Warum registrieren? Nur als registriertes Mitglied vom ABAKUS Forum hast Du vollen Zugriff auf alle Funktionen unserer Website.

Warum zur Hölle verschlüsselt ihr die Userpasswörter nicht?

Fragen, Wünsche, Entwicklung: Wie kann man dieses Forum verbessern? Gibt es was zu meckern? Fehlt eine Kategorie?
Factoree
PostRank 1
PostRank 1
Beiträge: 2
Registriert: 12.06.2018, 08:15

Beitrag von Factoree » 06.07.2018, 11:08

Gerade eine E-Mail vom Forum erhalten, in der meine Logindaten in PLAINTEXT stehen?

Passwörter sind erstens verschlüsselt in eurer Datenbank aufzubewahren, und zweitens schon gar nicht in Plaintext an eure User in Emails zu senden.

Was sind das für unterirdische Sicherheits-Standards?

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1694
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 06.07.2018, 11:19

War das eine „Passwort vergessen“-Mail oder eine „Willkommen“-Mail direkt nach der Registrierung?
Ersteres würde tatsächlich bedeuten, dass die Passwörter im Klartext gespeichert werden, was in der Tat skandalös wäre.

mits
PostRank 3
PostRank 3
Beiträge: 86
Registriert: 28.06.2006, 00:25

Beitrag von mits » 16.07.2018, 07:03

Ja, das gibt's tatsächlich... :bad-words:

Wenn man den Account WIRKLICH braucht, dann wenn schon ein Kennwort verwenden welches man sonst nirgendwo verwendet. (Sollte man eigentlich immer - aber wenn man hunderte Accounts hat, dann hält sich eh kaum jemand dran!)

elmex
PostRank 9
PostRank 9
Beiträge: 1015
Registriert: 03.05.2005, 10:09

Beitrag von elmex » 17.07.2018, 00:49

Hanzo2012 hat geschrieben:War das eine „Passwort vergessen“-Mail oder eine „Willkommen“-Mail direkt nach der Registrierung?
Ersteres würde tatsächlich bedeuten, dass die Passwörter im Klartext gespeichert werden, was in der Tat skandalös wäre.
Äh, nein? Du kannst sowas natürlich auch mit verschlüsselten Passworten realisieren!

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1694
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 17.07.2018, 00:57

elmex hat geschrieben:Äh, nein? Du kannst sowas natürlich auch mit verschlüsselten Passworten realisieren!
Die einzige sinnvolle Variante ist Hashing. Und dann kannst du das Originalpasswort nicht mehr (eindeutig) rauskriegen. Verschlüsselung hilft nicht viel, denn der Schlüssel müsste ja ebenfalls auf dem Server liegen -> wird er gehackt, kann auch der Schlüssel geklaut werden. Dass das Passwort im Klartext per E-Mail verschickt wird, ist auf jeden Fall ein Unding!
Zuletzt geändert von Hanzo2012 am 17.07.2018, 12:14, insgesamt 1-mal geändert.

nerd
PostRank 10
PostRank 10
Beiträge: 4037
Registriert: 15.02.2005, 04:02

Beitrag von nerd » 17.07.2018, 03:26

elmex hat geschrieben:Äh, nein? Du kannst sowas natürlich auch mit verschlüsselten Passworten realisieren!
Wenn man es richtig machen will dann sollte das passwort nie den rechner des users verlassen, sondern bei registrierung/einloggen nur ein hash an den server geschickt werden welcher dann verglichen wird.

allerdings ist die forensoftware ja auch schon etwas betagt; da sollte man nicht zuviel erwarten...

mits
PostRank 3
PostRank 3
Beiträge: 86
Registriert: 28.06.2006, 00:25

Beitrag von mits » 17.07.2018, 07:09

Eigentlich sollte nicht der Betreiber einer Seite die Kennwörter im Klartext sehen, denn das hat ihn nicht zu interessieren! Wer weiss, auf welche krummen Ideen der eine oder andere Webmaster eines Tages noch kommt. :wink:

Deshalb in solchen Fällen immer versuchen ein Kennwort zu verwenden, welches sonst nirgendwo verwendet wird. Mehr kann man wohl auch nicht machen...

elmex
PostRank 9
PostRank 9
Beiträge: 1015
Registriert: 03.05.2005, 10:09

Beitrag von elmex » 17.07.2018, 23:19

@Hanzo2012 @nerd

Es ging/geht hier nicht um eine Diskussion, was für tolle/beste Varianten der Passwortspeicherung es gibt/geben mag, sondern es bezog sich auf die kommentierte Aussage, die so definitiv nicht stimmt...

@mits
es gibt auch Strategien, wie man hunderte oder tausende Accounts merken und nutzen kann ohne gleiche Passworte+Nutzname Kombinationen" Oder diese Passwort Speicher "Tools", diese sind aber mit Vorsicht zu geniessen, für "Otto-Normal" sollte es aber reichen... ;)

mits
PostRank 3
PostRank 3
Beiträge: 86
Registriert: 28.06.2006, 00:25

Beitrag von mits » 19.07.2018, 17:20

"wie man hunderte oder tausende Accounts merken und nutzen kann ohne gleiche Passworte+Nutzname Kombinatione"

Sog. "Eselsbrücken" sind da aber auch nicht unbedingt einfach. Evtl. kannst Du mir ein Stichwort geben?


"Oder diese Passwort Speicher "Tools", diese sind aber mit Vorsicht zu geniessen, für "Otto-Normal" sollte es aber reichen..."

Also passwordsafe.com würd ich nicht empfehlen, da gar GAR NIX mit Kontaktaufnahme - weder übers Kontaktformular, noch über die publiziere Mailadresse noch über den Domaininhaber. Von daher rate ich KLAR ab davon. Seit Wochen kann ich die Einträge nur noch editieren, aber nichts mehr hinzufügen oder ändern...:(

trkoll
PostRank 1
PostRank 1
Beiträge: 7
Registriert: 09.03.2019, 21:03

Beitrag von trkoll » 09.03.2019, 21:11

Ha, dieses Problem besteht immer noch und ist sogar schlimmer als ihr glaubt.

Mein Passwort-Generator (nettes tool von passwordstore.org das meinen gpg key verwendet um die passwörter zu verschlüsseln) war so kreativ ein ' (also einzelnes Anführungszeichen) einzubauen. Das hat bei einer anderen Seite schon mal zu einer SQL Injection geführt :crazyeyes:
Hier aber wurde das Password brav escaped. Vorm Abspeichern. WTF? :bad-words:

lahntec(Tim)
PostRank 1
PostRank 1
Beiträge: 5
Registriert: 03.01.2019, 16:47

Beitrag von lahntec(Tim) » 09.03.2019, 21:57

Hier sollte in der Tat zügig nachgearbeitet werden. Passworte im Klartext speichern ist grob fahrlässig.
Davon mal abgesehen, sollte man aber auch verschiedene Kennworte bei seinen Accounts verwenden. Das wird einem mit diversen Passwortmanagern ja doch heutzutage sehr leicht gemacht.

krito
PostRank 1
PostRank 1
Beiträge: 4
Registriert: 21.03.2019, 23:04

Beitrag von krito » 21.03.2019, 23:29

Habe mich eben hier im Forum angemeldet und war auch ganz entsetzt, als ich die Mail erhalten habe. Sowas habe ich seit Ewigkeiten nicht mehr erlebt.

Ich hoffe dass wenigstens die Forensoftware auf dem aktuellen Stand ist, damit Angreifer nicht auf die Datenbank zugreifen können.

staticweb
PostRank 9
PostRank 9
Beiträge: 1166
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 22.03.2019, 07:41

Ich vermute mal, dass die Passwörter gehashed und gesalzen in der DB aufbewahrt werden und das Passwort nur einmalig, initial gesendet wird. Alles andere würde ja auch gegen die DSGVO verstoßen.

Und ich glaube nicht, dass der Betreiber soviel in der Portokasse hat:

https://www.heise.de/newsticker/meldung ... 29798.html

staticweb
PostRank 9
PostRank 9
Beiträge: 1166
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 22.03.2019, 07:48

Gerade neu reingekommen:

https://www.spiegel.de/netzwelt/web/face ... 59073.html

Das wird aber teuer.

swiat
PostRank 10
PostRank 10
Beiträge: 6213
Registriert: 25.02.2005, 23:56
Kontaktdaten:

Beitrag von swiat » 22.03.2019, 15:52

staticweb hat geschrieben:Gerade neu reingekommen:

https://www.spiegel.de/netzwelt/web/face ... 59073.html

Das wird aber teuer.
Daran musste ich auch eben denken, wenn das nicht mal Portale wie FB zu 100% schaffen....... :D
Kostenlose Backlinks: Hier lang <<<

Antworten