Sichere Passwörter

  • Mclane Mclane
    R2-D2
    0 x
    77 Beiträge
    0 Hilfreiche Beiträge
    14. 01. 2010, 09:55

    Hallo zusammen,

    gibt es schon irgendwo eine deutsche Beschreibung für die Nutzung sicherer Passwörter mit rsaauth und und saltedpasswords. Irgendwie versteh ich nicht so richtig, was da getan werden muss. Da ich mich dann schonmal vom Backend ausgesperrt hatte, suche ich vor weiteren Versuchen erst einmal eine Anleitung.


  • hennes hennes
    R2-D2
    0 x
    87 Beiträge
    0 Hilfreiche Beiträge
    14. 01. 2010, 10:22

    Meines Wissens gibt hier nach wie vor das selbe wie bei anderen Passwörtern.
    Mindestlänge 6 besser 8 Zeichen, Groß- Kleinschreibung, Zahlen, Sonderzeichen.

    Saltedpasswords liefert ja nur nach das Salz in die MD5-Suppe.

  • kolki kolki
    Jedi-General
    0 x
    1044 Beiträge
    5 Hilfreiche Beiträge
    14. 01. 2010, 10:34

    [quote="Mclane"]
    Irgendwie versteh ich nicht so richtig, was da getan werden muss. Da ich mich dann schonmal vom Backend ausgesperrt hatte, suche ich vor weiteren Versuchen erst einmal eine Anleitung.
    [/quote]
    Ging mir auch erst so. Dann habe ich mir aber eine Sicherung angelegt und los gings:
    saltedpasswords führt gut durch's Programm. Man kann eigentlich nichts verkehrt machen bei der Einrichtung - es steht alles da. Bei mir ging alles auf Anhieb glatt und war in wenigen Minuten erledigt. Also, nur Mut. :)

  • Mclane Mclane
    R2-D2
    0 x
    77 Beiträge
    0 Hilfreiche Beiträge
    14. 01. 2010, 10:35

    Sorry, da habe ich mich wohl ungenau ausgedrückt. Ich suche Informationen über die korrekte Installation dieser Extension und was dabei zu beachten ist. Werden z.B. die "alten" Passwörter übernommen, funktionieren Extension wie mm_forum damit usw.

    Bei meinen ersten Versuchen kam ich z.B. nicht mehr ins Backend, im Frontend standen da bei einem 6 stelligen Passwort auf einmal ganz viele Punkte und das Passwort war natürlich falsch.

  • kolki kolki
    Jedi-General
    0 x
    1044 Beiträge
    5 Hilfreiche Beiträge
    14. 01. 2010, 10:53

    Also meine Passwörter waren auch vorher schon MD5-verschlüsselt. Eine deutsche Beschreibung hatte ich auch nicht. Ich habe einfach die beiden Extensions aktiviert und in saltedpasswords (Extension Manager) das Entsprechende (Enable FE, Enable BE) ausgewählt. Im Frontend- bzw. Backend-configuration-check wird angezeigt, wenn was nicht passen sollte. Bei hashing method (FE und BE) verwende ich "MD5 salted hashing (secure)" In den erweiterte Einstellung ist nur "Update BE user passwords" bzw. "Update FE user passwords" aktiviert.

  • WhiteShadow WhiteShad...
    Jedi-Meister
    0 x
    297 Beiträge
    0 Hilfreiche Beiträge
    02. 03. 2010, 00:23

    Genau so habe ich es auch gemacht wie Kolki, aber es will immer noch nicht. Es sind immer noch Klartext Passwörter #angry#

  • kanticus kanticus
    Padawan
    0 x
    38 Beiträge
    0 Hilfreiche Beiträge
    08. 03. 2010, 12:28

    Hallo Zusammen,

    auch ich habe mich jetzt an die Verschlüsselungsgeschichte von 4.3 gewagt und habe folgende Beobachtungen gemacht.

    Zuerst zum Umfeld meiner Tests. XAMPP for Win 1.7.3 mit PHP5.3 und TYPO3 4.3.2.
    Nach Lektüre beider Handbücher zu rsaauth und saltedpasswords habe ich felogin auf einer jungfräulichen Umgebung installiert, einige funktionsfähige Benutzer angelegt und die beiden Extensions installiert.

    Konfiguration erfolgte nach Anweisungen der Extension mit Standardwerten. Ist ja nicht viel.

    Erste Beobachtung: die FE-Variante funktionierte auf Anhieb die BE nicht, wobei bei im FE die Variante 'loginSecurityLevel'=normal eingesetzt war.

    Wie in den ADVANCED-Einstellungen vorgewählt, wandelte die Extension beim Login die Klartext-Passwörter in gehashte um. Der FE-User merkt also von dieser Umstellung nichts und sie funktioniert zuverlässig. Habe die Geschichte einige Male aktiviert und deaktiviert, neue Benutzer angelegt. Alles funktionierte wie dokumentiert.

    Probleme gab es bei der Zuschaltung der rsaauth. Bei Umstellung 'loginSecurityLevel'=normal auf 'loginSecurityLevel'=rsa stieg felogin aus und meldete nur noch Anmeldefehler, bei erneuter 'loginSecurityLevel'=normal ging es wieder ohne Probleme. Im Handbunch steht dazu im Grund fast nichts. Habe dort auch alle etwaigen Fehlerquellen (OpenSSL, USER_INT) überprüft.

    Laut Auskunft der saltedpasswords erwartet diese Extension fürs BE sofort den RSA-Modus. Aktiviert man diesen aber, funktioniert bei mir das Login nicht mehr mit der Begründung: No authentication methods available. Please, contact your TYPO3 administrator.

    Denkt man diese beiden Verhlatensweisen zusammen, so scheint die Zusammenarbeit zwischen rsaauth und saltedpasswords wenigstens bei mir nicht zu klappen. Der RSA-Dienst scheint nicht zu laufen? (siehe BE-Meldung). Inzwischen sind mir die Schrauben zum drehen ausgegangen und die Sache läuft immer noch nicht.

    Hat jemand von Euch ähnliche Beobachtungen gemacht? Liegt das an der Windows-Umgbung, in der ich teste? Hat jemand von Euch dieses Gespann erfolgreich zum Laufen gebracht und wenn ja wie?

    Falsch konfigurieren kann man bei den beiden ja eientlich nicht viel. Im Extension Manager sind die Einstellungen minimal und im Install-Tool sind das auch nur zwei.

    Wäre nett, von Euch hier etwas dazu zu hören.

  • typo3typ typo3typ
    Padawan
    0 x
    42 Beiträge
    0 Hilfreiche Beiträge
    19. 03. 2010, 15:53

    Ja, ich habe auch Probleme mit saltedpasswords.

    Das läuft auf dem System:
    TYPO3 4.3.1
    felogin 1.30
    rsaauth 1.0.0
    saltedpasswords 1.0.0

    in der localconf steht:
    $TYPO3_CONF_VARS['FE']['loginSecurityLevel'] = "rsa";

    Die andere Variante mit
    $TYPO3_CONF_VARS['FE']['loginSecurityLevel'] = "normal";
    habe ich auch vergebens vesucht... #paralyzed#

    Den felogin habe ich per xclass erweitert. In der xclass ist der showlogout lediglich um ein paar marker erweitert, aber, wenn ich die xclass weglasse, besteht das Problem.

    Sämtliche fe_user haben aus der alten DB Passwörter im Klartext. Mit dieser convert to salted batch ext. hab ich alle pws geändert.

    Der Login funktioniert danach nicht mehr.

    Die Einstellungen von saltedpasswords zeigen keine Fehler in der Config.

    Nachdem ich einen rollback der fe_users gemacht habe, habe ich mir per "Passwort vergessen"-Link den Link zum ändern des Passworts schicken lassen - funktioniert alles soweit gut.

    Sobald ich das Passwort über das Formular ändere, schreibt felogin mein geändertes Passwort offenbar salted in die DB - das scheint so gewollt zu sein und passt für mich.

    Allerdings, wenn ich mich dann mit meinem gerade geänderten Passwort einloggen möchte, gehts nicht. Ich habe spasseshalber mal den, in der db hinterlegten salted pw string ins login pw feld gesnappt und schwupps, war ich eingeloggt.

    Scheinbar weiß das login Formular nicht, dass das System mit den saltedpasswords arbeitet, obwohl die Passwort Vergessen Funktionalität ja scheinbar richtig funktioniert udn das geänderte PW salted in die db schreibt...

    Hat jemand einen Tip was ich vergessen habe oder falsch mache?
    Ich hatte ja zuerste meine xclass im Verdacht, aber, wie schon erwähnt, funktioniert das Genze auch ohne meine xclass nicht...

    Beste Grüße

    EDIT:

    Habe gerade das hier entdeckt: (letztes Issue)
    http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-004/
    Versuche es jetzt mit nem Update auf 4.3.2

  • 0 x
    69 Beiträge
    0 Hilfreiche Beiträge
    28. 04. 2010, 19:20

    Hallo zusammen,

    ich habe mich heute auch an die Extension "rsaauth" gewagt. Leider ohne Erfolg.

    [b][u]Mein System:[/u][/b]
    [i]XAMPP 1.7.3
    PHP 5.3.1
    TYPO3 4.3.3
    OpenSSL support enabled
    OpenSSL Library Version OpenSSL 0.9.8l 5 Nov 2009
    OpenSSL Header Version OpenSSL 0.9.8l 5 Nov 2009
    $TYPO3_CONF_VARS['BE']['loginSecurityLevel'] = 'rsa';[/i]

    Wenn ich die Extension installiert habe, den Cache gelöscht und mich erneut versuche ins BE einzuwählen, erscheint nur die Meldung: "No authentication methods available. Please, contact your TYPO3 administrator."

    Wer hat eine Idee was ich falsch mache?

    Habe zusätzlich mal noch die Extension "saltedpassword" installiert, jedoch ist hiermit gar kein Login mehr möglich.

    Freue mich über Antworten.
    Grüße, Chainsaw

  • Nowi Nowi
    Padawan
    0 x
    61 Beiträge
    0 Hilfreiche Beiträge
    11. 09. 2010, 00:03

    Mahlzeit!
    Hatte auch immer Probleme mit rsaauth und saltedpasswords.
    Habe mich heute noch einmal drangesetzt. Hat erst nicht funktioniert. rsaauth und saltedpasswords korrekt installiert und auch die grünen Meldungen, dass alle ok sei.
    Aber nichts ging. Egal ob mit sr_feuser_register eine neuanmeldung gemacht, Passwort vergessen Funktion genutz oder PW von Hand geändert. Auch kopieren des HAshwertes aus der Datenbank und ins PAsswortfeld im FE eingegeben brachte jedesmal eine Fehlermeldung.
    Hier nun meine Lösung wie es dann doch ging.

    Hatte kb_md5fepw installiert und bei sr_feuser_register md5 Verschlüsselung aktiviert. Habe kb_md5fepw deinstalliert und MD5 Verschlüsselung in den Konstanten von sr_feuser_register deaktiviert.
    Zack....der erste Loginversuch danach erfolgreich. Im Installtoo habe ich den loginsecurityLevel fürs FE auf rsa gesetzt.
    Hoffe ich konnte damit anderen helfen.
    Das ganze läuft bei mir unter TYPO3 4.3.5