Dazu gibt es einen Thread der Dir weiterhelfen kann: Datendiebstahl: Wie sicher ist die Speicherung der Benutzer-Passwörter in der Joomla-DB
Hallo Tom,
danke.
Der Titel ist ja nicht direkt vertrauenserweckend. 
Aber ich werde mir das mal angucken.
Gruß
Harro
Das Password ist allerdings verschlüsselt in der Tabelle.
Versteh nicht ganz. Was ist denn der Ursprung der Passwörter? Wer hat die "verschlüsselt"?
Wenn du dich mit Joomla-API auskennst, schreib dir ein Skript, dass die Daten per CSV einliest und dann per $user->save; OHNE Passwort speichert, aber mit Passwortrücksetzung. Der User bekommt eine Email mit automatischem vorläufigem Passwort, muss aber bei Erstanmeldung ein neues vergeben.
Muss ich mal schauen, ob ich da mein Skript noch finde.
200 User seh ich nicht als so dramatisch, als dass man das nicht auch händisch machen könnte. Also als Super-User via Backend die User anlegen, ohne ein Passwort eingeben, aber Option Passwortrücksetzung. Der User bekommt eine Email mit automatischem...
Versteh nicht ganz. Was ist denn der Ursprung der Passwörter? Wer hat die "verschlüsselt"?
Vor allem, wenn sie verschlüsselt sind kannst du sie überhaupt entschlüsseln? Ich denke mal du hast nämlich keine verschlüsselten Passwörter sondern eher Hashs und aus denen kannst du ganz gezielt nix raus ziehen (das ist ja der Sinn) und ohne original Klartextpasswort kannst du dann auch nicht in einen Joomla Hash bringen.
Das Skript.
Basis ist eine TAB-getrennte csv-Datei (user.csv) OHNE Überschriften mit Name, Username, Email.
Peter Muster MusteRP musterP@example.de
Rita Mann MannRita mann@example.deDas Skript muss im Backend von einem dort angemeldeten Super User ausgeführt werden. Bei Seiten im Aufbau, könnte man also z.B. in die index.php des ISIS-Templates. Und die csv-Datei liegt im /isis/-Ordner
Globale Email funktionalität muss aktiv sein und auch senden. Wenn du erst testen willst, natürlich derweil deaktivieren, damit nicht Emails versendet werden.
JLoader::register('UsersModelUser', JPATH_ADMINISTRATOR . '/components/com_users/models/user.php');
$lines = file(__DIR__ . '/user.csv', FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES);
foreach ($lines as $line)
{
$line = trim($line);
if (!$line) continue;
$data = array();
$userModel = new UsersModelUser;
list(
$data['name'],
$data['username'],
// $data['password'],
$data['email']
) = explode("\t", $line);
// $data['password2'] = $data['password'];
$data['password2'] = $data['password'] = '';
$data['email'] = trim($data['email'], '" ');
$data['registerDate'] = '';
$data['lastvisitDate'] = '';
$data['lastResetTime'] = '';
$data['resetCount'] = 0;
$data['sendEmail'] = 0;
$data['block'] = 0;
$data['requireReset'] = 1;
$data['id'] = 0;
$data['groups'] = array(0 => 2);
$data['params'] = array(
'admin_style' => '',
'admin_language' => '',
'language' => '',
'editor' => '',
'helpsite' => '',
'timezone' => ''
);
$userModel->save($data);
}Ich bleib allerdings bei, falls du keinen Plan hast, "wovon ich rede"
200 User seh ich nicht als so dramatisch, als dass man das nicht auch händisch machen könnte.
Kann man den Namen/Überschrift von einem Thread ändern?
Thema bearbeiten > Erweitert.
Habe ich für Dich erledigt.
Danke Indigo66
aber Option Passwortrücksetzung
wenn ich mit dieser Option arbeite, kann ich dann die Komplexität des PW einstellen?
Der End-Benutzer sollte nicht "1234" eingeben können.
Gruß Harro
Thema bearbeiten > Erweitert.
Habe ich für Dich erledigt.
Ich finde das nicht sorry.
Gruß Harro
Danke Indigo66
wenn ich mit dieser Option arbeite, kann ich dann die Komplexität des PW einstellen?
Der End-Benutzer sollte nicht "1234" eingeben können.
Gruß Harro
In dem unter #2 genannten Link steht wo man es in Joomla machen kann, wie man es durch weitere Plugins unterstützen kann und der wichtige Einwand, dass die Komplexität nicht das einzige entscheidene ist sondern auch die Einzigartigkeit. Der Thread ist echt gut (auch wenn der Titel erstmal sehr kritisch ist) sind die detailreichen Ausführungen darin sehr gut!
EDIT:
Post #17 ist es übrigens im anderen Thread.
Ich finde das nicht
Du kannst aber auch das Thema melden (schwarzes Dreick) und ein Mod oder Admin kümmert sich drum.
Bei mir gibt's den Button nicht 
In dem unter #2 genannten Link steht wo man es in Joomla machen kann, wie man es durch weitere Plugins unterstützen kann und der wichtige Einwand, dass die Komplexität nicht das einzige entscheidene ist sondern auch die Einzigartigkeit. Der Thread ist echt gut (auch wenn der Titel erstmal sehr kritisch ist) sind die detailreichen Ausführungen darin sehr gut!
EDIT:
Post #17 ist es übrigens im anderen Thread.
Hallo Johannes,
danke hab's gefunden.
Damit ist man gut bedient.
Das passiert, wenn man zu flüchtig und schnell liest .... 
Hab jetzt nicht alles gelesen.
Passwortrücksetzung fordert vom User ein Passwort wie du es unter Passwortoptionen in den Benutzer-Optionen einstellst.
Wenn du Passwörter im Klartext hast, kannst du mein Skript ändern und natürlich verschlüsselt Joomla die Passwörter dann auch gleich ohne weiteres Zutun von dir:
Also CSV-Datei:
Peter Muster MusteRP pw8956 musterP@xyz.de
Rita Mann MannRita 89756pw mann@xyz.deÄnderungen am obigen Skript:
Zeile 13 bis 18
list(
$data['name'],
$data['username'],
$data['password'],
$data['email']
) = explode("\t", $line);Zeilen 20 bis 22
$data['password2'] = $data['password'];
// $data['password2'] = $data['password'] = '';Und "requireReset" halt dann wie von dir gewünscht.
In der Zeit, die hier im Thread schon aufgewendet wurde, wären die User schon längst händisch angelegt 
Gibt ja schließlich den "Speichern und Neu"-Button beim Anlegen von Usern und der Rest ist Copy/Paste. STRG+C, STRG+V.
In der Zeit, die hier im Thread schon aufgewendet wurde, wären die User schon längst händisch angelegt
Hi,
hab um schnell fertig zu werden, die ersten 36 Benutzer von Hand angelegt.
Ich finde für solche Arbeiten Copy&Paste schon ätzend. Da bastel ich mir lieber ein Programm.
Es geht hier nicht nur um das Anlegen von Usern, sondern um permanente Benutzer-Pflege.
Und die will ich wirklich nicht von Hand machen.
Ich bekomme eine normierte Excel-Liste von den Kunden meines Kunden mit AktionsCode für:
- neue Benutzer
- Änderungen Benutzer (zB EMail-Adresse)
- Löschen ausgeschiedener Benutzer
Ich prüfe per Programm:
- Ist die Excel-Liste formal korrekt (Spaltenüberschriften)
- Benutzer noch nicht vorhanden, bei Neuanlage
- Benutzer vorhanden, bei Änderungen und Löschen
- Email-Adresse formal korrekt
- die Feldinhalte werden 1:1 geladen ( die Verantwortung für die Inhalte trägt der Kunde )
Die geprüfte Liste wird durch mein Programm abgearbeitet.
Auslösen tut das ein Mitarbeiter bei meinem Kunden.
Klar war das erst Mal aufwendig.
Aber ich muß ja auch erst mal kennen lernen, was geht und was nicht.
Gestern wußte ich noch nicht wie man HASH-Werte in diesem Zusammenhang erzeugt und nun geht schon alles.
Finde ich nicht so schlecht.
Ob ich nun das PW anlege oder nicht kann mein Kunde entscheiden. ( Ich kann jetzt ja beides 
)
Gruß Harro
Ja, jeder wie er mag. Solche Mengen würde ich auch mit einem Script machen. Aber setze den Schalter, dass der Benutzer sein Passwort sofort bei der Anmeldung ändern muss sonst ist das meiner Meinung nach alles andere als datenschutzkonform.
btw: In Version 4 kann man das Passwort sichtbar machen.
Mir gings ja nur ums Abwägen. Man weiß ja nicht, wer fragt. So Schnipsel von Anderen setzt man ja nicht einfach ein, sondern muss sie testen und ggf. individuell umschnitzen, gerade wenn Excel im Spiel ist. Ich habe damals x00 neuen Joomla-Usern Anmelde-Emails aus einem gesperrten Test-Joomla zugeschickt und die Konfusion, Ärger und Paranoia erst mal groß. Auch das Testen will getestet sein
Und exakt! Nur weil Passwortrücksetzung aktiviert war und das alte CMS sowieso von mir bereits verschrottet war, war der Ärger darüber, dass so ein Entwicklerdepp die alten/neuen Kennwörter kannte, schnell verflogen.