braczek
Post by Bastian Blank
Post by Heiko Rompel
Wenn ich google richtig verstehe, dann sind das MD5-Werte.
Und in dieser Form unsicher, einfach den Hash bei Google einwerfen. Du
darfst also sowieso mal alle User neue Passwörter wählen lassen und
diese dann mit einem brauchbaren Algorithmus hashen.
Das ist - so wie's hier steht - Blödsinn. MD5 stellt nur dann ein
potenzielles Problem dar, wenn es nicht in Verbindung mit einem Salt
verwendet wird.
32 Zeichen sind 16 Byte == 128 Bit Information. Zusätzlich sieht man das
Pattern "md5($password)" in so verdammt vielen PHP-Anwendungen. MD5 hat
128 Bit, der Salt kommt noch dazu, müsste also insgesammt länger werden.
Das ist richtig (siehe
<http://php.net/manual/en/faq.passwords.php#faq.passwords.fasthash>), Dein
ursprünglicher Kommentar ist in dieser Form aber trotzdem Blödsinn.

Du weisst schon mal gar nicht, wie – das heisst, durch welche Software – der
Passworthash erzeugt wurde, d. h. ob Heiko sie geschrieben hat oder nicht
(wahrscheinlich eher nicht, denn in de.comp.lang.php schreibt er, dass er
keine Ahnung von PHP habe), und falls nicht, ob er, selbst wenn er von den
Fähigkeiten her dazu in der Lage wäre, auch die Möglichkeit dazu hat (nicht
jede Websoftware ist frei und unverschlüsselt).

Es geht hier nicht primär darum, Software abzusichern, sondern Software so
zu *migrieren*, dass sie auch nach der Migration noch funktioniert.
*Danach* kann man sich immer noch um allfällige Sicherheitsprobleme kümmern,
zum Beispiel durch Setzen einer Einstellung in der Webapplikation oder
Upgrade derselben. Dein Einwurf geht daher am aktuellen Problem weit
vorbei, und mit Deiner Beschreibung, was Heiko zu tun habe, gehst Du von
fchsalen Voraussetzungen aus. Genauer: Es ist FUD. Lass das bitte.
--
PointedEars

Please do not Cc: me. / Bitte keine Kopien per E-Mail.
Heiko Rompel
2012-08-02 21:05:36 UTC
Permalink
Moin,
Du weisst schon mal gar nicht, wie – das heisst, durch welche Software – der
Passworthash erzeugt wurde, d. h. ob Heiko sie geschrieben hat oder nicht
(wahrscheinlich eher nicht, denn in de.comp.lang.php schreibt er, dass er
keine Ahnung von PHP habe)
Nein das Script habe ich nicht geschrieben.
Bedingt durch den Umzug einer Homepage versuche ich php-code der eine
Ehmaligenschülerdatenbank verwaltet wieder zu aktivieren.
Es geht hier nicht primär darum, Software abzusichern, sondern Software so
zu *migrieren*, dass sie auch nach der Migration noch funktioniert.
Genau das ist das Problem. Ich habe das ursprüngliche Script und die
MySQL-Daten.
Ich habe jetzt XAMMP installiert, die Daten in MySQL eingelesen und im
Script die Zugangsdaten entsprechend eingetragen.

Aber, nach dem Eingeben der Userdaten scheint des Script in einer
Endlosschleife zu hängen.

Gruß HEiko

Lesen Sie weiter auf narkive:
Loading...