Man kommt an das Passwort nicht ran. <- Punkt

wie schon gesagt, die passwörter werden nur gehasht abgespeichert. hast du den hash, hast du nichts. beim login wird der hash deiner eingabe gebildet und mit dem hash in der datenbank verglichen. ganz einfach.

Wenn man keine Ahnung hat, ...

Genauso ist es nämlich. Das Passwort wird nicht in der Datenbank gespeichert, sondern lediglich der MD5-Hash. Aus diesem kann man das Passwort nicht mehr rekonstruieren. Gibst Du nun ein Passwort ein, wird davon auch ein MD5-Hash erstellt und dieser mit dem gespeicherten Hash verglichen. Sind die Hashes gleich, stimmt das Passwort.

//edit: Hätte der mir nicht sagen müssen, dass schon so viele andere geantwortet haben?

Moin,

letzlich ist das Sache der Admins und des Chefs, denn da stehen auch rechtlichen Konsequenzen hinter. Jeder Nutzer ist über seine EMail erreichbar.

1#
Bei Freeemaildiensten kann es schon mal dazu kommen, dass eine Emailadresse mit zeitlichem Abstand zweimal vergeben wird, da eine vorhergehende freigeworden ist. Insofern ist das Prinzip Benutzername und Email konsequent.

2#
Bei zwei Accounts pro einer Email hilft die Email nicht weiter. Bin mir aber nicht sicher ob das vorkommt, denn eigentlich macht das wenig Sinn (Naja wenn Junghaie ins DP-Wasser gelassen werden dann kann es schon mal passieren das eine Parentalemail verwendung findet, aber das ist Theorie).

Also man könnte sich ja mal die Nutzer anschauen und vielleicht hilft das bei der Erinnerung. Oder ein Blick auf die alten Benachrichtigungsemails hilft auch (auf dem HD-Backup vielleicht).

Fazit: Find es ok, wie es ist.

Grüße // Martin

ich hoffe das die DP dies NICHT so handhabt, ansonsten bin ich weg hier und lösche meinen Account.

Diese Datenbank sollte meinen Benutzernamen, einen MD5 Hash meines Passwortes und allerhöchstens noch meine EMail speichern.

Hat man ein Passwort vergessen so muß das PHP Script folgendes machen:

1.) Benutznamen abfragen und in DB nachschlagen
2.) neues Zufallspasswort erzeugen und als MD5 Prüfsumme in diese DB eintragen
3.) dieses Zufallspasswort an die eingetragene EMail Addresse versenden, nicht irgendeine im Script abgefragte EMail
4.) unter diesem Passwort darf man sich nicht real in der DP einloggen können, sondern nur eine Seite bekommen in der man dieses Passwort ändern muss

Nur so und nicht anders darf es funktionieren. Ich habe nämlich keinen Bock darauf das durch irgendeine andere Lösung die DP meine Passwörter an alle möglichen Hacker verteilt der mein sichtbaren Benutzernamen kennt.

Noch besser wäre es wenn man bei der Anmeldung ein zusätzliches Codewort eintragen muß. Dieses wird dann beim Versenden der neuen Passwörter ebenfalls abgefragt.
Desweiteren wäre es nochmals sicherer wenn in der Datanbank neben dem MD5 Hash noch ein Zufallssalt gespeichert wäre. Bei jedem Login muß dann auf Clientseite dieser Salt bei Server abgefragt werden und dann dieser Salt + Passwort in eine MD5 Prüfsumme umgerechnet werden. Dies verhindert das Hacken der Passwörter falls die DP mal hijackt wird.

Arty, was du also möchtest reduziert die Sicherheit aller Benutzerpasswört auf NULL.

Gruß Hagen

Ich finde es übrigens schon schlimm genug, das bei einer Neuanmeldung das Passwort einmalig im Klartext per eMail verschickt wird! (Ist zumindest beim Standard-phpBB der Fall, ich hoffe das habt ihr in der DP schon rausgenommen?).

Wer mein Passwort da alles mitlesen könnte... *schauder*

NULL ist hier höchstens daß, was Du von der Frage verstanden hast ...
Es wäre KEIN Sicherheitsrisiko, wenn man bei einer erneuten Passwortanforderung anstelle des Benutzernamens die registrierte e-Mail angeben könnte. Alle Benutzernamen sind im Mitgliederverzeichnis offen einzusehen, die Mailadressen NICHT, wo ist also die potentielle Sicherheitslücke?
"Schlimmstenfalls" bekommst Du vielleicht unaufgefordert ein neues Passwort verpasst... Wobei das mit dem Benutzernamen (s.o.) deutlich leichter wäre

Ich habe auch in ein paar Foren andere bzw. leicht abgewandelte Benutzernamen, weil man eben nicht davon ausgehen kann immer "seinen" Namen zu bekommen. Cookie sei Dank war ich bisher nicht in der Situation den einen oder anderen Namen erraten zu müssen, aber wenn der mal weg ist, was dann?

*blubb*

Ich habe das eben mit meinem Account mal versucht.
Wenn ich mein Passwort vergessen habe muss ich meinen Benutzernamen und meine hinterlegte eMail-Adresse angeben.
Wenn beides übereinstimmt wird ein neues Passwort erzeugt, als MD5-Hash in der DB gespeichert und das Passwort wird an meine eMail Adresse gesendet. Bis ich dann auf den in der eMail vorhandenen Link klicke ist mein Account deaktiviert.

Zur Zeit ist es aber noch so das ich das mir gesendete Passwort nicht ändern muss. Ich frage Papa mal ob er mit Gérome spricht um dies zu ändern.

@Sharkylinchen: das mit dem aendern muessen finde ich eine gute Idee, und sag dem Franzosen gleich, dass er bei der Registrierung das Passwort nicht mitschicken soll

@Hagen: Es wird ein Aktivierungscode verlangt, der in der eMail ist. Bei der Registrierung wird der Code generiert, in der DB gespeichert und der Benutzer deaktiviert. In der eMail erhaelst du nun den Link zum Account-Aktivieren. Es waere ein leichtes diesen Code in 2 Haelften zu teilen: eine davon wird auf dem Bildschirm ausgegeben, die zweite landet in der eMail. Anstatt auf den fertigen Link zu klicken, muss man fuer die Aktivierung beide Teile eingeben. Das waer schon mal etwas.

Greetz
alcaeus

na danke auch. Versuche doch mal meine EMail Adresse rauszubekommen. Ich wette es dürfte eine einfache Suche hier in der DP nach meinem Namen ausreichen und schon solltest du meine derzeitge EMail Adresse finden können. Davon mal abgesehen ist es heute üblich seine EMail Adresse nicht zu verstecken.

So wie es jetzt ist, ist es genau richtig, alcaeus Vorschlag wäre eine sinnvolle Erweiterung.
Es geht bei der ganzen Sache primär nicht um den Schutz der Delphi Praxis Seite oder um die Sicherung der Authentizität der Posting der User hier im Forum, das ist erstmal alles sekundär.

Am wichtigsten ist der Schutz des Benutzers selber. Denn so wie ich werden viele Internet Benutzer für ihre Foren immer das gleiche Passwort benutzen. Es gibt drei Arten von Passwortbenutzern:

1.) ein einzigstes sehr langes und kompliziertes Passwort für alle Foren die der Benutzer besucht
2.) viele sehr kurze Passwörter für jedes Forum ein anderes, meistens mit Bezug auf das Forum selber
3.) viele sehr lange Passwörter für jedes Login ein anders

Usergruppe 3.) dürfte wohl am wenigsten vorkommen, schätze mal 1 User im gesammten WEB.
Die meisten Benutzer sind eine Kombination aus 1.) und 2.), sprich immer das gleiche und maximal 4 Buchstaben lange Passwort, selbst für den Account der eigenen Bank und für eBay.

Ergo: um so wichtiger wird, wenn schon die Benutzer so schluderig sind, die Verantwortung der Forenbetreiber im Umgang mit den Login Daten der Benutzer.

Gruß Hagen