Administrator-Paßwort vergessen - was tun? (General)

by Deutscher, Saturday, June 22, 2019, 15:10 (1741 days ago)

Zwar gibt es die Möglichkeit, über "Passwort vergessen" ein neues herzustellen, wenn man die eigene E-Mail-Adresse eingibt. Bei mir funktioniert das aber nicht; angeblich ist der Mail-Server nicht erreichbar. Und in der Datenbank sind alle Paßwörter verschlüsselt.

Meine Version ist laut index.php @version 2.3 (2011-09-01). Allerdings habe ich im Laufe der Zeit viel verändert.

Avatar

Administrator-Paßwort vergessen - was tun?

by Micha ⌂, Saturday, June 22, 2019, 18:03 (1741 days ago) @ Deutscher

Hallo,

Bei mir funktioniert das aber nicht; angeblich ist der Mail-Server nicht erreichbar. Und in der Datenbank sind alle Paßwörter verschlüsselt.

Du kannst via PHPMYADMIN (oder mit einem vergleichbaren Tool) Dir ein MD5-Hash von einem neuen Passwort erzeugen lassen. Bitte ändere dieses Passwort anschließend direkt in MLF, da MD5 heute nicht mehr als Sicher gilt.

/Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Administrator-Paßwort vergessen - was tun?

by Deutscher, Saturday, June 22, 2019, 18:19 (1741 days ago) @ Micha

Du kannst via PHPMYADMIN (oder mit einem vergleichbaren Tool) Dir ein MD5-Hash von einem neuen Passwort erzeugen lassen. Bitte ändere dieses Passwort anschließend direkt in MLF, da MD5 heute nicht mehr als Sicher gilt.

Hallo und danke für die Antwort. Ich habe Zugang zu phpMyAdmin, sehe da auch meine Datenbanken und alles Mögliche zum Anklicken, aber weiter weiß ich jetzt nicht. Kannst du den Vorgang etwas genauer beschreiben?

Avatar

Administrator-Paßwort vergessen - was tun?

by Micha ⌂, Sunday, June 23, 2019, 09:04 (1740 days ago) @ Deutscher

Hallo,

Kannst du den Vorgang etwas genauer beschreiben?

Du wählst die Tabelle mlf2_userdata aus (ggf. heißt diese bei Dir etwas anders, wenn Du das Präfix geändert hast). Dort suchst Du den Admin-Account, von dem Du das Passwort ändern möchtest. In der Regel ist es der erste Account, sodass man einfach nach user_id sortieren kann. Ansonsten nach user_type sortieren, ein Admin hat hier eine 2 drin stehen. Nun auf Bearbeiten beim entsprechenden Nutzer klicken und zum Passwortfeld gehen. Dort kannst Du nun das Passwort mit MD5 Auswahl neu setzen, siehe angefügten Screenshot.

Viele Grüße
Micha

[image]

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Erfolg. Allerdings gibt es kein MLF

by Deutscher, Sunday, June 23, 2019, 13:24 (1740 days ago) @ Micha

Dort kannst Du nun das Passwort mit MD5 Auswahl neu setzen

Danke, das habe ich gerade erfolgreich durchgeführt. Damit ist das Problem für mich in der Hauptsache gelöst.

Es gibt also MD5, aber das, was ich sicherheitshalber jetzt wählen sollte, das fehlt. Genauer: Es gibt zwei lange Wortreihen nacheinander, jeweils alphabetisch A-Z; in der ersten ist MD5 enthalten, auch z.B. password und old_password, aber nicht das, was mir empfohlen hast. Gibt es eine Alternative? Oder sollte ich es einfach so belassen?

Avatar

Erfolg. Allerdings gibt es kein MLF

by Micha ⌂, Sunday, June 23, 2019, 13:40 (1740 days ago) @ Deutscher

Hallo,

Danke, das habe ich gerade erfolgreich durchgeführt. Damit ist das Problem für mich in der Hauptsache gelöst.

Betrachte es bitte erst als gelöst, wenn Du innerhalb von MLF das Passwort noch einmal überschreiben konntest.

Es gibt also MD5, aber das, was ich sicherheitshalber jetzt wählen sollte, das fehlt.

Wie meinst Du das? MLF nutzt inzwischen MD5 nicht mehr, da es nicht mehr als sicher gilt. Das Passwort wird in der aktuellen Version mit SHA1 und einem Salt verstehen. Deshalb lässt sich dieses Passwort nicht so einfach erzeugen.

Es gibt zwei lange Wortreihen nacheinander

Wo gibt es diese?!

auch z.B. password und old_password

In der Datenbank kann ich keine Spalte old_password finden. _Wo_ bist Du?

Gibt es eine Alternative?

Eine Alternative für was?

Sorry, dass ich so blöd nachfrage aber ich stehe gerade auf dem Schlauch, was Du versuchst bzw. wo Du es versuchst. Wenn Du das Passwort neu setzen lässt von MLF, dann wird automatisch das SHA1-Verfahren verwendet und ein sicherer HASH erzeugt (als der MD5-Hash).

Viele Grüße
Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Erfolg. Allerdings gibt es kein MLF

by Deutscher, Sunday, June 23, 2019, 14:24 (1740 days ago) @ Micha

Es gibt zwei lange Wortreihen nacheinander

Wo gibt es diese?!

In der Zeile "user_pw", dritte Spalte (überschrieben mit "Funktion") gibt es einen kleinen Pfeil. Wenn ich den anklicke, öffnet sich ein Fenster mit zwei langen Kolonnen von Wörtern, jeweils alphabetisch geordnet. Eines dieser Wörter in der oberen Kolonne ist "MD5". Darauf habe ich geklickt. Dann habe ich das in gleicher Zeile rechts stehende Paßwort - eine Buchstaben- und Zahlenreihe - gelöscht und ein einfaches, gut zu merkendes Paßwort eingesetzt. Zuletzt habe ich unten auf der Seite auf "ok" geklickt. Daraufhin konnte ich mich unter besagtem neuen Paßwort als admin im Forum anmelden.

Vorher und nachher habe ich versucht, in der Kolonne, in welcher ich "MD5" anwählen konnte, "MLF" zu finden. Aber das gibt es dort nicht. Auch nicht in der unten anschließenden, zweiten Kolonne. In der oberen Kolonne stehen u.A. auch die Wörter "password" und "old_password", was ich nur erwähnt habe, weil mich das gewundert hat.

Vielleicht kann ich "MLF" in einer anderen Spalte oder Zeile anwählen; vielleicht gibt es das in dieser Version aber auch noch nicht. Soweit verstanden?

Auf jeden Fall danke für die Erläuterungen, die dazu geführt haben, daß ich mich wieder einloggen kann!
Deutscher

Avatar

Erfolg. Allerdings gibt es kein MLF

by Micha ⌂, Sunday, June 23, 2019, 14:37 (1740 days ago) @ Deutscher

Hallo,

Daraufhin konnte ich mich unter besagtem neuen Paßwort als admin im Forum anmelden.

Okay, dann konntest Du via PHPMYADMIN das Passwort neu setzen. Für alle weiteren Sachen benötigst Du PHPMYADMIN nicht mehr.

Vorher und nachher habe ich versucht, in der Kolonne, in welcher ich "MD5" anwählen konnte, "MLF" zu finden.

MD5 ist eine Funktion, die MySQL zur Verfügung stellt. Eine Funktion MLF existiert natürlich nicht. Um das Passwort nun sicher zu machen (also den Hash gegen Kollisionen besser zu schützen), empfehle ich Dir, dass Du Dich ganz normal im Forum anmeldest und dann in Deinem Nutzeraccount das Passwort noch einmal neu setzt. Die Forensoftware wird dann einen besseren Hash erzeugen. Den letzten Schritt machst Du, wie gesagt, innerhalb des Forums und nicht via PHPMYADMIN.

Vielleicht noch zur Erklärung. MLF speichert kein Passwort im Klartext, sondern nutzt eine HASH-Funktion. Nur der HASH wird in der Datenbank gespeichert. Wenn jemand unberechtigterweise Zugriff auf Deine Datenbank erhält, bekommt er somit nicht die Passwörter Deiner Nutzer. Ein HASH ist meist nicht injektiv. Man kann aus einem Passwort zwar ein HASH erzeugen aber aus diesem HASH lässt sich das Passwort nicht rekonstruieren. Da die Anzahl der Zeichen des HASH jedoch begrenzt ist, können zwei unterschiedliche Passwörter den selben HASH erzeugen - dies nennt man Kollision. Je länger der HASH ist, desto aufwändiger ist es, solche Kollisionen zu finden. Das war einer der Gründe, warum wir nicht mehr MD5 verwenden.

Viele Grüße
Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Erfolg. Fertig.

by Deutscher, Sunday, June 23, 2019, 15:01 (1740 days ago) @ Micha

empfehle ich Dir, dass Du Dich ganz normal im Forum anmeldest und dann in Deinem Nutzeraccount das Passwort noch einmal neu setzt.

Habe ich soeben gemacht.

Je länger der HASH ist, desto aufwändiger ist es, solche Kollisionen zu finden. Das war einer der Gründe, warum wir nicht mehr MD5 verwenden.

Der Hash hatte zunächst 32 Zeichen. Jetzt, nach der Erneuerung des Paßwortes über das Forum, hat er 50 Zeichen. Ich glaube, dann ist jetzt alles geregelt, stimmt's?

Freundliche Grüße!
Deutscher

Avatar

Erfolg. Fertig.

by Micha ⌂, Sunday, June 23, 2019, 15:08 (1740 days ago) @ Deutscher

Hallo,

Ich glaube, dann ist jetzt alles geregelt, stimmt's?

Ja, das klingt gut.

Viele Grüße und schönen Sonntag
Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

RSS Feed of thread