Re: Passwort Md5 und Salt

Autor: Raphael Becker <rabe_at_uugrn.org>
Datum: Wed, 29 Oct 2008 16:57:31 +0100
On Tue, Oct 28, 2008 at 10:15:15AM +0100, Markus Bucher wrote:
> wir überlegen, ob es möglich ist, Userdaten einer vBulletin-Datenbank in 
> ein CMS zu überführen, das die Passwörter ohne Salt speichert.
> die Passwörter bei vb werden so gespeichert md5(md5('pass').salt), in 
> unserem CMS mit md5('pass').

Du hast in der vBulletin-Datenbank Hashwerte, von denen Du nur weisst,
wie sie GEBILDET wurden. 

Du schreibst allerdings, dass Du die Daten "überführen" willst in ein
System, was eine andere Hashfunktion / Regel verwendet. Das dürfte Dir
ohne das Wissen um die Klartextpassworte in VB nicht gelingen. Wenn Du
die Klaretxtpassworte kennst, dann sollte es allerdings kein Problem
darstellen, die Accounts in ein nahezu beliebiges anderes System zu
transportieren.

> Ich brauche nur eine Bestätigung, dass man unter keinen Umständen auf 
> das md5('pass') zurück schließen kann, wenn man den Saltwert kennt. Ist 
> doch so, oder doch nicht?

Es gibt praktisch keine Möglichkeit, das md5("pass") zu erraten, wenn
man nur md5(md5('pass').salt) kennt, denn md5 ist nicht umkehrbar. 

Du könntest allerdings das vBulletin dahingehend "aufbohren", dass es
bei einem erfolgreichen User-Login das Wertepaar
username:md5('geheim') wegschreibt, denn im PHP-Context kann man den
Wert, der aus dem Loginformular kommt im Klartext ("geheim") abfragen. 
Somit könntest Du alle User ins neue System exportieren, die sich einmal
erfolgreich am vBulletin eingeloggt haben.
 
Allerdings: Die allermeisten Systeme kennen Schnittstellen, um sich
extern zu authentifizieren (SSO), zB könnte man ein mediawiki-Login 
an ein Gallery2-Cookie hängen, wenn der User dort einen gültigen 
Login hat, dazu muss der Code in mediawiki entsprechend angepasst 
werden, es gibt dafür dummy-Methoden. Ein Passwort-transport ist hier
dann nicht mehr erforderlich. 

HTH

Gruß
Raphael
-- 
Raphael Becker          <rabe@uugrn.org>          http://rabe.uugrn.org/
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..


--
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 29.10.2008

Dieses Archiv wurde generiert von hypermail 2.2.0 : 29.10.2008 CET