Как вывести и расшифровать пароль в yii2?

Question

[newbieman]

собственно сабж:
надо из базы вытянуть пароли пользователей.

Answer 1

[Назар Мокринский]

Они для того, чтобы желаемая вами процедура была невозможной, специальным образом хэшируются.
Хэширование - процесс односторонний.

То есть краткий ответ на ваш вопрос - никак.
Длинный ответ - если некоторые пользователи использовали словарные либо достаточно простые пароли + у вас соль не была уникальна для каждого пароля - тогда есть шанс сгенерировать радужную таблицу и часть паролей подобрать таким образом. ПОДОБРАТЬ, какой на самом деле был пароль со 100% вероятностью узнать невозможно чисто из-за того, как работает алгоритм, можно подобрать пароль, который даст тот же хэш, но это не обязательно будет настоящий пароль.

Comments

[newbieman]

спасибо, а как залогиниться за пользователей с админки?

[Назар Мокринский]

newbieman: Это совсем другой вопрос) У вас в коде обычно стоит проверка логина и пароля, а потом создание сессии пользователя. Так вот напишите код, который создает сессию (если текущий пользователь администратор) без проверки логина/пароля. Как делается конкретно в Yii2 не знаю, но должно быть весьма просто.

Answer 2

[Александр Макаров]

Если в проекте был использован компонент Security, то внутри bcrypt и автоматическая хорошая генерация соли через надёжный источник энтропии. Так что:

1. Можно сразу исключить использование rainbow tables.
2. Перебор будет долгим. Даже по короткому словарю. bcrypt — штука ресурсоёмкая.

В общем, практически никак.

Если же Security использован не был, это может быть возможным.

Comments

[newbieman]

в том то и дело что использован был.

[Александр Макаров]

Тогда разработчик молодец и всё надёжно. Ответ — никак. Приглашайте юзеров ресетить пароль через почту со специальной ссылкой, как это сделано в advanced project template: https://github.com/yiisoft/yii2-app-advanced