[gelöst] users-tabelle pass

hi melusine
drupal generiert aus den passwörter einen md5 hash der dann in die datenbank gespeichert wird.
alle funktionen findest du dazu in dem user.modul
http://api.drupal.org/api/drupal/modules--user--user.module/6

besten gruss
stef

danke dir

Das ist für Drupal < 7 noch korrekt, bei Drupal 7 ist der Algorithmus jedoch deutlich komplizierter.

@melusine: Ich kann nur vermuten, dass Du das vorhast, also nein, Du kannst den Benutzern ihr Kennwort nicht zuschicken. Du hast keine Möglichkeit, an das Klartext-Kennwort heranzukommen (es sei denn, Du fragst den Benutzer danach ...).

Oder du hast einen sehr leistungsfähigen Rechner und viel Geduld für BruteForce ;-)

yep, du hast recht - in der funktion werden da noch timestamps angehängt von denen ich irgendwie nicht so recht weiß wo die herkommen.
sobald ich das herausfinde, hab ich die möglichkeit die funktion meiner alten lösung anzupassen und drupal-konforme passwörter anzulegen, damit ich die user-tabelle anschließend portieren kann.
irgendwie gibts in der informatik nie einfache lösungen. ^^

bzw, weil du frühere einfachere verschlüsselung erwähnst - falls es ein update-skript gäbe, das (so die dinger wirklich ein einfacher md5 waren) die alten passwords auf die neue verschlüsselung ändert, wär das auch völlig ausreichend. denn meine sind auchn einfacher md5-hash, insofern sollte das ja dann passen. aber lass mich raten - gibts nicht, weils eigentlich nicht geht?
hab ich schon erwähnt, informatik, einfache lösungen? XD

hallo stefan

kann man das in einem satz zusammenfassen?

ich würde ehr vermuten das das verschlüssellte passwort aus der alten datenbank in drupal importiert werden
und dabei eben mit der drupal eigenen verschlüsselung in die usertabelle gespeichert werden soll.
das sollte doch gehen, egal ob drupal das mit md5 oder anders verschlüsselt, oder?
die passwörter aus der alten community datenbank im klartext den usern wieder zuzuschicken macht ja keinen
wirklichen sinn. deswegen braucht es auch kein brutalforz
zumal ja möglich ist das die passwörter in der alten db unverschlüsselt gespeichert wurden

gruss
stef

Ganz so einfach wird das ganze vermutlich nicht, da noch zufällige Salts eingefügt werden etc.

Ich würde an deiner Stelle für die User automatisiert ein neues Passwort generieren, den Hash in der DB speichern und den Usern per Mail das neue Passwort mitteilen. Dann können die sich anmelden und das Passwort ändern. Das wäre vermutlich die einfachste Variante mit den wenigsten Problemen. Einmal das Passwort neu einzugeben sollte für die User vertretbar sein.

Edit:
@kubik

Wenn die Passwörter früher unverschlüsselt gespeichert wurden, dürfte es kein großes Problem sein (vom Sicherheitsbewusstsein des Seitenbetreibers mal abgesehen).

Wenn die Passwörter aber verschlüsselt gespeichert wurden, wird's kritisch, das sind Einweg-Funktionen. Das heißt, du kannst den MD5-Hash nicht wieder in das Passwort umwandeln. Um den korrekten Hash für D7 zu erhalten, musst du diesen aber aus dem Passwort im Klartext bilden, nicht aus einem vorhandenen Hash, da kommt ja etwas völlig anderes raus.

ok, aber die zufälligen salts müssen ja auch irgendwo gespeichert sein, sonst könnte das beim login ja nicht verfiziert werden. wenn ich die finde, lässt sich das auch lösen.

Dann wühle dich mal daurch diese Funktionen:

http://api.drupal.org/api/drupal/includes--password.inc/function/user_ha...
http://api.drupal.org/api/drupal/includes--password.inc/function/_passwo...
http://api.drupal.org/api/drupal/includes--password.inc/function/user_ch...

http://drupal.org/node/1068512

aha, sehr fein - bin ja noch nicht so ganz dahintergestiegen, aber diese funktion (http://api.drupal.org/api/drupal/modules--user--user.install/function/us...) drüberlaufen lassen wär keine lösung?

ich schätz mal jetzt komm ich doch ein stück weiter.