Passwortänderung erzwingen

**sebi** · 13.05.2014, 14:25

Moin zusammen,

ich habe mich an einem kleinen Modul versucht, dass Mitglieder im FE nach dem Login dazu zwingt (durch Weiterleitung auf eine Seite solange das Passwort nicht geändert wurde), ihr initial von mir vergebenes Passwort zu ändern. Das klappt auch alles soweit gut. Habe das standard "Persönliche Daten" Modul als Grundlage genutzt und minimal angepasst. Die Passwortänderung und anschließende nicht-mehr-Weiterleitung habe ich auch schon umgesetzt.

Letztes Problem was ich jedoch habe ist: Ich möchte gerne vor dem Speichern/Senden des Formulars überprüfen, ob das alte und neue Passwort unterschiedlich sind.

Das Modul lefert mir einen automatischen verschlüsselten Wert zurück, der dann wohl in die Datenbank gespeichert wird. Dieser ist aber jedes mal unterschiedlich, auch wenn ich immer wieder das selbe "neue" Passwort "11111111" eingebe.

Im Prinzip wollte ich ja das neue verschlüsselte Passwort mit dem alten verschlüsselten Passwort vergleichen und wenn sie gleich sind, einen Fehler zurückgeben.

Habt ihr einen anderen Ansatz? Was mache ich falsch? Wo liegt der Fehler?

Danke und besten Gruß,
sebi

**fiedsch** · 13.05.2014, 18:47

Daß ein identisches Passwort zu unterschiedlichen Ergebnissen führt, liegt am "Salt" und das ist so gewollt. Dein Ansatz, die Hashes zu vergleichen kann also so nicht funktionieren

**sebi** · 13.05.2014, 19:29

Okay,
aber irgendwie muss doch das Login-Modul auch das eingegebene Passwort mit dem in der DB gespeicherten vergleichen?! Wie läuft denn das?

Bzw. hast du einen anderen Ansatz, um zu überprüfen, ob sich das neue vom alten Passwort unterscheidet?

**fiedsch** · 13.05.2014, 19:44

Schau Dir den Code mal an. wenn Du das Passwort im Klartext hast und den Salt des abgespeichernten kennst, kannst Du das Klartextpasswort mit dem gleichen Salt hashen. Wenn dann das gleiche rauskommt, waren die Passwörter gleich.

**sebi** · 14.05.2014, 09:28

Danke, der Hinweis war Gold wert

Habe das jetzt fertig stellen können.
Besten Dank.

**Thorsten Kogge** · 17.10.2017, 20:04

Hallo
da in diesem Thread schon ein ähnliches Thema angesprochen wurde, eröffne ich mal kein Neues sondern bring die Variation ins Spiel.

Ich administriere die Seite eines Billardvereins mit ca. 90 Mitglieder. Einige haben den Wunsch geäußert, Ihr PW selbst ändern zu können (kann ich verstehen). Da ich nicht alle zu admins machen will bzw. zu "Mitgliederverwaltern", stellt sich mir natürlich die Frage: Wie einrichten? Es gibt einen Login zur internen Seite, Standard-PWs und Nutzernamen sind für alle initial gesetzt.

Ich verwende 3.5.26, das Theme ist Quantum2. Ich bin allerdings kein Profi, hab mir alles mit etwas Schulung zeigen lassen und eben mit Autodidaktik gelernt - bitte bei der Erklärung berücksichtigen^^.
Ich habe Probleme, ein Modul zu finden, das wie "Passwort vergessen" oder dergleichen aussieht. Oder bin ich nur zu blind?

Bin für jeden Hinweis oder Link dankbar.
Herzlich, Thorsten

**dtptiger** · 17.10.2017, 21:33

Modul Personendaten:
Erzeugt ein Formular zur Bearbeitung der Benutzerdaten

Gruß
dtptiger

**Thorsten Kogge** · 17.10.2017, 22:42

Zitat von dtptiger

Modul Personendaten:
Erzeugt ein Formular zur Bearbeitung der Benutzerdaten

DANKE!

**sebi** · 18.10.2017, 08:02

Moin Thorsten,

Zitat von Thorsten Kogge

Standard-PWs und Nutzernamen sind für alle initial gesetzt.

für diesen Fall habe ich mal die oben angesprochene Erweiterung entwickelt. Mit der kann man Mitglieder zwingen, ihre initialen Passwörter zu ändern (da sonst ggf. andere Mitglieder sich mit dem im schlimmsten Fall gleichen Passwort in das Konto anderer Mitglieder einloggen könnten).

Du findest die Erweiterung über die Paketverwaltung ("bastibuck/contao-force-password-change") oder hier https://github.com/bastibuck/contao-...assword-change.

Besten Gruß,
Basti