Mailinglisten-Archive |
Hallo, mysql-de at lists.4t2.com: >Bisher wurden die Passwörter mit der Funktion ENCRYPT verschlüsselt. > >Da ENCRYPT eine One-Way-Verschlüsselung ist, kommt man so einfach nicht >an die Passwörter. >Frage: Kennt jemand ein Brute-Force-Tool, um die Passwörter doch wieder >anzuzeigen ? ENCRYPT benutzt die Standard crypt() Funktion von Unix. Daher eignet sich jedes beliebige Unix-Crack-Tool, um die Passwörter zu cracken. Beispiel: John the Ripper, http://www.openwall.com/john/ Der Haken daran ist, dass man zwar in der Regel viele, aber längst nicht alle Passwörter findet. Besser ist es daher, die Applikation so umzuprogrammieren, dass beim nächsten Login das Passwort verwendet wird, um das neue Authentifikationsverfahren zu initialisieren. Nach einiger Zeit migrieren sich die Passwörter so von selber. Die wenigen Kandidaten, die sich nach mehreren Wochen immer noch nicht eingeloggt haben, kann man sperren und zu einer Privataudienz bei der Benutzerberatung vorladen. Gruß, Harald -- Infos zur Mailingliste, zur Teilnahme und zum An- und Abmelden unter -->> http://www.4t2.com/mysql
php::bar PHP Wiki - Listenarchive