Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Htaccess - Passwort prüfen vor Wechsel

Frage Entwicklung PHP

Mitglied: ITIL-Harry

ITIL-Harry (Level 1) - Jetzt verbinden

22.09.2010, aktualisiert 20:51 Uhr, 4525 Aufrufe, 4 Kommentare

Passwortprüfung vor Passwortwechsel

Hallo zusammen,

derzeit erstelle ich eine Web-Applikation bei der ich eine Useranmeldung mittels .htaccess verwende.
Die Benutzer Anmeldedaten sind in einer MySQL-DB abgelegt. Das Passwort ist mit crypt verschlüsselt.

Anhand dieser Daten wird die zugehörige .htpasswd generiert, was auch einwandfrei funktioniert.

Die Anwender sollen nun über ein Formular ihr Passwort ändern können. Hierzu soll nun das
alte Passwort und 2x ein neues Passwort eingegeben werden.

Nun finde ich leider keine Möglichkeit, das alte Passwort zu verifizieren, da ja crypt eine Unmenge
verschiedener Ausgabestrings für den gleichen Quellstring zurückgibt.

Kann mir hier vielleicht irgendjemand helfen, es geht nicht um einen Passworthack sondern nur darum,
bevor das Passwort geändert wird zu prüfen, ob die Person das auch darf.

Vielen Dank

Gruß
ITIL-Harry
Mitglied: thaenhusen
22.09.2010 um 11:34 Uhr
Moin.

Das könnte Dir helfen:

<?php
$passwort = crypt('mein_Pwd'); // let the salt be automatically generated

/* Sie sollten das vollständige Ergebnis von crypt() als Salt zum
Passwort-Vergleich übergeben, um Problemen mit unterschiedlichen
Hash-Algorithmen vorzubeugen. (Wie bereits ausgeführt, verwendet
ein Standard-DES-Passwort-Hash einen 2-Zeichen-Salt, ein
MD5-basierter hingegen nutzt 12 Zeichen. */
if (crypt($benutzer_eingabe, $passwort) == $passwort) {
echo "Passwort stimmt überein!";
}
?>

HTH
MK
Bitte warten ..
Mitglied: ITIL-Harry
22.09.2010 um 12:44 Uhr
Danke, aber genau das funktioniert nicht.

Da ich ja die encryted Passwords in einer DB speichere hole ich diesen String in eine Variable und vergleiche diese dann mit dem crypt String des neu eingegebenen Kontrollpasswort.

Ich erhalte keine Übereinstimmung.

Das Passwort in der DB funktioniert, da hieraus ja die htpasswd generiert wurde und ich mich anmelden kann.
Eine Kontrollausgabe des Crypt-Strings zeigt auch, dass mit jeder Ausführung ein anderer String herauskommt.
Bitte warten ..
Mitglied: thaenhusen
22.09.2010 um 13:21 Uhr
Moin.

Also bei mir funktioniert das und wenn Du google.de bemühst findest Du diesen Code auch zig-fach.
Der Trick ist den SALT des gespeicherten passworts in die neue Prüfung reinzutun.

Damit werden die Crypt-String "vergleichbar".

Dann muss bei Dir was anderes "faul" sein.

HTH
MK
Bitte warten ..
Mitglied: ITIL-Harry
22.09.2010 um 16:48 Uhr
Vielen Dank -

Da war noch ein Fehler bei dem Salt Parameter

Jetzt geht es

Gruß
Harry
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Passwort wechsel erzwingen
gelöst Frage von bzloefflerBatch & Shell3 Kommentare

Hallo Leute, ich habe ein kleines Problem mit einer Windows Einstellung und einer passenden Batch dazu. Gerne würde ich ...

Exchange Server
EX 2013 kein Zugriff auf OWA nach Passwort wechsel
Frage von iPhoneDanExchange Server2 Kommentare

Guten Morgen zusammen, nachdem ich nun endlich meinen Exchange Server 2013 zum laufen bekommen habe (HTTP 500 Fehler) klappt ...

Webentwicklung
Anpassung htaccess
Frage von KlausIngeWebentwicklung10 Kommentare

Hallo, ich habe hier eine htaccess Datei. Diese sorgt dafür, das die domain www.abc.de/xyz angezeigt wird aber intern index.php?plugin=xyz ...

Apache Server
htaccess Weiterleitung
gelöst Frage von schneerunzelApache Server4 Kommentare

Hallo zusammen, ich hoffe, dass ich eine relativ einfache Frage habe: Es soll eine Seite von einer Domain auf ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 15 MinutenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 31 MinutenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 12 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 19 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...