Passwort bzw. Hash-Aufbau

[TurboXXL]

Hallo zusammen,

ich habe mal eine Frage bezüglich des Login. Ich möchte mit einer anderen Anwendung (MRBS) auf die Login-Daten des jeweiligen Users zugreifen, also er soll sich dort erneut anmelden, aber mit den Daten, mit denen er sich bei Admidio registriert hat.

Wenn ich in der Tabelle adm_users ein neues Feld einfüge mit einem Passwort in plaintext, dann klappt alles. Wenn ich auf den Hashwert in usr_password zugreife, klappt es nicht mehr.

Daher meine Frage, wie das Password bei Admidio verschlüsselt wird und wie ich es in einer anderen Anwendung nutzen kann. Sowas in der Art password_verify('passwort', $hash) müsste doch funktionieren, wenn man wüßte wie das PW aufgebaut ist bzw. erzeugt wird.

Für einen Tip wäre ich dankbar

[Hanabi]

Hallo Turbo,

ich denke nicht, dass Du auf diese Frage eine Antwort bekommen solltest. Alle User hier verwenden Admidio zur sicheren Verwaltung sensibler personengebundener Daten. Eine öffentliche Anleitung, wie der Passwortschutz aufgebaut ist, würde für alle verwendeten System eine erhebliche Sicherheitslücke darstellen.

[XimeX]

Je nachdem wann der letzte login war ist das PW in einem anderen Format gespeichert (neuere Hashfunktion). Um das zu berücksichtigen haben wir hier eine Funktion die uns alle möglichen Fälle überprüfen kann:
https://github.com/Admidio/admidio/blob ... p#L85-L118
Die neueste Version baut auf der sicheren password_hash() Implementierung von PHP auf.

@Hanabi
Sicherheit die auf Geheimhaltung, verstecken, ... aufbaut, ist keine Sicherheit. Der Source Code ist offen, also kann auch jeder unsere Implementierung anschauen. Das einzige was man geheim hält sind: Private Keys, PW von der Datenbank etc