ABAKUS

Verfasst: **09.08.2018, 11:25**

Hallo

Sorry, ich finde es unglaublich, dass in diesen spezial Foren hier - für ein spezielles INTERNET Thema, die Passworte der Nutzer im KLARTEXT gespeichert werden, und auch in KLARTEXT sogar via Email zugesendet werden. (ja, man erhält sofort nach der Anmeldung sein eigenes PWD in Klartext wieder zugesendet - wozu auch immer.)
Mit entsprechender Verschlüsselung würde aber niemand jemals ein PWD kennen, auch die Seite selbst NICHT! Und könnte es nicht zusenden.

Da gab es schon Shitstorms für weitaus kleinere Furz-Webseiten mit wenigen 100 Usern, welche seit 15 Jahren unverändert im Netz sind.

Aus Sicherheitsgründen kann ich im Grunde nur jedem empfehlen sein Passwort hier sofort zu ändern, ich hätte mich gar nicht registrieren sollen

Ist die Datenbank mal gehackt, viel Spass. Und kommt mir nicht mit: Das passiert eh nie.... das passiert genau andauernd.

Verfasst: **09.08.2018, 11:26**

Willkommen auf ABAKUS

Bitte halte diese E-Mail gespeichert, falls du dein Passwort vergessen solltest. Deine Login-Daten sind die Folgenden:

----------------------------
Username: Klartext
Passwort: Klartext PWD
----------------------------

Um Deinen Account zu aktivieren klick folgenden Link:

Das im Jahr 2018...
Wozu verwendet ihr überhaupt https... weil es Google gerne so hätte oder?

Verfasst: **09.08.2018, 11:33**

Deine Kritik ist absolut gerechtfertigt und wurde auch schonmal hier angebracht. Leider gab es keinerlei Reaktion. Trotzdem:

bodomalo1 hat geschrieben:die Passworte der Nutzer im KLARTEXT gespeichert werden

Das wissen wir nicht. Wir wissen nur, dass direkt bei der Registrierung das Passwort im Klartext verschickt wird. Es ist ja durchaus möglich (ich würde sogar sagen: wahrscheinlich), dass es danach gehasht und nur noch in gehashter Form in der Datenbank gespeichert wird.

Erst wenn du zu einem späteren Zeitpunkt nochmal das Passwort im Klartext geschickt bekämst (z. B. bei "Passwort vergessen"), wäre das der Beweis dafür, dass das Passwort tatsächlich im Klartext gespeichert wurde.

Verfasst: **09.08.2018, 12:28**

Hanzo2012 hat geschrieben: Das wissen wir nicht. Wir wissen nur, dass direkt bei der Registrierung das Passwort im Klartext verschickt wird. Es ist ja durchaus möglich (ich würde sogar sagen: wahrscheinlich), dass es danach gehasht und nur noch in gehashter Form in der Datenbank gespeichert wird.

Dafür spricht eigentlich aber doch gar nichts... Also wieso "wahrscheinlich"?

Ein mir im Klartext zugesendetes PWD spricht eher für eine hohe Wahrscheinlichkeit, dass es jedem egal war...anno 2002.

So wie ich es programmiere z.B. sind die Skripte für Registrierung und Email getrennt. Und das auch schon vor 15 Jahren. Das Email Skript würde maximal angestoßen werden danach in der DB nach noch nicht aktivierten Usern zu suchen und denen einen Aktivierungslink zuzusenden. Es würde aber nicht direkt Daten von der Registrierung erhalten... Das Skript zum Senden einer EMail braucht ja auch nicht als Parameter das PWD...

Verfasst: **09.08.2018, 12:38**

Ich kenne mich mit zwei Forensystemen aus: phpBB 2 (wird hier genutzt) und WoltLab. Beide senden die Willkommens-Mail direkt aus dem Script für die Registrierung heraus. Da spricht meiner Meinung nach auch nichts gegen. Die Dummheit, das Passwort im Klartext zu verschicken, ist davon unabhängig. phpBB 2 hasht die Passwörter mit MD5 und benutzt dabei kein Salt, habe ich gerade nachgeschaut. Also ziemlich mies in jedem Fall.

Verfasst: **09.08.2018, 12:45**

Wir reden hier von einem 08/15-Forum. Nicht von einem Cloud-Anbieter, eMail-Dienster, Web-Server, oder ähnlichem.

Ich sehe da kein Problem.

Verfasst: **09.08.2018, 12:46**

Hanzo2012 hat geschrieben:Erst wenn du zu einem späteren Zeitpunkt nochmal das Passwort im Klartext geschickt bekämst (z. B. bei "Passwort vergessen"), wäre das der Beweis dafür, dass das Passwort tatsächlich im Klartext gespeichert wurde.

Nein, kein Beweis. Stimmt so nicht. Es gibt auch Lösungen das Passwort zu ver- und wieder entschlüsseln.

Verfasst: **09.08.2018, 13:26**

Ja, gut. Hatten wir diese Diskussion nicht schonmal? Wenn es entschlüsselt werden kann, dann kann ein Hacker das auch, der sich Zugang zum Server verschafft hat. Er muss ja nur in den Code des Forums schauen, um zu sehen, wie er entschlüsseln kann. Bringt also effektiv nicht viel, ist quasi wie Klartext. Korrekt gehashte Passwörter zurückzurechnen ist hingegen wesentlich schwerer bzw. gar nicht eindeutig möglich.

Verfasst: **09.08.2018, 13:28**

ole1210 hat geschrieben:Wir reden hier von einem 08/15-Forum. Nicht von einem Cloud-Anbieter, eMail-Dienster, Web-Server, oder ähnlichem.

Ich sehe da kein Problem.

Das Problem ist, dass viele Leute zu faul sind, um verschiedene Passwörter für verschiedene Dienste zu nutzen. Wenn dann die Passwörter erbeutet werden, funktionieren die oft auch (evtl. mit offensichtlichen Abwandlungen) für wichtigere Dinge wie Mail, Dropbox etc.

Verfasst: **09.08.2018, 16:29**

> Korrekt gehashte Passwörter zurückzurechnen ist hingegen wesentlich schwerer bzw. gar nicht eindeutig möglich.

Es gibt aber DB-en die die Hashs speichern (Rainbow Tables). Deswegen sollte der Hash "gesalzen" werden.

Oder meinst du das mit korrekt gehasht?

Verfasst: **09.08.2018, 16:30**

Ja, das meinte ich.

Verfasst: **13.08.2018, 14:20**

Für jeden Account ein eigenes sicheres Passwort verwenden

ABAKUS

Passwort Sicherheit abakus-internet-marketing

Passwort Sicherheit abakus-internet-marketing

Re: Passwort Sicherheit abakus-internet-marketing

Re: Passwort Sicherheit abakus-internet-marketing

Re: Passwort Sicherheit abakus-internet-marketing