SQL-ben a jelszavak?

Sziszatok!











Az lenne a kérdésem, hogy van egy WP-s oldalam és megnéztem az sql adatbázist





wp_users tábla user_pass oszlopában található a jelszó… nyilván kódoltak mert ma minden így tárolja…





de a jelszavak elején van egy ilyen karakter: $P$B és a sok krix krax… nos ezek micsodák az elején?





illetve miben tárolja a jelszavakat a WP mert nem md5 ez első ránézésre látszik. Illetve, hogyan tudom vissza kódolni általunk is érthető formába vagy akár md5be.





illetve hol és hogyan lehet beállítani, hogy a jelszavakat md5be tárolja?





Példa egy mostani jelszóra az adatbázisból: $P$Brr4hWo73509uz/urF7lGndv5LR4kC/

A wordpress nem csak simán md5 ben tárolja a jelszót hanem “sózza” is. (sózni kell, anélkül veszélyes lenne az md5, mert ha nem is fejtik vissza, akkor is vannak ilyen x gigás vagy még nagyobb hash adatbázisok, ahol összepárosítható és így “törhető” lenne…ha nincs “sózás”)











Magát a password generálását ez a framework végzi: http://www.openwall.com/phpass/











Az integráció itt található: /wp-includes/class-phpass.php.











Ez a framework -öt több rendszer is használja, wp estében $output = ‘$P$’; -jelet használnak, gondolom a könnyebb megkülönböztetés végett. Ezért is láthatod így az adatbázisban.











Szerintem ne akarj semmilyen password öt simán md5 el eltenni.

És akkor én ebből hogyan hámozok ki jelszót?

Miért kellene kihámozni? Tisztességes esetben milyen szükséged lehet egy felhasználó jelszavára? Ha meg te felejtetted el a sajátodat, mint jogosult admin, akkor meg generáltass újat, vagy éppen írd át, vagy az SQL-ben adj magadnak újat.

lényegében pusztán kíváncsiság lenne. aztán ki tudja mire lehet jó még.

db-ből sehogy sem lehet szükséged jelszót 'kiszedni'. Ha a user-t akarod leuthentikálni a db-ben levő jelszavával akkor a fenti algoritmussal kell legenerálnod a hash-t amit hasonlítasz a db-ben tárolthoz…


'colby87' wrote:




lényegében pusztán kíváncsiság lenne. aztán ki tudja mire lehet jó még.





A szemétkedést hagyjuk a profikra, ha nem kívánatos a felhasználó akkor töröljük, tiltó programmal blokkoljuk az ip-jét.