CONTENIDO Forum

Hallo,
seit geraumer Zeit versuche ich mit allen mir denkbaren Möglichkeiten die Funktion "Passwort vergessen ?" beim Login in das Backend zu nutzen. Ich bekomme zwar sofort die E-Mail-Mitteilung mit einem Passwort dazu, aber das neue Passwort wird nicht akzeptiert und das alte (vergessene) Passwort ist ebenfalls futsch ?
Für sachdienliche Hinweise:
Zwei Portionen Chili con carne

Moin Seelauer,

erstelle eine PHP-Datei mitund ruf diese im Browser auf.
Den dann angezeigten Code speicherst du für dein Login in die Datenbanktabelle (con_phplib_auth_user_md5 bei der 4.8.x).

Gruß
René

Das wird in der 4.9 nicht mehr funktionieren, da das Passwort-Hashing etwas komplexer geworden ist. Der Passwort-Hash wird aktuell so bestimmt:

Danke René,
danke Ingo für die Hinweise.
Es geht aber hier nicht darum, daß ich mich in das Backend nicht einloggen kann, sondern darum, dass schlicht und einfach die "Passwert vergessen ?"-Funktion bei mir nicht so will wie wahrscheinlich gedacht.

Hi @Seelauer,
ich würde da mal die Passworterzeugung unter die Lupe nehmen, denn könnte durchaus sein, dass die Passworterzeugung und Prüfung bei der Installation anders ist als bei der Passwort Vergessen Funktion. Es reicht ja schon, wenn das Salt anders bestimmt wird.

Bei anderen Systemen wird zum Beispiel das alte Passwort quasi in Quarantäne gesteckt (aber nicht gelöscht) und das neue Passwort in die Tabellen-Spalte daneben gestellt und zugleich ein Hinweis in die Tabelle geschrieben, dass ein "Passwort Vergessen" angefordert wurde (damit wird das neue Passwort als gültig markiert).
Theoretisch könnten Fremde von außen Passwort Vergessen anfordern, wenn sie den Usernamen oder Emailadresse kennen, daher wird das alte Passwort beibehalten.
Logt der rechtmäßige User sich mit dem neuen Passwort ein, wird das alte gelöscht, dass neue Passwort in diese Spalte verschoben und der Vermerk aufgehoben.
Logt er sich mit dem alten Passwort ein, wird das neue gelöscht und der Vermerk aufgehoben.
Hat er die Email nicht bekommen, kann er jederzeit wieder ein neues Passwort anfordern, es wird nur immer das "neue Passwort" ausgetauscht aber das Alte bleibt.

Schwieriger wird's bei "Passwort vergessen und Emailadresse ist gelöscht" (kommt öfter vor als man denkt).
Dann muss der Admin im Backend dem User eine neue Emailadresse zuordnen oder direkt in die Datenbank schreiben.
Vorausgesetzt, der User kann dann beweisen, dass er der User im Profil ist.
Somit kommt in jedem Fall der rechtmäßige User wieder rein, aber kein Fremder.

Manche gehen auch den Weg, dass das "neue Passwort" immer nur ein Übergangspasswort bleibt und nur einmal erfolgreich benützt werden kann und danach gleich ein neues Passwort angelegt werden muss. Das hat dann etwas mehr Sicherheit, weil das Passwort das per Mail verschickt wurde, nicht sicher ist (könnte ja jemand anders lesen).
Wieder andere versenden nur einen (einmalig gültigen) Aktivierungslink wonach man zuerst ein neues Passwort angeben muss mit dem man sich dann einloggen kann. Halte ich aber auch nicht für sicherer als das Übergangspasswort.

Ich weiß nicht wie Con49 das macht aber irgendwo auf dem Weg durch die Instanzen wird der Fehler liegen.

Wir nehmen das noch einmal auf unsere Prüfliste. Ursprünglich hatten wir uns das eigentlich schon mal angesehen, vielleicht ist da etwas durchgerutscht.

Den Fehler kann ich bestätigen.

Es scheint noch ein Problem zu geben:
Ich habe im Setup dieses Passwort eingegeben: dachs!"§
Damit konnte ich mich nicht einloggen. Das neu angeforderte Passwort kam sofort, funktionierte aber nicht.

Nach Neuinstallation mit dem Passwort dachs konnte ich mich einloggen.
Da scheint was mit den Zeichen !"§ nicht zu funktionieren.

Browser: ie8

Viele Grüße

Josh

Hab jetzt auch das Problem gehabt, dass er mir das Passwort nicht mehr an nahm und hab die Passwort-Vergessen Funktion benützt.
Dieses setzt wohl in das Feld Passwort als auch für das Übergangspasswort den gleichen Hashwert ein, 32 Zeichen lang (md5 ? ).
Aber mit der Funktion wie jetzt das PAsswort erzeugt wird, ist es 64 Zeichen lang. Kann also gar nicht stimmen, mit den 32 Zeichen vorher.

Und tatsächlich, nachdem ich mir ein 64 Zeichen langes Passwort mit der neuen Funktion in die Datenbank geschrieben hatte, funktionierte das mit dem einloggen.
Ich würde mal sagen, dass da noch nicht alles auf die neue Funktion umgestellt ist.

VG,
Frank

Ich habe die Passwort-Generierung bei der "Passwort vergessen"-Funktion angepasst. Mit dem vom Skript erzeugten neuem Kennwort kann ich mich im Backend nun wieder anmelden. Im Folgenden die angepasste Klasse "class.password.request.php" aus dem Ordner "contenido/classes"