Fe-User mit gesalzenen Passwörtern und sr_feuser_register
Seit TYPO3 Version 4.3.0 gibt es verbesserte Passwortalgorithmen, inklusiv Salz, als Systemextension integriert. Damit wird die Verwendung von früheren md5 Extensions hinfällig.
Zunächst einmal müssen die folgenden Extensions installiert werden:
Dann muss die Benutzung der RSA Autentifizierung über das Installtool aktiviert werden. Alternativ kann man auch die folgende Zeile der localconf.php hinzufügen:
$TYPO3_CONF_VARS['FE']['loginSecurityLevel'] = 'rsa';
Möchte man die gesalzenen Passwörter auch fürs Backend nutzen, kann man analog dieselbe Einstellung auch beim Backend (BE) vornehmen.
Möchte man einen alternativen Algorithmus zur Generierung der Passwörter nutzen, kann man diese Einstellungen im Extension-Manager Konfigurationsseite der Extension “Salted User Password Hashes” vornehmen. Zur Auswahl stehen “MD5 salted hashing”, welche mit den früheren MD5 Passwörtern kompatibel sein sollen und “Portable PHP password hashing”, welche mit anderen CMS wie Drupal kompatibel sein sollen. “Blowfish salted hashing” ist besonders sicher, wird aber häufig noch nicht unterstützt.
sr_feuser_register mit gesalzenen rsa Passwörtern
sr_feuser_register kann von Hause aus momentan (Version 2.5.24) nur mit durch kb_md5fepw erzeugten Passwörtern arbeiten. kb_md5fepw ist aber zu den Systemextensions rsaauth und saltedpasswords nicht kompatibel. Möchte man die Systemextensions nutzen, so muss man srfeuserregister_t3secsaltedpw installieren und den Cache leeren. Ab dann funktioniert die FE Benutzerregistrierung mit sr_feuser_register und gesalzenen Passwörtern.
Vor der Umstellung vorhandene Passwörter (md5 + Klartext)
Waren bereits vor der Umstellung auf gesalzene Passwörter andere Passwörter in md5 oder Klartext vorhanden, so werden diese beim ersten Aufruf automatisch in die neuen, gesalzenen Passwörter umgewandelt. Diese Funktionalität lässt sich über Einstellungen in der Extension saltedpasswords im Extension Manager ändern. In der Kategorie “Advanced Frontend” kann zum Beispiel “Force salted passwords” eingestellt werden, dann werden Klartext und md5 Passwörter (für Frontend User) nicht mehr umgewandelt, sondern funktionieren einfach gar nicht mehr. Vielen Dank an Marcus für diesen Hinweis.
Vielen Dank für das Lenken der Aufmerksamkeit auf saltedpasswords.
Aber:
Man kann trotz bestehenden User-Accounts (beispielsweise nach einem TYPO3 Update auf Version 4.3.X) durchaus saltedpasswords nutzen. Die Extension erkennt, um welchen Passworttyp es sich handelt und kann mit Klartextpasswörtern, einfachen MD5 hashes und Passwörtern generiert durch t3sec_saltedpw umgehen. Ist eine entsprechende Konfigurationsvariable gesetzt, werden bestehende Passwort-Records zu saltedpasswords während der (erfolgreichen) Authentifizierung “umgewandelt”.
Um existierende md5 hashes (erzeugt z.B. durch kb_md5fepw) zu benutzen, muss man nicht “MD5 salted hashing” als Algorithmustyp wählen. Wie oben erwähnt, erkennt saltedpasswords solche Passwörter. Einfache md5 hashes haben nichts gemein mit “MD5 salted hashing”.
Mehr Details im Manual oder unter http://secure.t3sec.info/blog/permalink/34/
Vielen Dank Marcus, da hast Du recht. Ich werde den Warnhinweis am Anfang des Artikels daher entfernen.