[slein]

Hallo,
hat jemand von euch 'n kleines Script für mich?
Will 'n kleinen Passwort Reminder auf 'ne Seite integrieren.

Ist wie folgt aufgebaut:

MySQL-Datenbank mit Username,Passwort (verschlüsselt mit MySQL-Funktion "password") und EMailadresse.

Wenn der User also sein Passwort vergessen hat, soll er seinen "Usernamen" eingeben - daraufhin liest die Datebank das zum Usernamen gehörige "Passwort" aus und schickt es an die dazugehörige "Emailadresse".

Im Prinzip ist's klar wie's geht - nur wie entschlüssel ich die Passwörter wieder?

DANKE!
der die das sleiN

[eViLaSh]

[slein]

Sollte mir mal angewöhnen erst Fragen zu stellen, wenn ich wirklich nicht weiter weiß.
Hab gerade gelesen, dass es auf keinen Fall geht.
Also muss ich bei 'ner Anfrage immer ein neues Passwort zuteilen und das dann dem User schicken?!?!?!?

mmhhh.
Frage ich am besten gleich USERNAME und EMAILADRESSE ab, nur wenn die übereinstimmen, bekommt der User 'n neues Passwort...

... ich probier's mal.

[g0bLiN]

öhm garnicht .... die passwort verschlüsselung von mysql ist "nicht" entschlüsselbar ... also du bekommst da keinen klartext mehr raus .... lösung: schreibe dir eine eigene verschlüsselungsroutine oder schreibs als klartext in die datenbank. beste lösung wäre allerdings, wenn ein user sein pass vergessen hat lässt du ihn seine email oder username (je nachdem was bei dir unique ist) eingeben und schickst dann an die email ein NEUES passwort. der user kann sich dann wieder einloggen und kann in seinem profil wieder das passwort neu setzen - so das er es sich halt auch merken kann.

greetz g0b

[Account gelöscht]

[g0bLiN]

hehe, sicher - nur willst du garnet wissen wieviele leute genau aus solchen problemen, wie slein sie gerade hatte, eben klartext verwenden ... kannste auch ganz einfach testen ... wenn dir ein server dein passwort zusenden kann dann dann stehts entweder als klartext in der database oder es wird eine routine genutzt welche sich entschlüsseln lässt - vom server und somit auch vom admin .... also teste mal ein paar foren durch

PS: es ist ein lösungsvorschlag gewesen, jedoch war es einer von dreien den ich gegeben habe

greetz g0b

[rob]

Wie g0bLiN bereits geschrieben hat, kannst du das nicht wieder entschlüsseln. Es handelt sich um einen asymmetrischen Algoritmus. Mit sowas läßt sich also etwas verschlüsseln, aber nicht wieder entschlüsslen. Das muß in den meisten Fällen aber auch gar nicht sein. Passwörter braucht man meist nicht wieder entschlüsseln, weil man die verschlüsselten Werte abgeleichen kann. Für sowas werden oft Einweghasher wie md5, sha1 oder ähnliches genutzt. Das ist je nach Einsatzgebiet auch sicherer. Wenn du jetzt aber das Passwort wieder auslesen willst, um es dem User zu schicken, dann mußt du entweder eine symmetrische Verschlüssleung einsetzen oder die Passwörter unverschlüsselt in deiner Datenbank ablegen.
Wenn MySQL auf einem Unixsystem eingesetzt wird, dann kannst du vermutlich mit ENCRYPT() und DECODE() arbeiten. Du mußt aber auch bedenken, daß bei symmetrischer Verschlüsselung ein Schlüssel zum Entschlüsseln gebraucht wird und wenn du den Schlüssel ebenfalls in der DB ablegst, dann ist die Sicherheit nicht mehr viel höher als wenn du die Passwörter unverschlüsselt ablegst...
Wenn ich soetwas programmiere, dann lege ich die Passwörter normalerweise nie im Klartext in einer DB ab. Zum Verschlüsseln nutze ich einen Einweghasher (also asymmetrische Verschlüsselung). Das Verschlüsseln mache ich mit der von mir verwendeten serverseitigen Sprache (also PHP, Perl, Java, ...) und wenn jemand sein Passwort vergessen hat, dann bekommt er dieses Passwort nicht wieder neu zugeschickt, sondern meine Scripte generieren ein neues Passwort, was dem User dann geschickt wird. Dieses Passwort wird dann (mehr oder weniger) zufällig generiert. Der User bekommt dann in etwa so was: YmG63x0 und dazu den Hinweis, daß er sich damit jetzt einloggen kann und am bestet dann sein Passwort selber ändert.

[eViLaSh]