Re: [TYPO3-german] Problem mit saltedpasswords und rsaauth: einige BE-User verwenden weiterhin MD5-Hash-Passwords

Thu, 29 Dec 2011 00:55:06 -0800 

On 29.12.11 09:37, Seidel, Christopher wrote:

Normalerweise sollte es ein Feld bei den Benutzern geben in

> der Datenbank welches salt oder so heißt.
Ne, das ist falsch. Das salt ist im Passworthash mit
gespeichert. Ich denke mal wenn dort keins drinsteht haben diese
Benutzer noch keins.
Siehe http://php.net/crypt und http://www.slideshare.net/StephenKing/passwrter-in-typo3-sicher-speichern-mit 


Ungesalzene Passwörter erkennst du daran, dass sie eben ein MD5-Hash 
sind (32 Hexadezimalzeichen).
Der Scheduler-Task konvertiert in einem Durchgang immer 42 Passwörter zu 
gesalzenem MD5 (des vorherigen MD5). Da müsste das Passwort dann mit $M$ 
anfangen, wenn ich mich recht entsinne. Das ist so ein eigenes 
Behelfskonstrukt, das nicht durch Standard-crypt() unterstützt wird (um 
es im normalen Sinn in ein salted-md5 zu konvertieren müsste das 
Passwort ja im Klartext vorliegen, was beim Scheduler aber nicht der 
Fall ist).



Normale salted-md5-Passwörter fangen mit $1$ an, salted blowfish mit 
$2a$ etc. In jedem Fall sagt ein $ im Passwort aus, dass es salted ist.



Sei so gut und checke das mal bitte ob (und wenn ja von welchen Usern) 
Passwörter nicht konvertiert wurden.
Der Code für den Scheduler-Task liegt in sysext/saltedpasswords/tasks/, 
der für den Report in sysext/reports/status/...securitystatus.php


Gruß
Steffen

--
Steffen Gebert
TYPO3 v4 Core Team Member
TYPO3 Server Administration Team Member

TYPO3 .... inspiring people to share!
Get involved: http://typo3.org




-----Ursprüngliche Nachricht-----
Von: typo3-german-boun...@lists.typo3.org 
[mailto:typo3-german-boun...@lists.typo3.org] Im Auftrag von Markus
Gesendet: Donnerstag, 29. Dezember 2011 09:31
An: typo3-german@lists.typo3.org
Betreff: Re: [TYPO3-german] Problem mit saltedpasswords und rsaauth: einige 
BE-User verwenden weiterhin MD5-Hash-Passwords

Am 29.12.11 02:04, schrieb Helmut Hummel:


Wie oft hast Du den scheduer Job ausgeführt? IMHO konvertiert er immer
nur eine bestimmte Anzahl Passwörter pro Durchlauf.


Ich habe es schon nicht mehr gezählt... Zig mal. Ich habe davon auch gehört. 
Aber es hat bisher nichts gebracht. Erst habe ich den Scheduler-Task immer 
wieder neu per Hand gestartet, dann auch nochmal für 2 Tage lang alle 30 
Minuten automatisiert. Keine Besserung. Die Meldung erscheint weiterhin, dass 
einige User noch ungesalzene MD5-Hashes verwenden..

Wir haben knapp 40 FE-User und ca. 10 BE-User...

Wie kann ich denn feststellen, welche User ein Salted- und welche ein normales 
Passwort verwenden?

Viele Grüße

Markus
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german



_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german





















					Antwort per Email an