Passwort: Sicherheit verbessern?
Verfasst: So 13. Okt 2024, 11:14
Es besteht die Möglichkeit in einer zukünftigen LMO Version (klassischer LMO) die Passwort Verwaltung zu ändern. Dies würde die Sicherheit des LMO's erhöhen.
Bisher werden die Passwörter für die Administratoren und Hilfs-Admins als Klartext in die "config/lmo-auth.php" geschrieben.
DwB hat dieses in Seinem LMO (Responsive Design) schon vor 3 Jahren geändert.
Bei dieser Änderung wird in der lmo-auth.php nicht mehr das Passwort gespeichert sondern der Hashwert des Passwortes. Aus diesem Wert kann das Passwort nicht ausgelesen werden. Sondern bei der Anmeldung eines Administrators wird nur verglichen ob der Hashwert des eingegebenen Passwort mit dem gespeicherten Hashwert in der lmo-auth.php übereinstimmt.
Beim Hashing mit der PHP Funktion password_hash() wird aus dem ursprünglichen Passwort im Klartext ein nicht rückrechenbarer Hash erzeugt. Dieser Hashwert ist immer 60 Zeichen lang, egal wie viele Zeichen das ursprüngliche Passwort hat.
Neben des einpflegen der Funktionen in den LMO (keine große Sache) ist auch für die Benutzer des Liga Manager Online eine Änderung der lmo-auth.php von Hand nötig.
Damit, nach einem Update, die Anmeldung des Administrators wieder möglich ist, muss diese (lmo-auth.php) per FTP geändert werden.
Das geschieht entweder in dem man den Standard Zugang (Nutzername: admin, PW: lmo) dort hinterlegt. Das würde in der lmo-auth.php so aussehen.
Oder man kann gleich die geänderten Anmeldedaten dort speichern. Ich würde dafür ein einfaches Onlinetool (lmo-pwhash.php im Download) zur Verfügung stellen. Das so aussehen würde.
Wichtig ist dabei IMMER das die erste Zeile mitnicht gelöscht oder beim kopieren überschrieben wird. Sie muss immer vorhanden sein.
Dazu habe ich nun folgende Umfrage für Euch erstellt. (siehe oben)
Wie immer mit freundlichen Grüßen
Henshingly
[EDIT]
Habe mich dazu entschieden diesen Hack als Addon zum Download freizugeben.
Bisher werden die Passwörter für die Administratoren und Hilfs-Admins als Klartext in die "config/lmo-auth.php" geschrieben.
DwB hat dieses in Seinem LMO (Responsive Design) schon vor 3 Jahren geändert.
Bei dieser Änderung wird in der lmo-auth.php nicht mehr das Passwort gespeichert sondern der Hashwert des Passwortes. Aus diesem Wert kann das Passwort nicht ausgelesen werden. Sondern bei der Anmeldung eines Administrators wird nur verglichen ob der Hashwert des eingegebenen Passwort mit dem gespeicherten Hashwert in der lmo-auth.php übereinstimmt.
Beim Hashing mit der PHP Funktion password_hash() wird aus dem ursprünglichen Passwort im Klartext ein nicht rückrechenbarer Hash erzeugt. Dieser Hashwert ist immer 60 Zeichen lang, egal wie viele Zeichen das ursprüngliche Passwort hat.
Neben des einpflegen der Funktionen in den LMO (keine große Sache) ist auch für die Benutzer des Liga Manager Online eine Änderung der lmo-auth.php von Hand nötig.
Damit, nach einem Update, die Anmeldung des Administrators wieder möglich ist, muss diese (lmo-auth.php) per FTP geändert werden.
Das geschieht entweder in dem man den Standard Zugang (Nutzername: admin, PW: lmo) dort hinterlegt. Das würde in der lmo-auth.php so aussehen.
Code: Alles auswählen
<?php exit(); ?>
admin|$2y$10$iA0M5y8.LELmsi6DZ5Nh7edO3v0m8CPXBZhYZ497fQ/uADQYqX07C|2||0
Die Daten, die man dann von Hand in seine lmo-auth.php einträgt, können aus dem Textfeld kopiert werden.
Wichtig ist dabei IMMER das die erste Zeile mit
Code: Alles auswählen
<?php exit(); ?>Dazu habe ich nun folgende Umfrage für Euch erstellt. (siehe oben)
Wie immer mit freundlichen Grüßen
Henshingly
[EDIT]
Habe mich dazu entschieden diesen Hack als Addon zum Download freizugeben.
Henshingly