MySQL 4.1-Passwörter mit PHP erzeugen

< Warum haben Sie mein Passwort nicht? | Rechnungen öffentlich? >

Dienstag, 28. März 2006

MySQL 4.1-Passwörter mit PHP erzeugen

Ich hab mich eben gefragt, ob es nicht eine einfach Möglichkeit gibt mit PHP Passwörter für eine MySQL-Datenbank zu generieren, ohne dabei auf MySQL's PASSWORD()-Funktion zurückzugreifen.

Nach ein wenig suchen im Quelltext von MySQL bin ich auf die Lösung gestoßen - wenn auch vorerst nur für MySQL-Server mit der Variable "old_passwords" ausgeschaltet - ergo: Mit dem neuen Authentifizierungs-Schema:

<?PHP
$Hash = "*" . sha1(sha1($Password, true));
?>

Erstaunlich einfach Ich bin gespannt, wie schnell ich ich die Funktion OLD_PASSWORD() implementieren kann - das wird wohl etwas aufwändiger...

Btw.: Das ist ein Schritt auf dem Weg zum Datenbank-Passwörter durch den Kunden ändern lassen und verschlüsselt in meiner Kundendatenbank speichern. Ersteres ist noch nicht möglich, weil zweiteres noch nicht möglich ist - Plaintext-Passwörter sind bäh!

Geschrieben von Bernd Holzmüller in Tools um 16:03 | Kommentare (4) | Trackback (1)

Trackbacks

Trackback-URL für diesen Eintrag

Nachgelegt: "Alte" MySQL-Passwörter
Nachdem ich mich heute Mittag mit den neuen MySQL-Passwörtern beschäftigt habe, kommt hier der passende Code für ältere MySQL-Versionen. Auf aktuellen Server entspricht das der Funktion OLD_PASSWORD() bzw. der eingeschalteten Variable "old_passwo

Weblog: Wohnzimmerhostblogger
Aufgenommen: Mär 28, 20:05

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Mal ne Frage, ich hoffe, du kannst sie beantworten, ohne dein System groß zu gefährden.

Wie speicherst du das Passwort? Klartext ist Schmarrn, das ist klar. Aber wie ist es verschlüsselt?

Ich hab selber mal n Verschlüsselungsprogramm geschrieben, und wollte dann, dass ein PW falsch ausgegeben wird, wenn es falsch ist. Nur dafür muss ich ja nun leider das PW abspeichern. Ich hab dann den 1. mit dem 2. Buchstaben usw. verschlüsselt. Also den ersten Buchstaben um x (x ist die Stelle an der der 2. Buchstabe im Alphabet steht) verschoben, und dann so weiter bis PW zu Ende war.

Das war so ein Mittelweg zwischen Sicherheit und Komfort. Aber da muss es doch andere Lösungen geben?!

#1 Adrian am 28.03.2006 16:52 (Antwort)

Ich speicher natürlich nur einen Passwort-Hash....
Und einen Mittelweg zwischen Komfort und Sicherheit kenne ich nicht. Bei Sicherheit gibt es nur kompatiblen Komfort

#1.1 Bernd Holzmüller (Homepage) am 28.03.2006 18:26 (Antwort)

Sprich dein PW könnte statt abcd auch dcba sein?
Was habe ich gerade falsch verstanden?^^

#1.1.1 Adrian am 28.03.2006 20:15 (Antwort)

Nein, natürlich nicht...
Ein Hash ist nicht unabhängig von der Buchstaben Reihenfolge...
Kleines Beispiel MD5:

md5(abcd): e2fc714c4727ee9395f324cd2e7f331f
md5(dcba): 9134669f44c1af0532f613b7508283c4

#1.1.1.1 Bernd Holzmüller (Homepage) am 28.03.2006 20:20 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: BBCode-Formatierung erlaubt
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen