tl_member / password hashes

[angelika1]

In einem alten System (never change a running System) hat jemand wohl versehentlich an den templates gefuddelt und leider find ich das problem jetzt nicht.

Die tl_member wird nächtlich direkt aus einem ERP System gefüllt, von einem Tag auf den anderen werden nun die SHA512 Hashes nicht mehr erkannt und keiner kann sich einloggen.

Wo genau finde ich den Passwort Algorithmus für die tl_member respektive Login? Vielleicht kann jemand Wissender mir den ganzen Ablauf skizzieren, damit ich weiss, wo ich überall suchen muss, danke im Voraus!

[Kahmoon]

Ich generiere Contao Passworte in einem Cron wie folgt:

PHP-Code:

$strSalt = substr(md5(uniqid(mt_rand(), true)), 0, 23);
$strPassword = sha1($strSalt . $meintext);
$password = $strPassword . ':' . $strSalt; 


Vermutlich gibt es auch eine Funktion innerhalb Contao dafür...ich mache das aber per PHP das ich mir mal aus irgendwelchen Coredateien "geklaut" und abgewandelt habe.

VG

[tab]

Wäre natürlich auch wichtig zu wissen, welche Version das "alte System" hat. Die Passwortverschlüsselung hat sich ja mal zwischendurch geändert.

[Kahmoon]

Diese Funktion geht bei mir in 2.11 und einer 3.4 Installation.

[fiedsch]

Diese Funktion geht bei mir in 2.11 und einer 3.4 Installation.

Dann hast Du in der 3.4er Installation aber noch alte Passwörter aus einem Update?!

in system/modules/core/library/Contao/User.php steht in der Methode login():

PHP-Code:


        // The password has been generated with crypt()
        if (\Encryption::test($this->password))
        {
            $blnAuthenticated = \Encryption::verify(\Input::postUnsafeRaw('password'), $this->password);
        }
        else
        {
            list($strPassword, $strSalt) = explode(':', $this->password);
            $blnAuthenticated = ($strSalt == '') ? ($strPassword === sha1(\Input::postUnsafeRaw('password'))) : ($strPassword === sha1($strSalt . \Input::postUnsafeRaw('password')));

            // Store a SHA-512 encrpyted version of the password
            if ($blnAuthenticated)
            {
                $this->password = \Encryption::hash(\Input::postUnsafeRaw('password'));
            }
        } 


Edit: ... bzw. Du schreibst Passwörter nach altem Muster und die werden beim erstenLogin von Contao angepasst.

[Kahmoon]

Die werden täglich per Cron importiert. Wenn das in 3.4 anders ist muss ich das dort mal anpassen. Aktuell klappt es auf jeden Fall

[angelika1]

Das System wurde ja nicht geändert, von einem Tag auf den anderen konnte Contao die Passwörter nicht mehr erkennen.
Also eigentlich gehts ums Auslesen, nicht ums "Reinfuddeln"

In welcher PHP Datei (/system/modules/....) ist die Crypt Routine fürs Login zB drinnen, bzw wo könnte der ehemalige Programmierer gedreht haben, dass Passwörter mit einer eigenen Krypto-Routine interpretiert wurden, danke für Eure Hilfe.

[fiedsch]

In welcher PHP Datei (/system/modules/....) ist die Crypt Routine fürs Login zB drinnen, bzw wo könnte der ehemalige Programmierer gedreht haben, dass Passwörter mit einer eigenen Krypto-Routine interpretiert wurden, danke für Eure Hilfe.

In system/modules/core/library/Contao/User.php steht die Methode login() (Contao 3) (für Contao 2.x schaust Du in system/libraries/User.php)

Wenn Du den Verdacht hast, der ehemalige Programmierer hat an den Contao Orioginaldateien rumgeschraubt, dann solltest Du das mit dem Contao-Check herausfinden können. Wenn der sagt "alles gut", dann wurde an den Contao-Algorithmen (in den Originaldateien) nichts geändert.

[gquincy]

Ich generiere Contao Passworte in einem Cron wie folgt:

PHP-Code:

$strSalt = substr(md5(uniqid(mt_rand(), true)), 0, 23);
$strPassword = sha1($strSalt . $meintext);
$password = $strPassword . ':' . $strSalt; 


Vermutlich gibt es auch eine Funktion innerhalb Contao dafür...ich mache das aber per PHP das ich mir mal aus irgendwelchen Coredateien "geklaut" und abgewandelt habe.

VG

Hallo Kahmoon,
das ist schon mal sehr hilfreich, DANKE!

Aber jedesmal, wenn das Script ausgeführt wird, erzeugt es einen anderen Hashwert.
Wie kann ich denn dann vergleichen, ob mein gerade erzeugter Hashwert mit dem in der Datenbank gespeicherten Hashwert übereinstimmt?
Die sind doch immer unterschiedlich.

Gruß,
George

[fiedsch]

Indem Du beim zweiten Mal den Wert für $salt nicht neu generierst, sondern aus dem gespeicherten Password liest (der Teil nach dem ':')

Aber bitte daran denken: Diese Methode ist nicht mehr das, was in Contao 3 gemacht wird.

Wenn ich mich richtig erinnere werden Passwörter, die nach dem alten Schema erzeug/gespeichert wurden wohl beim Login auf das neue Format geändert und von daher "funktioniert es" aber es bleibt trotzdem "veraltet".