Hallo zusammen,

*mal wieder zu Wort meld*:yes:

Ich habe heute gesehen, dass unter:

adminforce/?content=/usersystem/doppelaccis

Auch doppelte Passwörter angezeigt werden. Und dort habe ich auch folgenden Eintrag gefunden:

User mit dem Passworthash
Danach sind drei User aufgeführt. Heißt dass jetzt, dass alle drei das gleiche Passwort besitzen? :eek:

liebe Grüße und frohes neues Jahr!
Sebastian

Ja das bedeutet das alle 3 User das gleiche Paßwort für deine Seite verwenden.

Gruß

EarlofMidnight

dann muss es ein einfaches passwort sein wenn sogar gleich 3 user dies haben

Danach sind drei User aufgeführt. Heißt dass jetzt, dass alle drei das gleiche Passwort besitzen? :eek:


Nicht ganz, da ja ein md5-hash kein eindeutiges Passwort identifiziert. Es kann auch sein, dass alle drei verschiedene Passwörter benutzen, die jedoch den selben Hash haben, die Wahrscheinlichkeit ist dabei jedoch sehr gering.:biggrin1:

Ja das bedeutet das alle 3 User das gleiche Paßwort für deine Seite verwenden.


...

Es kann auch sein, dass alle drei verschiedene Passwörter benutzen, die jedoch den selben Hash haben, die Wahrscheinlichkeit ist dabei jedoch sehr gering.:biggrin1:


Ja gut. Also ich habe die Accounts auch mal kurz überflogen - Doppelt Accounts sind es bestimmt nicht.

Aber wie würdet ihr nun als Admin reagieren? Soll ich die entsprechenden User darauf hinweisen? Oder soll ich es einfach so lassen (Was der Hund nich weiß, macht ihn nicht heiß)

Verrate doch gleich das user x,y,z die gleichen passwörter nutzen wie du selbst :frusty: .

Würde die auf jedenfall aufmerksam machen das er das passwort sicherer machen sollte bwz ändern

Mein 1.400 Beitrag

Verrate doch gleich das user x,y,z die gleichen passwörter nutzen wie du selbst :frusty: .
So weit kann ich auch noch denken, dass ich das bestimmt nicht die Namen nennen werde! -.- .:hand:


Würde die auf jedenfall aufmerksam machen das er das passwort sicherer machen sollte bwz ändern


Ja, das werde ich auch machen.

Danke

So weit kann ich auch noch denken, dass ich das bestimmt nicht die Namen nennen werde! -.- .:hand:


Ja, das werde ich auch machen.

Danke

Und sag auch nich das es ein Doppeltes ist.

Ich persölich würde eine Email schreiben.

HI
Ich habe bei einer Routineüberprüfung festgestellt, das sie ein sehr einfaches Passwort verwenden.
Weiteres würde ich ihnen empfehlen das Passwort zu ändern.
Gute Passwörter enthalten Zeichen, Großschrift und Kleinschrift Sonderzeichen und Zahlen.

MFG Admin


so oder so ähnlich würde ich die user darauf hinweisen.

...
Jo, Mails sind schon raus! ;)
Und deinen Tipp hatte ich natürlich vorher schon beachtet!

*g* Jetzt müsste nur noch der Thread hier verschwinden.

...
*g* Jetzt müsste nur noch der Thread hier verschwinden.

Hier verschwindet gar nichts :biggrin1:

Btw: zum Thema doppelte Passwörter:
Man kann doch einfach jedem User ein neues generieren und per Mail zuschicken...

Man kann doch einfach jedem User ein neues generieren und per Mail zuschicken...
Jetzt muss ich mal ganz dumm fragen, wie das geht?

Ich mein in der Datenbank gibt es ja die Tabelle Passwort. Aber das ist ja verschlüsselt. Ich bin mir jetzt nicht sicher, ob ich da einfach einen anderen md5 (oder wie das heißt) Schlüssel eintragen kann und dann ist das Passwort geändert?

Ich bin mir jetzt nicht sicher, ob ich da einfach einen anderen md5 (oder wie das heißt) Schlüssel eintragen kann und dann ist das Passwort geändert?

Genau so ist es... PW mit md5 verschlüsseln, in die DB eintragen und dem User das unverschlüsselte schicken:biggrin1:

einfach die email bei passwort vergessen eintragen *rofl*

Genau so ist es... PW mit md5 verschlüsseln, in die DB eintragen und dem User das unverschlüsselte schicken:biggrin1:
xD^^

einfach die email bei passwort vergessen eintragen *rofl*
Ja das ist natürlich auch eine Möglichkeit. ;)
Aber ich habe jetzt ja die Mails versendet - Mal schaun, was sich tut.
Vielen Dank an euch alle! =)

Also ich hab es bei mir so gemacht Wenn mehr als 10 User das gleiche Passwort nutzen (bei 1,5k Usern war das paar mal vorgekommen) generiere ich jedem ein neues PW dafür hab ich die userbearbeiten.php etwas erweitert.

Nutze ich übrigens auch dann wenn ein Account "gehackt" wurde (Mehrfachlogins in mehrere Accounts von ausländischen IPs) deshalb der Text so ;) kann man natürlich ändern ^^

userbearbeiten.php

Suche:

$alledaten = mysql_fetch_assoc ($sql);Füge danach ein:



// Neues Passwort.
if (isset($_POST['new_pw']))
{
$pw = create_code(10);
db_query('UPDATE '.$db_prefix.'_kontodaten SET passwort="'.md5($pw).'" WHERE uid='.$_GET['uid'].' LIMIT 1');

$text = 'Hallo '.$alledaten['nickname'].',
bei einer Kontrolle der Accounts sind uns unregelmäßigkeiten in deinem Account aufgefallen,
aus Sicherheitsgründen haben wir deine Zugangsdaten geändert. Bitte habe Verständnis dafür
das wir dir aus Gründen des Datenschutz keine weiteren Informationen über die unregelmäßigkeiten
geben dürfen.

===================
Neues Passwort: '.$pw.'
===================

Mit freundlichen Grüßen
Dein '.$seitenname.' Team
';

if (usermail ($alledaten['emailadresse'],$seitenname.' - Sicherheitshinweis', $text, '"'.$seitenname.'" <'.$betreibermail.'>'))
{
head('pw');
echo 'Passwort geändert!';
foot();
}
}
// Neues Passwort
Suche:

<tr bgcolor="#ededed">
<td align="center" colspan="2"><br /><input type="submit" name="profile" value="&raquo; Updaten"><br />&nbsp;</td>
</tr>Füge danach ein:


<tr bgcolor="#ededed">
<td align="center" colspan="2"><br /><input type="submit" name="new_pw" value="&raquo; Passwort ändern."><br />&nbsp;</td>
</tr>
Der User bekommt dann bei Klick auf "Passwort ändern" ein neues 10stelliges Passwort per E-Mail.

Super! Danke dir :=) :yes::thumb:

Naja es wäre ja auch nicht außzuschließen, dass es sich bei den 3 Nicks um eine Person handelt die für alles ein einziges Passwort benutzt.

Naja es wäre ja auch nicht außzuschließen, dass es sich bei den 3 Nicks um eine Person handelt die für alles ein einziges Passwort benutzt.

Jo, das ist klar. ;)
Aber das ist nicht der Fall. Habe das schon überprüft gehabt.:biggrin1:

achso ok dann ist ja gut ^^