PDA

View Full Version : Passwort


Franz Karl
09-02-07, 13:11
Gibt es eine Möglichkeit, dass Passwort eines USER im Klartext anzuzeigen.

Natürlich als QSECOFR.

Danke für eine Hilfe
Fuerchau
09-02-07, 13:13
Definitiv NEIN.
Per CHGUSRPRF kannst du als QSECOFR ja ein beliebiges vergeben.
MKnoll
20-02-07, 15:18
Hallo Franz Karl,

Klartext-Anzeige ist definitiv nicht drin.

Wenn es Dir lediglich darum geht, das Passwort für ein Benutzerprofil auf andere i5 (/ iseries / AS/400 oder was sonst noch an Bezeichnungen kommen mag) zu portieren, dann gäbe es noch einen anderen Weg:

Mit API QSYRUPWD liest man Passwörter verschlüsselt aus und mit API QSYSUPWD kann man dann dieses Passwort wieder setzen (so aktualisiere ich unsere Helpdesk-User auf 55 Maschinen).

Wohlgemerkt - das Passwort bleibt die ganze Zeit über verschlüsselt.

Grüße,

Mirko
KingofKning
21-02-07, 08:13
Wenn mich nicht alles täuscht, gibt es ja die Möglichkeit selber Programme für die Passwortvalidierung zu implementieren und da müßte das Passwort ja dann im Klartext rüberkommen. Habe es aber selber noch nie ausprobiert.
Alternativ ethereal (TCP/IP-Datenverkehr mitschneiden) und dann kann man relativ zügig die Passwörter der User erkennen.


Mal abgesehen davon das ich mich frage warum man das braucht.
Fuerchau
21-02-07, 09:50
Du bekommst mit dieser Schnittstelle das eingegebene Passwort im Klartext zur eigenen Prüfung.
An das gespeicherte Passwort kommst du damit trotzdem nicht.
schlufti
21-02-07, 17:24
es gab zu seeligen Zeiten noch die Qusrtool-Bibliotheken von IBM. Wir haben hier daraus ein Tool erstellt, dass mit einem DSPPWD die Kennwörter der Benutzer anzeigt. Voraussetzung ist, dass die Kennwörter vorher mind. 1x mit CHGPWD geändert wurden. Ändern direkt im USRPRF wird nicht fortgeschrieben.

Natürlich benötigt man einen SECOFR für die Zugriffe. Ist im laufendem Betrieb aber fürchterlich nützlich.
BenderD
22-02-07, 08:22
Hallo,

keine dokumentierte.
undokumentierte die ganze Palette, mit und ohne QSECOFR:
- den Benutzer fragen
- nachsehen ob unter der Tastatur ein Zettel liegt
- jede Form von Trojanern (dazu gehört auch der QUSRTOOL Ansatz)
- Patch Utilities und Bruch der Verschlüsselung
- lexikalische Angriffe mit Check APIs
- brute Force Angriffe mit Check APIs
um mal ein Paar Beispiele zu nennen, ob das auf einer AS400 besonders sicher, oder besonders unsicher ist, da mag jeder mal selber drüber nachdenken.

mfg

Dieter Bender


Gibt es eine Möglichkeit, dass Passwort eines USER im Klartext anzuzeigen.

Natürlich als QSECOFR.

Danke für eine Hilfe