MyBB Forum – Kann der Admin einfach mein Passwort sehen?

| | Foren, Web

Da ich schon öfters gefragt wurde, ob man in einem MyBB Forum einfach die Passwörter der User sehen kann, wollte ich das Thema heute mal erklären und klar stellen.

Grundsätzlich kann man die Frage mit Ja und mit Nein beantworten, denn die Passwörter stehen verschlüsselt in der Datenbank!

Und genau zu dieser Art der Verschlüsselung wollte ich euch etwas erzählen.

Die Verschlüsselung sieht folgendermaßen aus:

md5(md5($salt).md5($passwort));

Erst mal etwas zu Message-Digest Algorithm 5 (MD5)

MD5 ist eine kryptografische Hashfunktion, dass heißt man kann einen Wortschnipsel wie zum Beispiel ein Passwort verschlüsseln, allerdings nicht mehr entschlüsseln. Leider gelingt es immer wieder jemanden solche Hash Algorithmen zu entschlüsseln.

Und was ist jetzt dieses „$salt“?

Dieser Salt ist ein zufällig generierter Schlüssel aus Buchstaben und Zahlen und wird für jeden User individuell erzeugt und gespeichert.

Was passiert, wenn es doch jemanden gelingt diesen MD5 Hash zu entschlüsseln?

MD5 gilt aktuell als eine der sichersten Hashalgorithmen der Welt, außerdem wird das Passwort ja durch insgesamt 3 Dinge geschützt:

  1. md5(md5($salt).md5($passwort));
    Das Passwort wird als Einzelnes verschlüsselt und könnt dann zum Beispiel so aussehen:
    md5("MeinPasswort") = 1de0d5e5c412890d4071af8ecd8c8ad7
  2. md5(md5($salt).md5($passwort));Als nächstes unseren verschlüsselten Zufalls-Schnipsel, der hier zum Beispiel so aussieht:
    md5("dfi2IJo") = fbb5910f260fb3144373e3e65a8f27d3
  3. Da momentan ja die Verwendung des „$Salt“ („dfi2IJo“) total überflüssig wäre packen wir nun alles zusammen, das sieht dann so aus:
    md5("fbb5910f260fb3144373e3e65a8f27d3"."1de0d5e5c412890d4071af8ecd8c8ad7") = 6e73a0c888f89f9395f4ed34e0f991c9

Man stellt also fest das man einen Hash mit 32 Stellen entschlüsseln müsste und einen 64 Stelligen Hashcode zu bekommen.
Zumal zunächst bei einsicht in die Datenbank ledigleich 2 Teile für den Admin sichtbar sind:

  1. Das komplett verschlüsselte Passwort mit „$salt“ = 6e73a0c888f89f9395f4ed34e0f991c9
  2. Und den „$salt“ = dfi2IJo

Eine Entschlüsselung nun auf das Passwort des Users ist schlankweg unmöglich nach aktuellem Stand.

Vor kurzem ist es jemanden gelungen kürzere Passwörter, die nur einmal Verschlüsselt wurden zu entschlüsseln, indem er diese 32 Stelligen Hashes reproduziert, das wird aber wie gesagt duch die Verkettung des Saltes und den mehrfachen MD5 Verschlüsselungen verhindert.

Das Fazit ist also: Ruhig bleiben und vertrauen, mal eben in der Datenbank das Passwort nachgucken geht nicht!

Im Übrigen wird das Passwort beim Login einfach verschlüsselt und in seiner verschlüsselten Form mit dem in der Datenbank verglichen!

 

Teile diesen Beitrag

Neueste Beiträge

Your MSPA Goes Smart – Step-by-Step to a DIY Smart Home Hot Tub (Wi-Fi Upgrade)

Introduction

In this article, I’ll show you how I successfully reverse-engineered the serial communication protocol of an MSPA Muse Carlton hot tub. The goal was to read remote control commands and send custom ones. I used an ESP32 Dev Board[*] for this. This protocol likely works with other MSPA models as well.

This article is for makers, home automation enthusiasts, and tech fans who enjoy diving deep into technical systems.


Weiter >>
Teile diesen Beitrag

Dein MSPA wird smart – Schritt-für-Schritt zum DIY Smart Home Whirlpool (WIFI/WLAN Upgrade) / Reverse Engineering eines proprietären UART-Protokolls am Beispiel eines Whirlpool-Steuergeräts (MSPA Muse Carlton)

Einleitung

In diesem Artikel zeige ich dir, wie ich das serielle Kommunikationsprotokoll eines MSPA Muse Carlton Whirlpools erfolgreich reverse-engineered habe. Ziel war es, die Fernbedienungsbefehle auszulesen und eigene Kommandos zu senden. Dafür kam ein ESP32 Dev Board[*] zum Einsatz. Dieses Protokoll funktioniert vermutlich auch bei anderen MSPA-Modellen.

Dieser Artikel richtet sich an alle Maker, Home-Automatisierer und Technik-Fans, die gern tief in die Technik eintauchen.


Weiter >>
Teile diesen Beitrag

Der perfekte Einstieg in die Welt der Vinyls: Der Denon DP-300F und 2 Alternativen

Warum Vinyl?

Vinyl erlebt seit einigen Jahren ein riesiges Comeback. Der warme, analoge Klang, das bewusste Musikhören und das Sammeln von Schallplatten faszinieren immer mehr Musikliebhaber. Dabei ist nicht nur das nostalgische Feeling ausschlaggebend, sondern vor allem auch der unverwechselbare Klangcharakter von Vinyl – ein Klang, der trotz moderner digitaler Verfahren nach wie vor viele Fans begeistert.

Denon DP-300F[*] – Der ideale Allrounder für Einsteiger

Der Denon DP-300F[*] ist nach wie vor ein beliebter vollautomatischer Plattenspieler im Einsteigerbereich. Sein automatischer Tonarm sorgt für einen schonenden Umgang mit Nadel und Platte – perfekt, wenn du ohne großen Aufwand direkt in den Vinylgenuss starten möchtest.


Weiter >>
Teile diesen Beitrag

Ein Leitfaden für Senioren: Günstige Smartphones bis 100 Euro – Unsere 4 Favoriten & Erfahrungsbericht einer maßgeschneiderten Senioren-Lösung – UPDATE 2024/25

In diesem Beitrag stellen wir dir vier günstige Smartphones vor, die aktuell (Stand Dezember 2024) für unter 100 Euro erhältlich sind. Zusätzlich teilen wir eine ganz besondere Geschichte aus dem Familienkreis: Wie wir eines dieser Geräte für die Oma meiner Verlobten eingerichtet haben, damit sie trotz ihrer Parkinson-Erkrankung gut damit zurechtkommt.


Weiter >>
Teile diesen Beitrag

© 2013-2025 www.worldhack.de - Impressum

[*] Alle Links mit einem "*" auf meiner Seite sind "Affiliate-Links", die mir eine kleine Provision einbringen, wenn ihr darüber Produkte kauft oder euch anmeldet – ohne zusätzliche Kosten für euch. Diese Einnahmen unterstützen meine Seite und ermöglichen mir, weiterhin qualitativ hochwertige Inhalte zu liefern. Eure Zufriedenheit ist mir wichtig, daher stehe ich für Fragen und Transparenz jederzeit zur Verfügung. Danke für eure Unterstützung!