Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Htaccess - Passwort prüfen vor Wechsel

Frage Entwicklung PHP

Mitglied: ITIL-Harry

ITIL-Harry (Level 1) - Jetzt verbinden

22.09.2010, aktualisiert 20:51 Uhr, 4501 Aufrufe, 4 Kommentare

Passwortprüfung vor Passwortwechsel

Hallo zusammen,

derzeit erstelle ich eine Web-Applikation bei der ich eine Useranmeldung mittels .htaccess verwende.
Die Benutzer Anmeldedaten sind in einer MySQL-DB abgelegt. Das Passwort ist mit crypt verschlüsselt.

Anhand dieser Daten wird die zugehörige .htpasswd generiert, was auch einwandfrei funktioniert.

Die Anwender sollen nun über ein Formular ihr Passwort ändern können. Hierzu soll nun das
alte Passwort und 2x ein neues Passwort eingegeben werden.

Nun finde ich leider keine Möglichkeit, das alte Passwort zu verifizieren, da ja crypt eine Unmenge
verschiedener Ausgabestrings für den gleichen Quellstring zurückgibt.

Kann mir hier vielleicht irgendjemand helfen, es geht nicht um einen Passworthack sondern nur darum,
bevor das Passwort geändert wird zu prüfen, ob die Person das auch darf.

Vielen Dank

Gruß
ITIL-Harry
Mitglied: thaenhusen
22.09.2010 um 11:34 Uhr
Moin.

Das könnte Dir helfen:

<?php
$passwort = crypt('mein_Pwd'); // let the salt be automatically generated

/* Sie sollten das vollständige Ergebnis von crypt() als Salt zum
Passwort-Vergleich übergeben, um Problemen mit unterschiedlichen
Hash-Algorithmen vorzubeugen. (Wie bereits ausgeführt, verwendet
ein Standard-DES-Passwort-Hash einen 2-Zeichen-Salt, ein
MD5-basierter hingegen nutzt 12 Zeichen. */
if (crypt($benutzer_eingabe, $passwort) == $passwort) {
echo "Passwort stimmt überein!";
}
?>

HTH
MK
Bitte warten ..
Mitglied: ITIL-Harry
22.09.2010 um 12:44 Uhr
Danke, aber genau das funktioniert nicht.

Da ich ja die encryted Passwords in einer DB speichere hole ich diesen String in eine Variable und vergleiche diese dann mit dem crypt String des neu eingegebenen Kontrollpasswort.

Ich erhalte keine Übereinstimmung.

Das Passwort in der DB funktioniert, da hieraus ja die htpasswd generiert wurde und ich mich anmelden kann.
Eine Kontrollausgabe des Crypt-Strings zeigt auch, dass mit jeder Ausführung ein anderer String herauskommt.
Bitte warten ..
Mitglied: thaenhusen
22.09.2010 um 13:21 Uhr
Moin.

Also bei mir funktioniert das und wenn Du google.de bemühst findest Du diesen Code auch zig-fach.
Der Trick ist den SALT des gespeicherten passworts in die neue Prüfung reinzutun.

Damit werden die Crypt-String "vergleichbar".

Dann muss bei Dir was anderes "faul" sein.

HTH
MK
Bitte warten ..
Mitglied: ITIL-Harry
22.09.2010 um 16:48 Uhr
Vielen Dank -

Da war noch ein Fehler bei dem Salt Parameter

Jetzt geht es

Gruß
Harry
Bitte warten ..
Ähnliche Inhalte
Apache Server
gelöst htaccess Weiterleitung (4)

Frage von schneerunzel zum Thema Apache Server ...

Windows 10
gelöst Auf Softwareupdates prüfen (4)

Frage von honeybee zum Thema Windows 10 ...

Hosting & Housing
gelöst Weiterleitung Redirect Htaccess - Ausnahme (8)

Frage von dodo-r zum Thema Hosting & Housing ...

Webentwicklung
gelöst Www bei einer Subdomain mittels htaccess erzwingen (7)

Frage von dodo-r zum Thema Webentwicklung ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(2)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Kann auf Freigabe nicht Zugreifen (19)

Frage von leon123 zum Thema Netzwerkgrundlagen ...

Windows Server
gelöst Neues KB für W10 1607 und W2K16 wieder mal nicht im WSUS 3.0, hat das noch jemand? (16)

Frage von departure69 zum Thema Windows Server ...

Windows Server
DC virtualisieren + wie sichern (SingleDC-Environment) (12)

Frage von KMUlife zum Thema Windows Server ...

Festplatten, SSD, Raid
RAID Controller mit Trim-Funktion, wie ermitteln (11)

Frage von pixel24 zum Thema Festplatten, SSD, Raid ...