kunnen jullie mijn password zien?

Voor zover ik weet kunnen sommige mods wel profiles aanpassen, maar geen passwords zien.

Diegene die in de database kunnen kunnen dat ja. ACM bijv :)Passwords kunnen verwijderd en/of geemaild worden enzo. maar het lijkt me onlogisch dat deze bekeken kunnen worden.

De titel kan aangepast worden maar ook daarvoor het je een specifieke moderator voor nodig die in LA mag modereren

Lijkt mij dat de passwords met md5 versleuteld zijn en dat is niet terug te halen... Wat ze wel kunnen doen is het wachtwoord wijzigen lijkt mij

Is het niet zo dat er een nieuw wachtwoord gegenereerd wordt en dat wordt opgestuurd. Dan kan het nog steeds versleuteld zijn. Als het wel wordt teruggestuurd (je echte oude) dan kan het of plain of met tweezijdige encryptie opgeslagen zijn

Op woensdag 10 april 2002 13:46 schreef WOmBaT het volgende:
Lijkt mij dat de passwords met md5 versleuteld zijn en dat is niet terug te halen... Wat ze wel kunnen doen is het wachtwoord wijzigen lijkt mij

correct.

Op woensdag 10 april 2002 13:48 schreef ShockWave het volgende:
Als ze het kunnen mailen dan moet het dus ook in plain form in de database staan.

Dus dan zou het wel gezien kunnen worden (of klopt dit dan niet?)

Dat klopt niet, want we kunnen het ook niet mailen. Wat we wel kunnen is een nieuw password mailen. Verder kunnen de mensen die banrechten hebben ook kleine dingen in het profiel aanpassen, zoals ondertitel, signature, homepage, (web)icon en e-mailadres. Dat wordt in principe gedaan als er flames of porno of warez ofzo staat en alleen door DT-ers (mensen met zo'n gek rood kruisje ).

We kunnen dus wel een acount "kapen" (mailaders wijzigen naar jvs@tweakers.net en passmailen maar) mochten we dat willen, maar we kunnen niet zien wat je huidige password is

Passwords kunnen de db meneren idd niet zien, ik weet dat toen ik zelf probs met een password had, het is idd versleuteld...

ik weet zeker dat de passwords md5() zijn versleuteld. Dit betekend dat ze NIET meer te achterhalen zijn.

Over het hoe en wat kun je eens zoeken bij google hierover.

Op woensdag 10 april 2002 14:26 schreef chem het volgende:
ik weet zeker dat de passwords md5() zijn versleuteld. Dit betekend dat ze NIET meer te achterhalen zijn.

In theorie is het wel mogelijk naar we aannemen .

Op woensdag 10 april 2002 17:15 schreef IceStorm het volgende:

[..]

In theorie is het wel mogelijk naar we aannemen .

Ik mag toch hopen van niet...

Op woensdag 10 april 2002 17:45 schreef Wokschotel het volgende:

[..]

Ik mag toch hopen van niet...

Je kunt gewoon bruteforce allerlei combinaties hashen en vergelijken met de opgeslagen variant, maar daarmee heb je nog niet zeker het oorspronkelijke wachtwoord achterhaald, er zijn meerdere mogelijkheden die bij dezelfde hash uitkomen (zoals ik mij heb laten vertellen ).

Op woensdag 10 april 2002 17:45 schreef Wokschotel het volgende:

[..]

Ik mag toch hopen van niet...

ik denk dat de passwords van de crew ons wat nader gelegen zijn dan die van een user qua security
dus als wij het vertrouwen, kan jij er ook op vertrouwen

en ja, brute force zou je EEN woord kunnen vinden wat de dezelfde hash oplevert. Maar goed, dan ben je alweer ff een tijdje verder

Op woensdag 10 april 2002 17:45 schreef Wokschotel het volgende:

[..]

Ik mag toch hopen van niet...

Tuurlijk is een MD5 gecodeerd wachtwoord te achterhalen... Gewoon bruteforcen ala distributed.net... Of het de moeite waard is, is een andere vraag...

Een lamertje met een paar PC's is iig wel een paar honderd jaar bezig...

Op woensdag 10 april 2002 17:48 schreef johnny appleseed het volgende:

[..]

Je kunt gewoon bruteforce allerlei combinaties hashen en vergelijken met de opgeslagen variant, maar daarmee heb je nog niet zeker het oorspronkelijke wachtwoord achterhaald, er zijn meerdere mogelijkheden die bij dezelfde hash uitkomen (zoals ik mij heb laten vertellen ).

Ik weet heus wel wat MD5 is, maar ik dacht dat Icestorm iets anders bedoelde. Never mind

Hmm da's beter dan bij UBB, daar kunnen admins alle userpw's zien. Zuigt best wel.

Op woensdag 10 april 2002 17:49 schreef Moartn het volgende:

[..]

Tuurlijk is een MD5 gecodeerd wachtwoord te achterhalen... Gewoon bruteforcen ala distributed.net... Of het de moeite waard is, is een andere vraag...

Een lamertje met een paar PC's is iig wel een paar honderd jaar bezig...

En ervan uitgaande dat elke veiligheids-bewuste gebruiker zijn/haar wachtwoord eens in de zoveel tijd wijzigd, mag dit geen enkel probleem opleveren.

Je kunt wel zien of iemand z'n password gelijk is aan een ander .. MD5 hashes vergelijken

Maar dan weet je nog niet wat de pass is

Voor de users die niet weten hoe een MD5 string eruitziet:

GatheringOfTweakers wordt a0f69e46097cf22a23dd396e2800a7e1

Veilig genoeg zolang het geod gebruikt wordt...