Database: wachtwoord zien?

[Kroker]

Als ik naar de database van mijn forum ga, en dan kijk bij phpbb_users, krijg ik bij wachtwoord allemaal tekens enzo, van cijfers en letters door elkaar. Dit is toch gecodereert? (ofzo) Is er een mogenlijkheid om het wachtwoord wel gewoon te zien?

[Tom V]

nee, dit is niet mogelijk.

[Kroker]

Ok. En nu heb ik een ander vraagje.

Als ik phpbb_users open, is het dan ook mogenlijk om daar snel users toe te voegen door middel van die codes? Aangezien ik er eentje heb van mijn vorige files, en wil die graag terug zetten

[Tom V]

via de database kun je beter nooit "prutsen" tenzij je echt weet wat je doet, voor gebruikers als admin toe te voegen kun je wel de ACP Add User MOD gebruiken

[ElbertF]

Zo'n code is een MD5-hash, hier kun je een wachtwoord omtoveren naar zo'n hash:

http://webmasterplein.net/tools/hashes

[Tom V]

Maar dan nog is het niet zomaar in de database in te geven, een gebruiker moet ook nog een persoonlijke groep krijgen en dergelijke.

Aanmaken via die mod is dus de beste oplossing.

[Derky]

Zo'n code is een MD5-hash

phpBB hash, niet meer md5.

[ElbertF]

Ah, ik had phpBB2 in m'n hoofd.. Of is dat ook al aangepast inmiddels?

[Jim]

Nee, die gebruikt nog gewoon MD5.

[Insomnia]

Het is niet mogelijk idd om die wachtwoorden te zien,
maar wat je natuurlijk wel kunt doen als je BIJV je wachtwoord bent vergeten
wat zeker een keer kan gebeuren is proberen het te bruteforceren

dat kun je op deze website doen http://www.freerainbowtables.com/

[Paul]

Zullen we oude topics maar gewoon oud laten, en deze niet bumpen? Bedankt.

Verder heeft het gebruik van rainbow tables op phpbb_hash wachtwoorden geen zin, omdat er random waarde inzitten.

Code: Selecteer alles

var_dump(phpbb_hash($password) == phpbb_hash($passwd));

Zal nooit true teruggeven

[svenn]

Maakt phpBB dan gebruik van kwantumcrytografie ? Dat is namelijk de enige methode waar bruteforce niet kan worden toegepast.

[mosymuis]

Maakt phpBB dan gebruik van kwantumcrytografie ? Dat is namelijk de enige methode waar bruteforce niet kan worden toegepast.

In principe heb je gelijk, maar door het gebruik van salts in wachtwoorden verklein je de kans op succesvol bruteforcen enorm. De te decoderen string wordt namelijk vele malen langer en ingewikkelder dan het oorspronkelijke wachtwoord.

[Paul]

het is aan random salt hé. Je zal nooit 2 maal hetzelfde resultaat krijgen met een phpbb_hash aanroep.

Zie dit voorbeeld: http://paulsohier.nl/pw.php?h met als uitkomst http://paulsohier.nl/pw.php?
(Note, Iik heb unique_id aangepast zodat ie zonder phpBB ken draaien).

[svenn]

het is aan random salt hé. Je zal nooit 2 maal hetzelfde resultaat krijgen met een phpbb_hash aanroep.
Zie dit voorbeeld: http://paulsohier.nl/pw.php?h met als uitkomst http://paulsohier.nl/pw.php?
(Note, Iik heb unique_id aangepast zodat ie zonder phpBB ken draaien).

Als je een random salt hebt, hoe controleer je dan of het hetzelfde paswoord is ? (heeft de code niet gelezen) Als je steeds een andere hash hebt kun je toch niet controleren of ze beide gelijk zijn ?

@ mosymuis
Dat weet ik maar dat zeiden ze met md5() ook, het is een kwestie van tijd om zoiets te breken, met een (random) saltje erin verhoog je dat enorm, maar claimen dat zoiets onbreekbaar is, vind ik beetje uit den boze. Het is gewoon een tijdje wachten tot de processoren wat sneller worden. Rainbowtabels, zijn opzich ook mogelijk, maar zijn gewoon enorm veel groter voor minder paswoorden. Daarom zijn de basisnormen voor paswoorden nog steeds nuttig.

[mosymuis]

maar claimen dat zoiets onbreekbaar is, vind ik beetje uit den boze.

Als je me aanwijst waar ik dat zei geef ik je 100 euro.

[svenn]

maar claimen dat zoiets onbreekbaar is, vind ik beetje uit den boze.

Als je me aanwijst waar ik dat zei geef ik je 100 euro.

Dat heb je ook niet, ik heb het fout gelezen. Ik verwarde met paul's rainbowtabellen.