[Shabba]

hi leutz,
gibt es eine moeglichkeit, dass man die passworter als admin im vbulletin forum entschluesseln kann? es soll ein hack geben, habe diesen jedoch nicht bei vbulletin.org gefunden. ab version 2.0 wurden diese naemlich verschluesselt und ab version 2.2.5 kann man das passwort leider nur noch reseten und nicht mehr per mail zuschicken lassen.
meine vb version ist 2.2.6
danke fuer eure hilfe!!!

[FraXXis]

du kannst das nicht entschlüsseln (vllt mit bruteforce, aber nicht "offiziell").
du könntest natürlich die ganzen verschlüsselungsfunktion rausnehmen, aber ob das sinn macht?
was willst du mit den passwörtern?

[Shabba]

Zitat:

du kannst das nicht entschlüsseln (vllt mit bruteforce, aber nicht "offiziell").

was meinst du damit?

die passwoerter brauche ich einfach nur so ..."frueher" ging das ja auch und angeblich gibt es ein hack dafuer.

[FraXXis]

man kann passwörter, die mit md5 verschlüsselt wurden, nicht entschlüsseln. das ist unmöglich. du kannst höchstens per brute force alle möglichkeiten durchprobieren.

[mip]

Ja, einmal verschlüsselt gibt's kein direktes zurück mehr. Du könntest natürlich ein Logout aller User forcieren, schauen, was die beim erneuten Login eingeben und das dann gegen das md5sum-Passwort checken. Stimmt's überein, so speicherst Du das Pass im Klartext.

Vor einer Installation könntest Du alle Vorkommnisse von md5( in den vbb-Dateien anschauen und evtl. rauspatchen.

Als Forenbetreiber solltest Du aber eine gewisse Ethik haben. Userpasswörter halte ich z.B. fü ein Tabu.

[Shabba]

da gebe ich dir recht

es gibt aber auch gehostete foren, wo man die pw's per mail zugeschickt bekommt. das wird man als "anbieter" nicht nach ethik gefragt.

mir geht es darum: wenn ein DAU mit dem forum nicht so involviert ist und mich als admin nach seinem pw fragt, dann koennte ich ihm eine klare aussage machen.

nun kann ich dies aber nicht und muss ihm erst ein neues im admin-panel verpassen und anschliessend kann er es aendern bzw., da DAU, eben nicht... - genauso schwierig gestaltet sich das "reseten" des pw, nach neuster vb-traditon, muesste anschliessend auch geaendert werden, denn der DAU moechte ja "elfriede" als pw.


[DAU=duemmster anzunehmender user]

[s_zwerg]

Zitat:

DAU=duemmster anzunehmender user

...danke für den hinweis. *eg*

dass der admin keine einsicht in die passworte im klartext nehmen kann, ist gut und richtig so.
schon alleine aus datenschutz-technischen gründen.

daher würde ich hier auch ungerne tipps lesen, die so eine einsicht eventuell ermöglichen könnten.

besten dank!


gruss...

[PaxTrax]

Wenn er sein Passwort vergessen hat einfach in sein Profil gehen und das alte überschreiben. Dann kannst Du ihm das mailen, oder halt sagen falls Freund oder Feind. Aber dafür gibt's eigentlich eine Funktion: "Habe Password vergessen "

Es gibt ein paar MD5 brute force hacker, aber das dauert ewig, und bringt auch nix. Natürlich kann man die files/DB so verändern das das passwort im Klartext gespeichert wird, was das Board nicht stört und normal weiterarbeitet, aber das ist wirklich mies.

Ich kann mir nur vorstellen, das Du jemanden kennst der auch an anderen boards ist, und Du denkst das er die gleichen Passwörter nutzt - neee mein Junge, da helfe ich Dir nicht weiter

[ttsn]

Sorry Shabba, aber wenn dan sag doch einfach " ich will die User Passwörter um Passlist für Bruteforcer etc.. zu erstellen " ... Du sagts es gibt "DAUs" die nicht wissen wie man auf " Passwort senden " klickt ?? Gibts nicht!

Aber man könnte doch nen Hack
schreiben der wenn der User auf Passwort senden klickt auch gleichzeitig der Admin ne mail mit passwd bekommt? Aber nur is das problem wegen dem Freischalt Code!!?

[Shabba]

@ PaxTrax wie liesse sich dieses thema denn sonst legalisieren???

@ ttsn das problem bei meiner version ist aber, dass man die pw's nur noch "resetten" kann und nicht mehr einfach zuschicken. [vb 2.26]