PHP-Fusion Support Forum Mods & Infusions PHP-Fusion Wiki

Passwort

Aus PHP-Fusion Wiki

Wechseln zu: Navigation, Suche

Als Administrator einer mit PHP-Fusion geführten Webseite, kommen früher oder später auch Fragen zum Umgang mit Passwörtern. Diese sollen hier geklärt werden.

Inhaltsverzeichnis

[Bearbeiten] Passwörter

  • benutze unterschiedliche Passwörter für den FTP-Nutzer, MySQL und den Admin Account
  • Passwörter sollten mindestens eine Länge von 10 Zeichen haben
  • das Passwort sollte in keinem Wörterbuch zu finden sein
  • besser noch, versehe es mit Zahlen und Sonderzeichen
  • Aber Vorsicht: Das beste Passwort ist nichts Wert wenn es auf einem Zettel unter eurer Tastatur liegt

[Bearbeiten] Benutzer Passwörter

PHP-Fusion speichert die Passwörter der Benutzer nicht im Klartext, sondern als Hash. Diese Hashs sind ein Abbild des Passwortes und lassen sich nicht zurück berechnen. Der Vorteil liegt darin, das bei einem Einbruch in den MySQL Server, der Angreifer mithilfe eines in der Datenbank gespeicherten Klartext Passwortes evtl. auch auf die Zugangsdaten anderer Dienste schließen könnte (z.B. E-Mail Konten, Logins beim Webhoster, etc.).

[Bearbeiten] Passwort vergessen

Hat ein Benutzer sein Passwort vergessen, kann er über die Passwort vergessen-Funktion (lostpassword.php) sich ein neues zustellen lassen. Damit diese Funktion nicht missbraucht wird, muss nicht der Benutzername, sondern die E-Mail Adresse angegeben werden, mit dessen Hilfe man sich registriert hat.

An diese E-Mail Adresse sendet PHP-Fusion nun auch eine Nachricht. In dieser Nachricht ist ein Link enthalten, den man anklicken muss um sich als Eigentümer des Accounts auszuweisen. Erst jetzt generiert PHP-Fusion ein neues Passwort, sendet es dem Benutzer in einer zweiten E-Mail zu und hinterlegt den Hash in der Datenbank.

Sobald man die E-Mail bekommen hat, sollte man sich auf der Webseite einloggen und das Passwort ändern.

[Bearbeiten] Passwort erzeugen

Solltest du als Administrator dein Passwort einmal vergessen und die Passwort vergessen-Funktion sollte nicht funktionieren, dann kannst du das Passwort für deinen Account auch selber in die Datenbank eintragen. Du musst dazu den Hash in der Tabelle _users in der Spalte user_password deines Benutzer Accounts hinzufügen.

Den Hash deines Passworts kannst du entweder hier ermitteln oder eine PHP Datei mit folgendem Inhalt anlegen. 

<?php
echo md5(md5("Hier dein Passwort eintragen"));
?>

Rufe die PHP-Datei anschließend im Browser auf, kopiere den Hash und füge ihn in der Datenbank ein.

Von „http://www.phpfusion-support.de/wiki/index.php/Passwort