WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

Du bist nicht angemeldet.

#1 13.08.2019 09:48:47

sillar
Mitglied

Passwort vergessen

Jetzt ist es passiert, habe das Admin Passwort vergessen, bzw. finde es nicht wieder. Passwort zusenden klappt auch nicht.

Habe dunkel in Erinnerung, dass man es in der Datenbank ändern kann, bzw. das verschlüsselte Passwort auslesen kann....?

Offline

#2 13.08.2019 10:03:47

florian
Administrator

Re: Passwort vergessen

Wenn Du noch FTP-zugang hast, kannst Du dieses Script hochladen, ausführen und wieder löschen, dann wir das Passwort zurückgesetzt
https://github.com/WBCE/wbce_tools/tree … n_password


Code allein macht nicht glücklich. Jetzt spenden!

Offline

Liked by:

chap

#3 13.08.2019 10:25:52

sillar
Mitglied

Re: Passwort vergessen

Vielen Dank, Florian. Hat geklappt!

Offline

#4 19.02.2020 12:39:44

better-work
Mitglied

Re: Passwort vergessen

Das scheint leider nicht mehr zu funktionieren...
Die Passwörter werden bei allinkl als Hash abgelegt, ich habe da leider nichts zielführendes gefunden...


Gruß Jörg

Offline

#5 19.02.2020 12:46:15

florian
Administrator

Re: Passwort vergessen

Doch, das funktioniert (und hat nichts mit All-Inkl zu tun. Natürlich sind die PW gehasht.) Es funktioniert aber out of the box nur für den Benutzer mit der ID 1. Wenn es um einen anderen Nutzer geht, muss die User-ID im Script entsprechend geändert werden.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#6 19.02.2020 12:52:48

florian
Administrator

Re: Passwort vergessen

Es wird übrigens nur das Passwort zurückgesetzt, nicht der Nutzername.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#7 19.02.2020 16:18:13

better-work
Mitglied

Re: Passwort vergessen

Ah, Okay, dann war ich wahrscheinlich zu ungeduldig, Sorry...
Aber schön auch diese Möglichkeit zu haben.
Da das Ganze nun nicht mehr als MD5 in der Datenbank steht gibt es wahrscheinlich auch keine (sinnvolle) Möglichkeit das auszutauschen, oder?
Zumindest habe ich keinen vernünftigen Hash-Generator gefunden.


Gruß Jörg

Offline

#8 19.02.2020 18:10:15

mrbaseman
Developer

Re: Passwort vergessen

derzeit funktioniert md5 noch als Fallback. Beim ersten (erfolgreichen) Login wird der Hash dann auf was moderneres umgeschrieben (je nach Serverseitiger Unterstützung eben).

Offline

Liked by:

better-work

#9 20.02.2020 09:20:22

mrbaseman
Developer

Re: Passwort vergessen

Noch als Ergänzung: Das Passwort Reset Tool nutzt übrigens auch den Fallback Mechanismus und trägt erstmal einen Md5 Hash ein, der beim ersten Login umgeschrieben wird.

Genauso werden nach einem Update auf 1.4.x alte Hashes sukzessive konvertiert. Oder wenn php erst noch eine veraltete 5er Version ist, geht die Umstellung los, sobald php aktualisiert ist die nötige Unterstützung mitbringt.

Offline

#10 20.02.2020 17:01:42

better-work
Mitglied

Re: Passwort vergessen

@mrbaseman

vielen Dank für die ausführliche Rückinfo. Die Frage ist natürlich auch, wie lange wird MD5 noch unterstützt.
Dadurch war der Austausch des Benutzernamens und des Passwortes in der DB eine schnelle Sache.
(Zwecks Spiegelung von Installationen)
Andererseits verstehe ich natürlich auch, das die Sicherheitsanforderungen höher werden ;-)


Gruß Jörg

Offline

#11 20.02.2020 18:09:20

mrbaseman
Developer

Re: Passwort vergessen

Also wenn man bedenkt, dass die Diskussion MD5 Hashes loszuwerden älter ist als WBCE selbst und erst mit der 1.4 ein Umstieg implementiert ist, würde ich mal davon ausgehen, dass der Fallback noch eine Weile erhalten bleiben wird. Aber wenn wir diesen alten Zopf irgendwann in der Zukunft vollends abschneiden, dann muss natürlich auch das Passwort-Reset-Tool umgestellt werden und man muss sich dann Gedanken machen, wie ein Update von alten Versionen aussehen könnte, bei denen die existierenden Hashes nun mal als MD5 hinterlegt sind.

Mal schauen, wie man das dann löst, aber die Problematik mit der Kompatibilität in dem Zusammenhang ist mir durchaus bewusst. Deshalb haben wir die Umstellung der Hashes bei der Einführung ausführlich getestet. Das werden wir sicher auch wieder so machen, wenn wir irgendwann bei diesem Thema den nächsten Schritt wagen.

Offline

Liked by:

florian

Fußzeile des Forums

up