Mailinglisten-Archive |
Hallo Jochen,
danke für Deinen Beitrag:
> Falls ihr auf die alten Passwörter angewiesen seid, würde ich folgendes
> tun:
> - Ein zweites Feld mit der neuen Verschlüsselungsmethode aufsetzen.
> - Beim Einloggen des Kunden ("er gibt sich aktuelles Password ein")
> - Password mit neuem Verschlüsselungsverfahren in neues Feld schreiben.
> Beim Einloggen wie folgt logic ändern.
> - Checken, ob neues Feld gesetzt (!=""). Wenn ja diese nehmen (user hat sich
> bereits einmal authentifiziert und Feld wurde befüllt)
> - Wenn alle User "neues Feld gesetzt haben" ->altes Feldes löschen.
> - Logic endgültig ändern.
Wie geschrieben: Dies würde bedeuten, dass alte System solange am Laufen
zu halten, bis der letzte Nutzer sich mal wieder angemeldet hat.
Vielleicht benutze ich Deine Lösung doch, indem ich dieses aktuell einbaue
und die Nutzer abgreife, die sich bis Jahresmitte anmelden.
Die restlichen Nutzer bekommen dann ein neues Passwort per gelber Post.
Der Nachteil am alten System war (bzw. nun mein Vorteil), dass
wir den Nutzern ihre Passwörter vorgegeben haben und diese
ihre Passwörter nicht selbst ändern konnten.
Wer sich nun die Haare rauft, und sich wundert, warum ich die Passwörter
nicht habe: Tja, das ist dann, wenn man den Datenschutz zu ernst nimmt :-)
Die Lösung von Jochen ist daher elegant, da dann wieder keiner die Passwörter
in Klartext kennt.
Ich habe auf eine Brute-Force-Möglichkeit gehofft, da die vergebenen Passwörter
eine feste Zeichenanzahl und Zeichenvorrat haben. Selbst dann ist mir bewusst, dass meine Hardware bei 3000 Passwörtern
wahrscheinlich ein paar Monate beschäftigt wäre (Man 'läßt' arbeiten).
Da eigentlich jede Hash-Passwortverschlüsselung per Brute-Force zu knacken ist, werde ich nochmal
etwas auf die Suche gehen. Wenn ich was finde, poste ich es hier.
Gruß / Robert
--
Infos zur Mailingliste, zur Teilnahme und zum An- und Abmelden unter
-->> http://www.4t2.com/mysql
php::bar PHP Wiki - Listenarchive