Problem:
Bei der Anmeldung im 3N-Tool kann es dazu kommen, dass das System den Login verweigert, da das Passwort angeblich falsch eingegeben wurde. Betroffen sind alle Nutzerkonten, die vor dem 19. Juli 2014 angelegt wurden und seitdem die Funktion der Passwortwiederherstellung nicht genutzt haben. Das Problem tritt nicht auf, während man den automatischen Login aktiviert hat, jedoch kann man in diesem Fall sein Passwort oder die E-Mail-Adresse nicht mehr ändern; auch hier wird ein falsches Passwort als Grund angegben.
Technischer Hintergrund:
Bei der Registrierung oder bei einem späteren Wechsel des Passwortes wird nur ein kryptographischer Hashwert in der Datenbank gespeichert. Da bei späteren Eingaben des Passwortes immer der selbe Hashwert erzeugt wird, kann man damit die Richtigkeit des Passwortes überprüfen. Aus dem Hashwert allein ist es aber nahezu unmöglich das verwendete Passwort zu erschließen. In der PHP-Version, die bis zum 18. Juli auf dem Webserver lief, auf dem das 3N-Tool gehostet wird, war ein Fehler in der vom 3N-Tool verwendeten Hashfunktion enthalten. Dieser Fehler war nicht sicherheitsrelevant, sondern ordnete nur die Bits verkehrt herum an, aus denen nachher der Hashwert gebildet wurde. Mit der neuen PHP-Version wurde dieser Fehler korrigiert, was aber nun dazu führt das die neu generierten, richtigen Hashwerte bei der Anmeldung nicht mehr zu den alten, fehlerhaften in der Datenbank passen.
Problembehebung
Zur Problembehebung muss jeder Nutzer selbst aktiv werden, da ich in Unkenntnis der Passwörter keine neuen Hashwerte generieren kann.
Wenn ihr den automatischen Login aktiviert habt, also noch angemeldet seid, ist Folgendes zu tun:
- Geht in die persönlichen Einstellungen und überprüft, ob die dort angegebene E-Mail-Adresse richtig und grün geschrieben ist. Wenn das nicht der Fall sein sollte, schreibt mir eine PN für das weitere Vorgehen.
- Klickt auf "Abmelden", um den automatischen Login zu deaktivieren und euch auszuloggen.
- Klickt auf "Anmelden" und führt dort die Passwort-Wiederherstellung mit euren Daten durch.
- In der E-Mail, die ihr dann erhaltet, steht das weitere Vorgehen. Ihr könnt anschließend selbstverständlich auch wieder euer gewohntes Passwort verwenden.
Wenn ihr nicht angemeldet seid, klickt direkt auf "Anmelden" und verwendet ebenfalls die Passwort-Wiederherstellung. Sollte dies nicht möglich sein, weil im System keine E-Mail-Adresse hinterlegt ist, oder kommt keine E-Mail bei euch an, schreibt mir bitte eine PN für das weitere Vorgehen.