---

Jeg har et brugersystem hvor folk selv vælger password. Ved signup skrives
password i (mySQL) databasen som PASSWORD('$indtastet_pw') og ligger
herefter i db i krypteret form.

Har jeg ret i at dette ikke kan dekrypteres og fx. sendes til brugeren hvis
han har glemt sit pw?

If so, hvilken anden kryptering vil i foreslå til formålet?

ENCODE() + DECODE()?



--
mvh
Kasper Damkjær
www.damkjaer.net

---

"Kasper Damkjær" <kd42@hotmail.com> wrote in message
news:Xns90D6D9F311C9Ekd42hotmailcom@194.19.194.5...
[MySQL PASSWORD()]
> Har jeg ret i at dette ikke kan dekrypteres og fx. sendes til brugeren
hvis
> han har glemt sit pw?

Jeg er ikke 100% sikker, men det er tæt på. :)
Jeg er ret overbevist om at det ikke kan dekrypteres, resultatet er vist
bare et hash.

> If so, hvilken anden kryptering vil i foreslå til formålet?

Generelt er det en meget god ide at "kryptere" passwords på en måde der ikke
kan dekrypteres.
Hvis en bruger har glemt sit kodeord laver man et nyt, og sender til
brugeren.

--
Mvh.

Niels Andersen

---

Den 06 jul 2001 skrev Niels Andersen følgende i
news:Xwo17.5033$c63.501374@news000.worldonline.dk

[snip]
> Generelt er det en meget god ide at "kryptere" passwords på en måde der
> ikke kan dekrypteres.
> Hvis en bruger har glemt sit kodeord laver man et nyt, og sender til
> brugeren.
>

Ja, det mener jeg også - derfor bruger jeg PASSWORD() nu. Et par brugere har
dog brokket sig over at få et nyt password når de glemmer deres gamle*,
derfor ville jeg undersøge muligheden for en anden løsning.



*) Hvorfor er nogle mennesker så opsatte på at beholde et password de
alligevel glemmer? Det kan da ikke betyde så meget for dem...

Nå, det kan jeg spekulere videre over i sommervarmen.

--
mvh
Kasper Damkjær
www.damkjaer.net

---

"Kasper Damkjær" <kd42@hotmail.com> wrote in message
news:Xns90D6E09A8C886kd42hotmailcom@194.19.194.5...
> Den 06 jul 2001 skrev Niels Andersen følgende i
> news:Xwo17.5033$c63.501374@news000.worldonline.dk
>
> [snip]
> Ja, det mener jeg også - derfor bruger jeg PASSWORD() nu. Et par
brugere har
> dog brokket sig over at få et nyt password når de glemmer deres
gamle*,
> derfor ville jeg undersøge muligheden for en anden løsning.
>
> *) Hvorfor er nogle mennesker så opsatte på at beholde et password de
> alligevel glemmer? Det kan da ikke betyde så meget for dem...
>

Når du nu sender dem et nyt password, kunne du jo give brugeren ret til
at ændre passwordet. Derved kan de jo bare rette det tilbage til det
gamle!

Allan

---

"Allan Kok" <allan@it-logic.dk> wrote in message
news:3b46335f$0$20905$7f31c96c@news01.syd.optusnet.com.au...
> "Kasper Damkjær" <kd42@hotmail.com> wrote in message
> news:Xns90D6E09A8C886kd42hotmailcom@194.19.194.5...
> > Den 06 jul 2001 skrev Niels Andersen følgende i
> > news:Xwo17.5033$c63.501374@news000.worldonline.dk
> >
> > [snip]
> > Ja, det mener jeg også - derfor bruger jeg PASSWORD() nu. Et par
> brugere har
> > dog brokket sig over at få et nyt password når de glemmer deres
> gamle*,
> > derfor ville jeg undersøge muligheden for en anden løsning.
> >
> > *) Hvorfor er nogle mennesker så opsatte på at beholde et password
de
> > alligevel glemmer? Det kan da ikke betyde så meget for dem...
> >
>
> Når du nu sender dem et nyt password, kunne du jo give brugeren ret
til
> at ændre passwordet. Derved kan de jo bare rette det tilbage til det
> gamle!

Hvis de har glemt det, hjælper det vel ikke så meget :)

--
mvh Jakob Kirkegaard
WEB: http://kom.auc.dk/~jkir00
ICQ: 117396338

---

Kasper Damkjær wrote in dk.edb.internet.webdesign.serverside.php:

> > Hvis en bruger har glemt sit kodeord laver man et nyt, og sender til
> > brugeren.
> >

Det problematiske ved den fremgangsmåde er, at brugere kan risikere at få ændret
deres password uden selv at have bedt om det. Man ved af gode grunde ikke hvem
der anmoder om at få tilsendt et nyt password.

> Ja, det mener jeg også - derfor bruger jeg PASSWORD() nu. Et par brugere har
> dog brokket sig over at få et nyt password når de glemmer deres gamle*,
> derfor ville jeg undersøge muligheden for en anden løsning.

Det optimale[TM] løsning er at sende en email til brugeren med et link til en
side, hvor han selv kan skifte passwordet. Linket kan generes på flere måder med
varierende sikkerhed, hvor det simpleste er:


http://www.johannsen.com/change_password.php?user=aj&pwhash=6dsa565112dasdas1312
fad

Løsningen har følgende fordele:
* Hvis det ikke selv er brugeren, som har ønsket at få nyt password, kan mailen
blot ignoreres.
* Passwordet bliver aldrig sendt i klar tekst
* Hvis emailen bliver opsnappet, vil et misbrug af kontoen opdages med det
samme, i det den oprindelige bruger ikke længere vil kunne logge ind. I det
foreslåede scenarie, ville en evt. hacker kunne bruge kontoen sideløbende med
den ægte bruger.

/A


--
Brug Validator service: http://www.html.dk/validator
- Tast din URL én gang, og validér dokumentet hos 12 validatorer
- Understøtter HTML, CSS og søgemaskineoptimering

---

"Anders Johannsen" <not@valid.dk> wrote in message
news:9iao6b$o5$1@sunsite.dk...
> > > Hvis en bruger har glemt sit kodeord laver man et nyt, og sender til

> Det optimale[TM] løsning er at sende en email til brugeren med et link til
en
> side, hvor han selv kan skifte passwordet.
[...]
> * Passwordet bliver aldrig sendt i klar tekst

Husk at bruge secure-http... :)

Men ellers, ja, det er en endnu bedre løsning.

--
Mvh.

Niels Andersen

---

In article <Xwo17.5033$c63.501374@news000.worldonline.dk>, "Niels
Andersen" <niels-usenet@myplace.dk> wrote:

> "Kasper Damkjær" <kd42@hotmail.com> wrote in message
> news:Xns90D6D9F311C9Ekd42hotmailcom@194.19.194.5... [MySQL PASSWORD()]
>> Har jeg ret i at dette ikke kan dekrypteres og fx. sendes til brugeren
> hvis
>> han har glemt sit pw?
>
> Jeg er ikke 100% sikker, men det er tæt på. :) Jeg er ret overbevist om
> at det ikke kan dekrypteres, resultatet er vist bare et hash.
Man kan ikke dekryptere. Metoden, der bruges er, at når der skal
sammenlignes, krypteres det indtastede, og sammenlignes med den
krypterede tekst - envejskryptering som i unix.
>
>> If so, hvilken anden kryptering vil i foreslå til formålet?
>
> Generelt er det en meget god ide at "kryptere" passwords på en måde der
> ikke kan dekrypteres.
> Hvis en bruger har glemt sit kodeord laver man et nyt, og sender til
> brugeren.
Jeg mener det samme som Niels, da det kan misbruges, hvis en krypteret
tekst kan dekodes. Skal du partout have den mulighed, må du thy til
litteratur om kryptering - Kan anbefale Handelshøjskolens bibliotek i
København.
>
> --
> Mvh.
>
> Niels Andersen
>
>


--
Hilsen/Sincerely

Michael Rasmussen

---

"Michael Rasmussen" <mir@datanom.net> writes:

> - envejskryptering som i unix.

Det kaldes også hashing.

> Jeg mener det samme som Niels, da det kan misbruges, hvis en krypteret
> tekst kan dekodes. Skal du partout have den mulighed, må du thy til
> litteratur om kryptering - Kan anbefale Handelshøjskolens bibliotek i
> København.

Jeg kan anbefale "Handbook of Applied Cryptography", som blandt andet
kan findes online på <http://cacr.math.uwaterloo.ca/hac/>.

Applied Cryptography af Bruce Schneier og også et kig værd. Se mere på
<http://www.counterpane.com/applied.html>.

--
Jacob
Not better than sex but worth a try

http://www.bunk.cc - nu med Emacs effekt