WBB: Passwörter im Klartext darstellen?

futtlui · 28.12.2004

Gibt es für das WBB (oder auch für's phpBB oder vB) derzeit einen Hack, der dem Admin erlaubt, die user-Passwörter im Klartext zu sehen?
Ich hab dafür keinen Bedarf, aber es würde mich mal interessieren, ob dafür ein fertiger Hack im Umlauf ist und daher (wenn ich überall das gleiche Passwort benutze) die Gefahr besteht, daß der Admin von Board X theoretisch in der Lage ist, sich mit meinem Account auf Board Y anzumelden.

Sowohl beim phpBB als auch beim vB werden die Passwörter nur als MD5-Hash gespeichert, aber gerade für das BurningBoard gibt's ja so einige zweifelhafte Modifikationen.

Ich bin mir bewusst, daß es auch bei allen anderen Boards möglich ist sowas einzubauen. Da ich es gewissen Leuten aber nicht zutraue, sowas selbst umzusetzen geht's mir nur um die Frage, ob es dafür ne vorbereitete Lösung gibt.

Weiß jemand von Euch bescheid??

guzi · 28.12.2004

hallo

zwar sind welche skripte im netz zu finden aber ob sie was taugen, kann ich nicht sagen. auch auf datenbanken wo man nach dem hash suchen kann bin ich gestossen. ich konnte aber kein passwort zurückgewinnen.

aus neugier habe ich ein skript geschrieben und konnte aus dem hash-wert das passwort zurückgewinnen. das pw bestand aus buchstaben (gross und klein), zahlen und sonderzeichen. das skript hat zwar einige minuten gebraucht.

vielleicht muss ich doch mal die pw ändern

futtlui · 28.12.2004

aus einem Hashwert kann man kein Pass zurückgewinnen - zumindest kein eindeutiges, weil verschiedene Klartext-Kombinationen den gleichen Hashwert ergeben. Das ist ja der Trick dabei.

Ich hatte auch keine Decodierung von Hashwerten gemeint sondern die Modifikation einer Board-Software dahingehend, daß die Passwörter garnicht erst als Hash in der Datenbank gespeichert werden sondern als Klartext.

Stefan · 28.12.2004

Sowohl beim phpBB als auch beim vB werden die Passwörter nur als MD5-Hash gespeichert

Nee, bei vB ist das ein wenig komplizierter gelöst!
Vom Passwort wird zwar ein Hash gespeichert, der wird aber folgendermaßen erstellt:

Das Passwort wird MD5 verschlüsselt. Dann werden an den Hash noch drei Zeichen angehängt (stehen im User-Datensatz im Feld "Salt" (wird bei der Anmeldung zufällig festgelegt)), und diese Zeichenfolge wird dann noch einmal mit MD5 verschlüsselt.
Somit muss man den Hash quasi zwei mal knacken, und den "Salt"-Wert des Benutzers kennen.
Ziehmlich aussichtslos, wenn man das knacken muss.

Zum Thema:

Ich hatte auch keine Decodierung von Hashwerten gemeint sondern die Modifikation einer Board-Software dahingehend, daß die Passwörter garnicht erst als Hash in der Datenbank gespeichert werden sondern als Klartext.

Das ist bei jeder Board-Software möglich, von der man den Quelltext kennt.
Allerdings denke ich eher, dass die Modifikation dahingehend, dass das Passwort im Klartext gespeichert wird, sehr aufwändig ist.
Einfacher wäre, das Passwort bei Änderung an geeigneter Stelle abzufangen, und dann z.B. per eMail sonstwohin zu schicken, und danach die Board-Software das Passwort ganz normal verschlüsseln zu lassen, und sie "normal" weiter arbeiten zu lassen.

futtlui · 29.12.2004

erstmal danke für die Antworten aber anscheinend hab ich mich nicht klar genug ausdrückt.
Mir ist mehr oder weniger egal, wie das vB die Passwörter speichert und ich weiß, daß es möglich ist, Boards zu Modifizieren (siehe oben) oder einen anderen Abfangmechanismus einzubauen.

Was mich interessiert: sind Hacks im Umlauf, die einem WBB-Betreiber ermöglichen, auf die Klartext-Passwörter zuzugreifen?
Mehr nicht.

BTW ist es unmöglich einen Hashwert zu "knacken"!!
Die Eingabevarianten übersteigen die Möglichkeiten eines 128 Bit-Strings um ein Vielfaches. Daher gibt es zwangsläufig - wenn auch selten sichtbar - Kollisionen (=gleiche Hashwerte für unterschiedliche Eingaben)

Zombie79 · 30.12.2004

So einen Hack kann man in kurzer Zeit in jedes PHP-basierte Board einbauen.

Man muss dazu nur eine zusätzliche Tabelle anlegen (oder eine Spalte in die User-Tabelle einfügen), in der das Klartextpasswort gespeichert wird. Das Passwort muss dann beim Anlegen des Accouns und bei jeder Änderung dort aktualisiert werden. Man könnte es auch bei jedem erfolgreichen Login des Users dort ablegen. Um dies zu realisieren, sind nur geringe Kenntnisse in PHP nötig. Ich kenne keinen fertigen Hack dafür, kann mir aber gut vorstellen, dass so etwas auf manchen Boards eingesetzt wird.

Solche Boards sind also in dieser Hinsicht potentiell unsicher und das dort eingesetzte Passwort sollte man nicht an anderen Stellen verwenden.

virtualwesti · 30.12.2004

Zombie79 schrieb:
So einen Hack kann man in kurzer Zeit in jedes PHP-basierte Board einbauen.

Man muss dazu nur eine zusätzliche Tabelle anlegen (oder eine Spalte in die User-Tabelle einfügen), in der das Klartextpasswort gespeichert wird. Das Passwort muss dann beim Anlegen des Accouns und bei jeder Änderung dort aktualisiert werden. Man könnte es auch bei jedem erfolgreichen Login des Users dort ablegen. Um dies zu realisieren, sind nur geringe Kenntnisse in PHP nötig. Ich kenne keinen fertigen Hack dafür, kann mir aber gut vorstellen, dass so etwas auf manchen Boards eingesetzt wird.

Solche Boards sind also in dieser Hinsicht potentiell unsicher und das dort eingesetzte Passwort sollte man nicht an anderen Stellen verwenden.

Ist ja interresant.
So einfach geht soetwas, ja? Finde ich nicht gut soetwas. Warum sollten PWs der User für ein dritten zu sehen sein? Welchen sinn hätte dies?
Gruß Virtual

virtualwesti · 30.12.2004

Zombie79 schrieb:
So einen Hack kann man in kurzer Zeit in jedes PHP-basierte Board einbauen.

Man muss dazu nur eine zusätzliche Tabelle anlegen (oder eine Spalte in die User-Tabelle einfügen), in der das Klartextpasswort gespeichert wird. Das Passwort muss dann beim Anlegen des Accouns und bei jeder Änderung dort aktualisiert werden. Man könnte es auch bei jedem erfolgreichen Login des Users dort ablegen. Um dies zu realisieren, sind nur geringe Kenntnisse in PHP nötig. Ich kenne keinen fertigen Hack dafür, kann mir aber gut vorstellen, dass so etwas auf manchen Boards eingesetzt wird.

Solche Boards sind also in dieser Hinsicht potentiell unsicher und das dort eingesetzte Passwort sollte man nicht an anderen Stellen verwenden.

Ist ja interresant.
So einfach geht soetwas, ja? Finde ich nicht gut soetwas. Warum sollten PWs der User für ein dritten zu sehen sein? Welchen sinn hätte dies?
Gruß Virtual

fox99 · 30.12.2004

benutzt du für jeden account ein anderes passwort? email, powerforen,...

falls nein, könnte man mit dem einen pw. recht viel blödsinn machen.

virtualwesti · 30.12.2004

fox99 schrieb:
benutzt du für jeden account ein anderes passwort? email, powerforen,...

falls nein, könnte man mit dem einen pw. recht viel blödsinn machen.

Mir ist das klar, betreue im Moment 6 Inetcafe Netzwerke in Berlin, da sind unbedingt unterschiedliche PWs angesagt

Ich meine eher warum sollte der Admin eines Boardes die PWs ihrer User zu sehen haben?
Gruß Virtual

fox99 · 30.12.2004

aus admin- oder benutzer-sicht?

adminsicht:
um leute auszuspionieren, um an geheime daten zu kommen,...

virtualwesti · 30.12.2004

Tja gibt halt solche und solche. Mir würde soetwas nicht in den Sinn kommen. Habe ja auch son WBB-Board.
Gruß Virtual

fox99 · 30.12.2004

ich denke es gibt gründe dafür, warum passwörter nicht im klartext gespeichert werden sollten.

Stefan · 30.12.2004

fox99 schrieb:
aus admin- oder benutzer-sicht?

adminsicht:
um leute auszuspionieren, um an geheime daten zu kommen,...

Aus Admin-Sicht braucht man überhaupt kein Passwort der Benutzer!
Alle Posts/PNs/... sind unverschlüsselt in der Datenbank gespeichert, und man kann die jederzeit lesen.

Ich könnte mir nur vorstellen, dass der Admin die Passwörter anderweitig verwenden will.

futtlui · 30.12.2004

Genau. zum Beispiel wie oben beschrieben:

futtlui schrieb:
und daher (wenn ich überall das gleiche Passwort benutze) die Gefahr besteht, daß der Admin von Board X theoretisch in der Lage ist, sich mit meinem Account auf Board Y anzumelden.

@Zombie79
Danke aber :zzz:

die Frage war nicht ob und wie das möglich ist (hatte ich das nicht mehrfach gesagt?) sondern ob die typischen Betreiber - vor allem beim WBB - in ihren gängigen Hack-Datenbanken ne vorgefertigte Anleitung drinhaben.

Micha · 31.12.2004

Würde mich auch mal interessieren.

Zombie79 · 01.01.2005

futtlui schrieb:
[...] die Frage war nicht ob und wie das möglich ist (hatte ich das nicht mehrfach gesagt?) sondern ob die typischen Betreiber - vor allem beim WBB - in ihren gängigen Hack-Datenbanken ne vorgefertigte Anleitung drinhaben.

Diese Frage kann ich nicht beantworten, denn ich habe nicht danach gesucht. Ich wollte nur klarstellen, dass es keine Kunst ist, in ein offenes System (der Code ist ja offen zugänglich) so etwas einzubauen.

PS: Schonmal etwas davon gehört? *duck*

futtlui · 01.01.2005

Zombie79 schrieb:
Ich wollte nur klarstellen, dass es keine Kunst ist, in ein offenes System (der Code ist ja offen zugänglich) so etwas einzubauen.

Jahaaa! Die Info hätte ich auch sehr begrüßt, wenn es nicht schon in meinem ersten Posting stehen würde.

Zombie79 schrieb:
PS: Schonmal etwas davon gehört? *duck*

Wird mir wohl nichts anderes übrig bleiben.
Ich dachte, weil ja bestimmt auch ein paar WBB-Betreiber hier verkehren ist es so einfacher und schneller - konnte ja nicht ahnen, daß das so ne Arie wird...
:weiss:

Micha · 15.04.2006

Der milw0rm md5 cracker - der findet es meistens raus.

http://www.milw0rm.com/cracker/list.php

WBB: Passwörter im Klartext darstellen?

futtlui

guzi

futtlui

Stefan

futtlui

Zombie79

virtualwesti

virtualwesti

fox99

virtualwesti

fox99

virtualwesti

fox99

Stefan

futtlui

Micha

Zombie79

futtlui

Micha

WBB: Passwörter im Klartext darstellen?

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums