[TYPO3-german] Problem mit saltedpasswords und rsaauth: einige BE-User verwenden weiterhin MD5-Hash-Passwords

Steffen Gebert steffen.gebert at typo3.org
Thu Dec 29 09:53:00 CET 2011


On 29.12.11 09:37, Seidel, Christopher wrote:
> Normalerweise sollte es ein Feld bei den Benutzern geben in
 > der Datenbank welches salt oder so heißt.
Ne, das ist falsch. Das salt ist im Passworthash mit
gespeichert. Ich denke mal wenn dort keins drinsteht haben diese
Benutzer noch keins.
Siehe http://php.net/crypt und 
http://www.slideshare.net/StephenKing/passwrter-in-typo3-sicher-speichern-mit

Ungesalzene Passwörter erkennst du daran, dass sie eben ein MD5-Hash 
sind (32 Hexadezimalzeichen).
Der Scheduler-Task konvertiert in einem Durchgang immer 42 Passwörter zu 
gesalzenem MD5 (des vorherigen MD5). Da müsste das Passwort dann mit $M$ 
anfangen, wenn ich mich recht entsinne. Das ist so ein eigenes 
Behelfskonstrukt, das nicht durch Standard-crypt() unterstützt wird (um 
es im normalen Sinn in ein salted-md5 zu konvertieren müsste das 
Passwort ja im Klartext vorliegen, was beim Scheduler aber nicht der 
Fall ist).

Normale salted-md5-Passwörter fangen mit $1$ an, salted blowfish mit 
$2a$ etc. In jedem Fall sagt ein $ im Passwort aus, dass es salted ist.

Sei so gut und checke das mal bitte ob (und wenn ja von welchen Usern) 
Passwörter nicht konvertiert wurden.
Der Code für den Scheduler-Task liegt in sysext/saltedpasswords/tasks/, 
der für den Report in sysext/reports/status/...securitystatus.php

Gruß
Steffen

-- 
Steffen Gebert
TYPO3 v4 Core Team Member
TYPO3 Server Administration Team Member

TYPO3 .... inspiring people to share!
Get involved: http://typo3.org


>
> -----Ursprüngliche Nachricht-----
> Von: typo3-german-bounces at lists.typo3.org [mailto:typo3-german-bounces at lists.typo3.org] Im Auftrag von Markus
> Gesendet: Donnerstag, 29. Dezember 2011 09:31
> An: typo3-german at lists.typo3.org
> Betreff: Re: [TYPO3-german] Problem mit saltedpasswords und rsaauth: einige BE-User verwenden weiterhin MD5-Hash-Passwords
>
> Am 29.12.11 02:04, schrieb Helmut Hummel:
>
>> Wie oft hast Du den scheduer Job ausgeführt? IMHO konvertiert er immer
>> nur eine bestimmte Anzahl Passwörter pro Durchlauf.
>
> Ich habe es schon nicht mehr gezählt... Zig mal. Ich habe davon auch gehört. Aber es hat bisher nichts gebracht. Erst habe ich den Scheduler-Task immer wieder neu per Hand gestartet, dann auch nochmal für 2 Tage lang alle 30 Minuten automatisiert. Keine Besserung. Die Meldung erscheint weiterhin, dass einige User noch ungesalzene MD5-Hashes verwenden..
>
> Wir haben knapp 40 FE-User und ca. 10 BE-User...
>
> Wie kann ich denn feststellen, welche User ein Salted- und welche ein normales Passwort verwenden?
>
> Viele Grüße
>
> Markus
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german




More information about the TYPO3-german mailing list