Archiv verlassen und diese Seite im Standarddesign anzeigen : Doppelte Passwörter
Freesnooze
16.01.2009, 21:54
Hallo zusammen,
*mal wieder zu Wort meld*:yes:
Ich habe heute gesehen, dass unter:
adminforce/?content=/usersystem/doppelaccis
Auch doppelte Passwörter angezeigt werden. Und dort habe ich auch folgenden Eintrag gefunden:
User mit dem Passworthash
Danach sind drei User aufgeführt. Heißt dass jetzt, dass alle drei das gleiche Passwort besitzen? :eek:
liebe Grüße und frohes neues Jahr!
Sebastian
EarlofMidnight
16.01.2009, 21:56
Ja das bedeutet das alle 3 User das gleiche Paßwort für deine Seite verwenden.
Gruß
EarlofMidnight
dann muss es ein einfaches passwort sein wenn sogar gleich 3 user dies haben
Sebmaster
16.01.2009, 22:12
Danach sind drei User aufgeführt. Heißt dass jetzt, dass alle drei das gleiche Passwort besitzen? :eek:
Nicht ganz, da ja ein md5-hash kein eindeutiges Passwort identifiziert. Es kann auch sein, dass alle drei verschiedene Passwörter benutzen, die jedoch den selben Hash haben, die Wahrscheinlichkeit ist dabei jedoch sehr gering.:biggrin1:
Freesnooze
16.01.2009, 22:35
Ja das bedeutet das alle 3 User das gleiche Paßwort für deine Seite verwenden.
...
Es kann auch sein, dass alle drei verschiedene Passwörter benutzen, die jedoch den selben Hash haben, die Wahrscheinlichkeit ist dabei jedoch sehr gering.:biggrin1:
Ja gut. Also ich habe die Accounts auch mal kurz überflogen - Doppelt Accounts sind es bestimmt nicht.
Aber wie würdet ihr nun als Admin reagieren? Soll ich die entsprechenden User darauf hinweisen? Oder soll ich es einfach so lassen (Was der Hund nich weiß, macht ihn nicht heiß)
Verrate doch gleich das user x,y,z die gleichen passwörter nutzen wie du selbst :frusty: .
Würde die auf jedenfall aufmerksam machen das er das passwort sicherer machen sollte bwz ändern
Mein 1.400 Beitrag
Freesnooze
16.01.2009, 22:54
Verrate doch gleich das user x,y,z die gleichen passwörter nutzen wie du selbst :frusty: .
So weit kann ich auch noch denken, dass ich das bestimmt nicht die Namen nennen werde! -.- .:hand:
Würde die auf jedenfall aufmerksam machen das er das passwort sicherer machen sollte bwz ändern
Ja, das werde ich auch machen.
Danke
So weit kann ich auch noch denken, dass ich das bestimmt nicht die Namen nennen werde! -.- .:hand:
Ja, das werde ich auch machen.
Danke
Und sag auch nich das es ein Doppeltes ist.
Ich persölich würde eine Email schreiben.
HI
Ich habe bei einer Routineüberprüfung festgestellt, das sie ein sehr einfaches Passwort verwenden.
Weiteres würde ich ihnen empfehlen das Passwort zu ändern.
Gute Passwörter enthalten Zeichen, Großschrift und Kleinschrift Sonderzeichen und Zahlen.
MFG Admin
so oder so ähnlich würde ich die user darauf hinweisen.
Freesnooze
16.01.2009, 23:16
...
Jo, Mails sind schon raus! ;)
Und deinen Tipp hatte ich natürlich vorher schon beachtet!
*g* Jetzt müsste nur noch der Thread hier verschwinden.
...
*g* Jetzt müsste nur noch der Thread hier verschwinden.
Hier verschwindet gar nichts :biggrin1:
Btw: zum Thema doppelte Passwörter:
Man kann doch einfach jedem User ein neues generieren und per Mail zuschicken...
Freesnooze
17.01.2009, 01:15
Man kann doch einfach jedem User ein neues generieren und per Mail zuschicken...
Jetzt muss ich mal ganz dumm fragen, wie das geht?
Ich mein in der Datenbank gibt es ja die Tabelle Passwort. Aber das ist ja verschlüsselt. Ich bin mir jetzt nicht sicher, ob ich da einfach einen anderen md5 (oder wie das heißt) Schlüssel eintragen kann und dann ist das Passwort geändert?
Sebmaster
17.01.2009, 01:18
Ich bin mir jetzt nicht sicher, ob ich da einfach einen anderen md5 (oder wie das heißt) Schlüssel eintragen kann und dann ist das Passwort geändert?
Genau so ist es... PW mit md5 verschlüsseln, in die DB eintragen und dem User das unverschlüsselte schicken:biggrin1:
einfach die email bei passwort vergessen eintragen *rofl*
Freesnooze
17.01.2009, 01:23
Genau so ist es... PW mit md5 verschlüsseln, in die DB eintragen und dem User das unverschlüsselte schicken:biggrin1:
xD^^
einfach die email bei passwort vergessen eintragen *rofl*
Ja das ist natürlich auch eine Möglichkeit. ;)
Aber ich habe jetzt ja die Mails versendet - Mal schaun, was sich tut.
Vielen Dank an euch alle! =)
Also ich hab es bei mir so gemacht Wenn mehr als 10 User das gleiche Passwort nutzen (bei 1,5k Usern war das paar mal vorgekommen) generiere ich jedem ein neues PW dafür hab ich die userbearbeiten.php etwas erweitert.
Nutze ich übrigens auch dann wenn ein Account "gehackt" wurde (Mehrfachlogins in mehrere Accounts von ausländischen IPs) deshalb der Text so ;) kann man natürlich ändern ^^
userbearbeiten.php
Suche:
$alledaten = mysql_fetch_assoc ($sql);Füge danach ein:
// Neues Passwort.
if (isset($_POST['new_pw']))
{
$pw = create_code(10);
db_query('UPDATE '.$db_prefix.'_kontodaten SET passwort="'.md5($pw).'" WHERE uid='.$_GET['uid'].' LIMIT 1');
$text = 'Hallo '.$alledaten['nickname'].',
bei einer Kontrolle der Accounts sind uns unregelmäßigkeiten in deinem Account aufgefallen,
aus Sicherheitsgründen haben wir deine Zugangsdaten geändert. Bitte habe Verständnis dafür
das wir dir aus Gründen des Datenschutz keine weiteren Informationen über die unregelmäßigkeiten
geben dürfen.
===================
Neues Passwort: '.$pw.'
===================
Mit freundlichen Grüßen
Dein '.$seitenname.' Team
';
if (usermail ($alledaten['emailadresse'],$seitenname.' - Sicherheitshinweis', $text, '"'.$seitenname.'" <'.$betreibermail.'>'))
{
head('pw');
echo 'Passwort geändert!';
foot();
}
}
// Neues Passwort
Suche:
<tr bgcolor="#ededed">
<td align="center" colspan="2"><br /><input type="submit" name="profile" value="» Updaten"><br /> </td>
</tr>Füge danach ein:
<tr bgcolor="#ededed">
<td align="center" colspan="2"><br /><input type="submit" name="new_pw" value="» Passwort ändern."><br /> </td>
</tr>
Der User bekommt dann bei Klick auf "Passwort ändern" ein neues 10stelliges Passwort per E-Mail.
Freesnooze
18.01.2009, 18:23
Super! Danke dir :=) :yes::thumb:
xxtoshibaxx
03.02.2009, 20:34
Naja es wäre ja auch nicht außzuschließen, dass es sich bei den 3 Nicks um eine Person handelt die für alles ein einziges Passwort benutzt.
Freesnooze
03.02.2009, 23:20
Naja es wäre ja auch nicht außzuschließen, dass es sich bei den 3 Nicks um eine Person handelt die für alles ein einziges Passwort benutzt.
Jo, das ist klar. ;)
Aber das ist nicht der Fall. Habe das schon überprüft gehabt.:biggrin1:
xxtoshibaxx
04.02.2009, 00:22
achso ok dann ist ja gut ^^
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.