login  Naam:   Wachtwoord: 
Registreer je!
 Forum

md5 wachtwoord opvragen

Offline Fliten - 20/12/2006 11:13
Avatar van FlitenNieuw lid In mijn ledensysteem worden de wachtwoorden van de leden opgeslagen met md5(). Maar nu maak ik een pagina waarmee ze hun paswoord kunnen opvragen indien ze dit verloren zijn. Maar hoe kan ik die md5() naar een normaal paswoord krijgen? Ciao

18 antwoorden

Gesponsorde links
Offline Kr4nKz1n - 20/12/2006 11:14
Avatar van Kr4nKz1n Onbekend Niet, dit is "verboden".
Je moet gewoon een optie maken dat ze een nieuw wachtwoord gemaild kunnen krijgen.
Offline Chupskie - 20/12/2006 11:15
Avatar van Chupskie MySQL beginner Dit is alleen op te lossen, door echt een nieuw wachtwoord aan te maken, of aan te laten maken door de leden zelf.

Je kunt een ge-encrypt wachtwoord niet decrypte (tenminste niet van md5 en sha1). Je zult dus een nieuwe aan moeten maken.

--Correct me if i'm wrong --

Succes
-Chupskie
Offline Fliten - 20/12/2006 11:18
Avatar van Fliten Nieuw lid Crap   wil ik de boel dan es beveiligen  
Offline Kr4nKz1n - 20/12/2006 11:19
Avatar van Kr4nKz1n Onbekend Precies wat Chupskie zegt. Er zijn echter wel andere encrypters je wel decrypten.
http://nl3.php....encode.php
http://nl3.php....decode.php
En nog een paar.

Maar de voorkeur van (ik denk) vele programmeurs is md5.
Offline marten - 20/12/2006 11:21
Avatar van marten Beheerder Wanneer iemand zijn wachtwoord kwijtraakt maak je een nieuwe aan. Dit wachtwoord is 24 uur geldig. Daarvoor moet het gewijzigd worden door de gebruiker. Zo kan je evengoed gebruik blijven maken van md5 
Offline Kr4nKz1n - 20/12/2006 11:22
Avatar van Kr4nKz1n Onbekend En hoe zorg je er dan voor dat hij 24 uur geldig is? Zometeen is Fliten niet zo bekend met PHP en denkt hij daadwerkelijk dat het wachtwoord wordt terug gezet ofzo naar 24 uur.
Offline marten - 20/12/2006 11:29
Avatar van marten Beheerder MySQL tabel aanmaken:

aanvraag_id (INT met lengte 5)
user_id (INT Deze moet overheen komen met de gebruiker id die jezelf gebruikt)
pass (varchar lengte 32)
aanvraag_datum (Datetime veld)

Vervolgens kan je met een query controleren of de 24 uur verstreken zijn. Hier heb ik een aantal tutorials over geschreven. Moet je maar even kijken bij de MySQL tutorials.
Offline GTW - 20/12/2006 11:39
Avatar van GTW Gouden medaille

PHP gevorderde		 een crypt kun je decrypten, een encoded pass kun je decoded, maar een hash (md5, sha1) is anders, die slaat niet alle data op in de hash, dus kun je het ook niet "dehashen"
Offline Kr4nKz1n - 20/12/2006 11:45
Avatar van Kr4nKz1n Onbekend GTW, dat klinkt heel logisch, maar er bestaan volgens mij decoders (dehashers) voor md5, volgens mij moet je dan wel het aantal tekens weten waaruit het wachtwoord ontstaat.
Offline nemesiskoen - 20/12/2006 11:57
Avatar van nemesiskoen Gouden medaille

PHP expert
Citaat:
GTW, dat klinkt heel logisch, maar er bestaan volgens mij decoders (dehashers) voor md5, volgens mij moet je dan wel het aantal tekens weten waaruit het wachtwoord ontstaat.


Iets als een dehasher bestaat niet... dit is dan bruteforce en dat is idiotenwerk.
Offline Kr4nKz1n - 20/12/2006 12:04
Avatar van Kr4nKz1n Onbekend Daarom zet ik het ook tussen ( ).

Idiotenwerk of niet, als het werkt zijn ze geen idioten.
Offline GTW - 20/12/2006 12:15
Avatar van GTW Gouden medaille

PHP gevorderde		 het werkt wel, maar elk teken extra dat in de gedehasde string staat, duurt het bruteforcen bijna een kwadraad keer zo lang.
dus met 6 tekens ben je al zeer lang bezig.
Offline Kr4nKz1n - 20/12/2006 12:17
Avatar van Kr4nKz1n Onbekend die slaat niet alle data op in de hash
Dan klopt jouw bewering niet.
Offline GTW - 20/12/2006 12:42
Avatar van GTW Gouden medaille

PHP gevorderde		 hoezo niet?
Offline Stijn - 20/12/2006 12:43 (laatste wijziging 20/12/2006 12:47)
Avatar van Stijn PHP expert note voor deze repleys:

*md5() , crc32() en sha1() zijn hashes en geen encrypties. encrypties hebben een sleutel waardoor je de encryptie kan ontcijferen. Dus moest je een encryptie toepassen en jij hebt de sleutel kan je makkelijk hun wachtwoord teruggegeven.

*base64_encode en base64_decode zijn url encrypties , is nutteloos voor deze te gebruiken voor wachtwoorden.

*alle data wordt opgeslaan , een bepaalde algoritme zorgt ervoor dat je 32 tekens krijgt.

eigenlijk mag deze 1000ste md5() topic dicht want ik vermoed dat de topicstarter nooit moeite gedaan heeft om de zoekfunctie te gebruiken.

[edit]

waarom een veld aanvraag_wachtwoord maken. ze in de activatie url de time() mee wanneer de gebruiker op submit heeft gedrukt. Ik gebruik deze algoritme. ?key=base64_encode( userID , userMAIL , time() ); dan met 2 bewerkingen heb ik 3 data en basseer ik alles daarop.

php code - Bekijk de code zonder highlighting - Klap code in 
  1. <?
  2. $key = explode( ',' , base64_decode( $_GET['key'] ) );
  3. echo $key[2];
  4. ?>


dat hoef je niet te volgen maar dat gebruik ik dus. en wie gaat er die encryptie decrypten.
Offline Fliten - 20/12/2006 13:05
Avatar van Fliten Nieuw lid Ik heb het nu gewoon opgelost zoals eerder verteld werd. Gewoon automatisch een nieuw paswoord genereren, en dan kan de gebruiker zelf een ander aanmaken... Lijkt met het eenvoudigst
Offline nemesiskoen - 20/12/2006 14:39
Avatar van nemesiskoen Gouden medaille

PHP expert		 mr 1337:
Citaat:
die slaat niet alle data op in de hash
Dan klopt jouw bewering niet.

Tuurlijk klopt dat wel... md5 deelt en rond af, dus gaat er een deel van de data verloren. Als je elke mogelijkheid afgaat dan is het bruteforcen. En of je het tussen haakjes schrijft of niet, het bestaat niet omdat het niet gaat. De enige manier is bruteforcen en dat blijft idiotenwerk.
Dit is het x-te md5/whatever topic is als de ts nu eens ook maar een beetje had gezocht had hij gevonden dat dit niet valt om te keren.
Offline Gerard - 20/12/2006 14:42
Avatar van Gerard Ouwe rakker Er is wel een andere manier. Maar dan moet je wel toegang hebben tot zeer uitgebreide Rainbow Tables. Echter is bij MD5 ook nog eens het geval dat je een collision tegen kan komen. 2 woorden hebben dan dezelfde hash als gevolg van het verliezen van de informatie, daardoor kan je dus inloggen met 2 woorden die dezelfde hash opleveren.

Maar zoals vage al aangeeft is het niet mogelijk om een hash te 'decrypten'.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.185s