[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Passwort Md5 und Salt

Subject: Re: Passwort Md5 und Salt
From: Raphael Becker <rabe@xxxxxxxxx>
Date: Wed, 29 Oct 2008 16:57:31 +0100
To: uugrn@xxxxxxxxxxxxxxx
On Tue, Oct 28, 2008 at 10:15:15AM +0100, Markus Bucher wrote:
> wir ueberlegen, ob es moeglich ist, Userdaten einer vBulletin-Datenbank in 
> ein CMS zu ueberfuehren, das die Passwoerter ohne Salt speichert.
> die Passwoerter bei vb werden so gespeichert md5(md5('pass').salt), in 
> unserem CMS mit md5('pass').

Du hast in der vBulletin-Datenbank Hashwerte, von denen Du nur weisst,
wie sie GEBILDET wurden. 

Du schreibst allerdings, dass Du die Daten "ueberfuehren" willst in ein
System, was eine andere Hashfunktion / Regel verwendet. Das duerfte Dir
ohne das Wissen um die Klartextpassworte in VB nicht gelingen. Wenn Du
die Klaretxtpassworte kennst, dann sollte es allerdings kein Problem
darstellen, die Accounts in ein nahezu beliebiges anderes System zu
transportieren.

> Ich brauche nur eine Bestaetigung, dass man unter keinen Umstaenden auf 
> das md5('pass') zurueck schliessen kann, wenn man den Saltwert kennt. Ist 
> doch so, oder doch nicht?

Es gibt praktisch keine Moeglichkeit, das md5("pass") zu erraten, wenn
man nur md5(md5('pass').salt) kennt, denn md5 ist nicht umkehrbar. 

Du koenntest allerdings das vBulletin dahingehend "aufbohren", dass es
bei einem erfolgreichen User-Login das Wertepaar
username:md5('geheim') wegschreibt, denn im PHP-Context kann man den
Wert, der aus dem Loginformular kommt im Klartext ("geheim") abfragen. 
Somit koenntest Du alle User ins neue System exportieren, die sich einmal
erfolgreich am vBulletin eingeloggt haben.
 
Allerdings: Die allermeisten Systeme kennen Schnittstellen, um sich
extern zu authentifizieren (SSO), zB koennte man ein mediawiki-Login 
an ein Gallery2-Cookie haengen, wenn der User dort einen gueltigen 
Login hat, dazu muss der Code in mediawiki entsprechend angepasst 
werden, es gibt dafuer dummy-Methoden. Ein Passwort-transport ist hier
dann nicht mehr erforderlich. 

HTH

Gruss
Raphael
-- 
Raphael Becker          <rabe@xxxxxxxxx>          http://rabe.uugrn.org/
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..



--
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/