Fe-User mit gesalzenen Passwörtern und sr_feuser_register

Seit TYPO3 Version 4.3.0 gibt es verbesserte Passwortalgorithmen, inklusiv Salz, als Systemextension integriert. Damit wird die Verwendung von früheren md5 Extensions hinfällig.

Zunächst einmal müssen die folgenden Extensions installiert werden:

Dann muss die Benutzung der RSA Autentifizierung über das Installtool aktiviert werden. Alternativ kann man auch die folgende Zeile der localconf.php hinzufügen:

$TYPO3_CONF_VARS['FE']['loginSecurityLevel'] = 'rsa';

Möchte man die gesalzenen Passwörter auch fürs Backend nutzen, kann man analog dieselbe Einstellung auch beim Backend (BE) vornehmen.

Möchte man einen alternativen Algorithmus zur Generierung der Passwörter nutzen, kann man diese Einstellungen im Extension-Manager Konfigurationsseite der Extension „Salted User Password Hashes“ vornehmen. Zur Auswahl stehen „MD5 salted hashing“, welche mit den früheren MD5 Passwörtern kompatibel sein sollen und „Portable PHP password hashing“, welche mit anderen CMS wie Drupal kompatibel sein sollen. „Blowfish salted hashing“ ist besonders sicher, wird aber häufig noch nicht unterstützt.

sr_feuser_register mit gesalzenen rsa Passwörtern

sr_feuser_register kann von Hause aus momentan (Version 2.5.24) nur mit durch kb_md5fepw erzeugten Passwörtern arbeiten. kb_md5fepw ist aber zu den Systemextensions rsaauth und saltedpasswords nicht kompatibel. Möchte man die Systemextensions nutzen, so muss man srfeuserregister_t3secsaltedpw installieren und den Cache leeren. Ab dann funktioniert die FE Benutzerregistrierung mit sr_feuser_register und gesalzenen Passwörtern.

Vor der Umstellung vorhandene Passwörter (md5 + Klartext)

Waren bereits vor der Umstellung auf gesalzene Passwörter andere Passwörter in md5 oder Klartext vorhanden, so werden diese beim ersten Aufruf automatisch in die neuen, gesalzenen Passwörter umgewandelt. Diese Funktionalität lässt sich über Einstellungen in der Extension saltedpasswords im Extension Manager ändern. In der Kategorie „Advanced Frontend“ kann zum Beispiel „Force salted passwords“ eingestellt werden, dann werden Klartext und md5 Passwörter (für Frontend User) nicht mehr umgewandelt, sondern funktionieren einfach gar nicht mehr. Vielen Dank an Marcus für diesen Hinweis.

Veröffentlicht unter TYPO3 Technik
6 Kommentare auf “Fe-User mit gesalzenen Passwörtern und sr_feuser_register
  1. Marcus sagt:

    Vielen Dank für das Lenken der Aufmerksamkeit auf saltedpasswords.
    Aber:
    Man kann trotz bestehenden User-Accounts (beispielsweise nach einem TYPO3 Update auf Version 4.3.X) durchaus saltedpasswords nutzen. Die Extension erkennt, um welchen Passworttyp es sich handelt und kann mit Klartextpasswörtern, einfachen MD5 hashes und Passwörtern generiert durch t3sec_saltedpw umgehen. Ist eine entsprechende Konfigurationsvariable gesetzt, werden bestehende Passwort-Records zu saltedpasswords während der (erfolgreichen) Authentifizierung „umgewandelt“.
    Um existierende md5 hashes (erzeugt z.B. durch kb_md5fepw) zu benutzen, muss man nicht “MD5 salted hashing” als Algorithmustyp wählen. Wie oben erwähnt, erkennt saltedpasswords solche Passwörter. Einfache md5 hashes haben nichts gemein mit “MD5 salted hashing”.
    Mehr Details im Manual oder unter http://secure.t3sec.info/blog/permalink/34/

  2. Lina sagt:

    Vielen Dank Marcus, da hast Du recht. Ich werde den Warnhinweis am Anfang des Artikels daher entfernen.

  3. Vielen Dank für den Tipp mit srfeuserregister_t3secsaltedpw.
    Die Dokumentation zu saltedpasswords erwähnt zwar die Inkompatibilität der sr_feuser_register zu gesalzenen Passwörtern, bietet aber natürlich keine Lösung.
    Die Doku zu sr_feuser_register erwähnt das Problem erst leider gar nicht, geschweige denn die Lösung.

    Beste Grüße
    Flint

  4. Mischa sagt:

    Weiß jemand, wie die Passwörter schon vor dem Submit per JS versalted werden? Sonst wird ja das Passwort plaintext übermittelt, was durch einen dezenten „Lauschangriff“ auf Port 80 sofort ermittelt werden kann.

  5. Schreiber sagt:

    Hallo,

    kann zufällig jemand bestätigen, dass nach Realisierung der Registrierung wie oben beschrieben, immer noch ein Problem mit der Anmeldung über IE7 besteht?

    Bei mir scheint das der Fall zu sein. Die Passwörter sehen zwar normal verschlüsselt in der DB aus, aber beim Login funktionieren sie auch nach mehrmaligem Versuchen nicht.

    Mit allen anderen Browsern habe ich keine Probleme.

    Hat dafür jemand eine Erklärung oder kann es zumindest bestätigen?

    Gruß,
    Schreiber

  6. Manfred Ursprung sagt:

    Hallo,

    ich verwende sr_feuser_register version 2.6.1 und Typo3 4.5.5 und mit der Extension srfeuserregister_t3secsaltedpw 0.2.0 funktioniert die automatische Anmeldung nach der Bestätigen der Bestätigungsmail nicht.
    Gibt es eine neuere Version von srfeuserregister_t3secsaltedpw ? oder eine andere Lösung des Problems?

    Gruß
    Ursprung

1 Pings/Trackbacks für "Fe-User mit gesalzenen Passwörtern und sr_feuser_register"
  1. […] ist “saltedpasswords” mit “rsaauth” der Standard für Passwörter. Diese stehen jetzt als versalzene MD5 in der Datenbank – was […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*