Warum registrieren? Nur als registriertes Mitglied vom ABAKUS Forum hast Du vollen Zugriff auf alle Funktionen unserer Website.

Passwort Sicherheit abakus-internet-marketing

Hier können Sie Ihre Fragen zum Thema Suchmaschinenoptimierung (SEO) / Positionierung stellen
bodomalo1
PostRank 1
PostRank 1
Beiträge: 7
Registriert: 09.08.2018, 11:18

Beitrag von bodomalo1 » 09.08.2018, 11:25

Hallo

Sorry, ich finde es unglaublich, dass in diesen spezial Foren hier - für ein spezielles INTERNET Thema, die Passworte der Nutzer im KLARTEXT gespeichert werden, und auch in KLARTEXT sogar via Email zugesendet werden. (ja, man erhält sofort nach der Anmeldung sein eigenes PWD in Klartext wieder zugesendet - wozu auch immer.)
Mit entsprechender Verschlüsselung würde aber niemand jemals ein PWD kennen, auch die Seite selbst NICHT! Und könnte es nicht zusenden.

Da gab es schon Shitstorms für weitaus kleinere Furz-Webseiten mit wenigen 100 Usern, welche seit 15 Jahren unverändert im Netz sind.

Aus Sicherheitsgründen kann ich im Grunde nur jedem empfehlen sein Passwort hier sofort zu ändern, ich hätte mich gar nicht registrieren sollen :-(
Ist die Datenbank mal gehackt, viel Spass. Und kommt mir nicht mit: Das passiert eh nie.... das passiert genau andauernd.

bodomalo1
PostRank 1
PostRank 1
Beiträge: 7
Registriert: 09.08.2018, 11:18

Beitrag von bodomalo1 » 09.08.2018, 11:26

Willkommen auf ABAKUS

Bitte halte diese E-Mail gespeichert, falls du dein Passwort vergessen solltest. Deine Login-Daten sind die Folgenden:

----------------------------
Username: Klartext
Passwort: Klartext PWD
----------------------------

Um Deinen Account zu aktivieren klick folgenden Link:


Das im Jahr 2018...
Wozu verwendet ihr überhaupt https... weil es Google gerne so hätte oder? :o :-? :-? :-?

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1702
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 09.08.2018, 11:33

Deine Kritik ist absolut gerechtfertigt und wurde auch schonmal hier angebracht. Leider gab es keinerlei Reaktion. Trotzdem:
bodomalo1 hat geschrieben:die Passworte der Nutzer im KLARTEXT gespeichert werden
Das wissen wir nicht. Wir wissen nur, dass direkt bei der Registrierung das Passwort im Klartext verschickt wird. Es ist ja durchaus möglich (ich würde sogar sagen: wahrscheinlich), dass es danach gehasht und nur noch in gehashter Form in der Datenbank gespeichert wird.

Erst wenn du zu einem späteren Zeitpunkt nochmal das Passwort im Klartext geschickt bekämst (z. B. bei "Passwort vergessen"), wäre das der Beweis dafür, dass das Passwort tatsächlich im Klartext gespeichert wurde.

bodomalo1
PostRank 1
PostRank 1
Beiträge: 7
Registriert: 09.08.2018, 11:18

Beitrag von bodomalo1 » 09.08.2018, 12:28

Hanzo2012 hat geschrieben: Das wissen wir nicht. Wir wissen nur, dass direkt bei der Registrierung das Passwort im Klartext verschickt wird. Es ist ja durchaus möglich (ich würde sogar sagen: wahrscheinlich), dass es danach gehasht und nur noch in gehashter Form in der Datenbank gespeichert wird.
Dafür spricht eigentlich aber doch gar nichts... Also wieso "wahrscheinlich"?

Ein mir im Klartext zugesendetes PWD spricht eher für eine hohe Wahrscheinlichkeit, dass es jedem egal war...anno 2002.

So wie ich es programmiere z.B. sind die Skripte für Registrierung und Email getrennt. Und das auch schon vor 15 Jahren. Das Email Skript würde maximal angestoßen werden danach in der DB nach noch nicht aktivierten Usern zu suchen und denen einen Aktivierungslink zuzusenden. Es würde aber nicht direkt Daten von der Registrierung erhalten... Das Skript zum Senden einer EMail braucht ja auch nicht als Parameter das PWD...

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1702
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 09.08.2018, 12:38

Ich kenne mich mit zwei Forensystemen aus: phpBB 2 (wird hier genutzt) und WoltLab. Beide senden die Willkommens-Mail direkt aus dem Script für die Registrierung heraus. Da spricht meiner Meinung nach auch nichts gegen. Die Dummheit, das Passwort im Klartext zu verschicken, ist davon unabhängig. phpBB 2 hasht die Passwörter mit MD5 und benutzt dabei kein Salt, habe ich gerade nachgeschaut. Also ziemlich mies in jedem Fall.

ole1210
PostRank 10
PostRank 10
Beiträge: 7469
Registriert: 12.08.2005, 11:40
Wohnort: Olpe

Beitrag von ole1210 » 09.08.2018, 12:45

Wir reden hier von einem 08/15-Forum. Nicht von einem Cloud-Anbieter, eMail-Dienster, Web-Server, oder ähnlichem.

Ich sehe da kein Problem.

elmex
PostRank 9
PostRank 9
Beiträge: 1026
Registriert: 03.05.2005, 10:09

Beitrag von elmex » 09.08.2018, 12:46

Hanzo2012 hat geschrieben:Erst wenn du zu einem späteren Zeitpunkt nochmal das Passwort im Klartext geschickt bekämst (z. B. bei "Passwort vergessen"), wäre das der Beweis dafür, dass das Passwort tatsächlich im Klartext gespeichert wurde.
Nein, kein Beweis. Stimmt so nicht. Es gibt auch Lösungen das Passwort zu ver- und wieder entschlüsseln.

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1702
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 09.08.2018, 13:26

Ja, gut. Hatten wir diese Diskussion nicht schonmal? Wenn es entschlüsselt werden kann, dann kann ein Hacker das auch, der sich Zugang zum Server verschafft hat. Er muss ja nur in den Code des Forums schauen, um zu sehen, wie er entschlüsseln kann. Bringt also effektiv nicht viel, ist quasi wie Klartext. Korrekt gehashte Passwörter zurückzurechnen ist hingegen wesentlich schwerer bzw. gar nicht eindeutig möglich.
Zuletzt geändert von Hanzo2012 am 09.08.2018, 13:30, insgesamt 3-mal geändert.

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1702
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 09.08.2018, 13:28

ole1210 hat geschrieben:Wir reden hier von einem 08/15-Forum. Nicht von einem Cloud-Anbieter, eMail-Dienster, Web-Server, oder ähnlichem.

Ich sehe da kein Problem.
Das Problem ist, dass viele Leute zu faul sind, um verschiedene Passwörter für verschiedene Dienste zu nutzen. Wenn dann die Passwörter erbeutet werden, funktionieren die oft auch (evtl. mit offensichtlichen Abwandlungen) für wichtigere Dinge wie Mail, Dropbox etc.

staticweb
PostRank 9
PostRank 9
Beiträge: 1210
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 09.08.2018, 16:29

> Korrekt gehashte Passwörter zurückzurechnen ist hingegen wesentlich schwerer bzw. gar nicht eindeutig möglich.

Es gibt aber DB-en die die Hashs speichern (Rainbow Tables). Deswegen sollte der Hash "gesalzen" werden.

Oder meinst du das mit korrekt gehasht?

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1702
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 09.08.2018, 16:30

Ja, das meinte ich.

adios
PostRank 1
PostRank 1
Beiträge: 8
Registriert: 30.04.2009, 13:47

Beitrag von adios » 13.08.2018, 14:20

Für jeden Account ein eigenes sicheres Passwort verwenden

Antworten
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag