Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Bestandsdatenauskunft: Gesetz…

Welche Passwörter?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Welche Passwörter?

    Autor: velo 27.11.12 - 15:23

    Ich kapier immer noch nicht, welche Passwörter? Mein Provider hat doch gar kein Passwort von mir, höchstens so ein hash key.

    Und was, wenn man seine Mails im Ausland hat? Und das kann dann jeder machen. So wird einfach jeder seine Mailbox bei einem Provider im Ausland anlegen.

    Ich find's schon unglaublich, wie die Privatsphäre verletzt wird.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Welche Passwörter?

    Autor: lisgoem8 27.11.12 - 15:46

    velo schrieb:
    --------------------------------------------------------------------------------
    > Ich kapier immer noch nicht, welche Passwörter? Mein Provider hat doch gar
    > kein Passwort von mir, höchstens so ein hash key.
    >
    > Und was, wenn man seine Mails im Ausland hat? Und das kann dann jeder
    > machen. So wird einfach jeder seine Mailbox bei einem Provider im Ausland
    > anlegen.
    >
    > Ich find's schon unglaublich, wie die Privatsphäre verletzt wird.


    sicher hat er das. ^^
    Es gibt sicher eine hash-Datenbank.

    Aber jeder Provider muss auf Nummer sicher gehen. Und ich wette es gibt eine Einwegdatenbank wo intern trotzdem Klartext-Passwörter abgelegt werden.

    Das Passwort ist beim Kunden ja oft für die Ewigkeit. Wenn da mal was mit einem MD5-Salt-Nachfolger-Aalgorithmus schief geht

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Welche Passwörter?

    Autor: DooMMasteR 27.11.12 - 16:01

    Ich weiß, dass viele Anbieter definitiv NIRGENDWO Klartext von ihren Kundenpasswörtern speichern. Das Risiko ist VIEL zu groß.

    Außerdem nutzt heute quasi keiner mehr MD5+Salt sondenr SHA2(256)+Salt.

    Auch lassen sich Passwörter durch einfaches Rehashing auf neue Plattformen umbiegen, Clientseitig ist das kein Problem, im Worst-Case muss der Kunde sein Passwort ändern.

    Wer heute noch Kundenpasswörter ind Kartext speichert kann nicht anders als einfach dumm bezeichnet werden.
    Selbst wenn er es irgendwo, an einem vermeindlich sicheren Ort, tut.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. "Rehashing"?

    Autor: fratze123 27.11.12 - 16:08

    Was soll das sein?
    Ich glaube nicht, dass sowas geht. Es sei denn du kannst eine Quelle dazu liefern. Google spuckt nichts Sinnvolles aus.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Welche Passwörter?

    Autor: mawa 27.11.12 - 16:16

    Das kann man recht einfach testen und Du wirst erstaunt sein, wieviele Anbieter das Kennwort im Klartext vorliegen haben.

    Ich mache das häufig bei Großhändlern und Dienstleistern so, das ich nach ein paar Wochen dort anrufe und behaupte, ich hätte mein Passwort verlegt. Gefühle 25% der Anbieter kann mir das Passwort dann telefonisch mitteilen. Der Rest bietet nur ein Rücksetzten des Passwortes an. Diese Erfahrung habe ich jetzt über einen Zeitraum von ca. 10 Jahren gesammelt, ob sich in der Zeit bei den schwarzen Schafen etwas geändert hat, kann ich nicht sagen.

    Ergo, nutzt man für jeden Anbieter ein eigenes Kennwort und verwendet keine Kennwörter für mehrere Dienste.

    Die Vorlage zielt auch eher auf die PUK und ähnliche Kenndaten ab, um Smartcards und SIM-Karten wieder freizuschalten und die Funktion wieder verwenden zu können. Hierbei geht es bei der SIM wohl um das Freischalten des Telefonbuch- und SMS-Speicher. Der Sinn bei Smartcards mit PUK, sollte sich wohl jedem selber erschliessen. Deshalb Finger weg von solchen Karten die eine derartige Hintertür besitzen für die der Anbieter den Schlüssel in der Hand hat. Bei SIM leider nicht machbar.

    Als Anbieter muss man sich hat eine Verfahrensweise angewöhnen, die mich nicht in die Kenntniss von Passwörtern und PINs meiner Benutzer gelangen lässt. Denn was ich nicht habe, kann ich nicht rausgeben. Am besten werden auch alle Nutzerdaten mit einem nur dem Nutzer bekannten Schlüssel verschlüsselt, was aber technisch nicht immer machbar ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Welche Passwörter?

    Autor: cloudius 27.11.12 - 16:18

    Bei meinem Webhoster können im Kundenbereich *sämtliche* Passwörter im Klartext angezeigt werden. Ehrlich gesagt, ganz wohl ist mir dabei nicht :-S

    Edit: wurde übrigens laut Anbieter für die ganzen Reseller eingeführt, die so leichter Support leisten können. Naja...



    1 mal bearbeitet, zuletzt am 27.11.12 16:22 durch cloudius.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Welche Passwörter?

    Autor: blizzy 27.11.12 - 16:20

    > Außerdem nutzt heute quasi keiner mehr MD5+Salt sondenr SHA2(256)+Salt.

    Und was genau soll daran besser sein? Lies doch mal was zu bcrypt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Welche Passwörter?

    Autor: Himmerlarschundzwirn 27.11.12 - 16:22

    Mal ganz simpel gesponnen: Selbst wenn dein Passwort jetzt noch nicht im Klartext vorliegt, wäre es doch für den Provider ganz simpel, das bei deiner nächsten Anmeldung einfach mitzuspeichern. Denn der Server MUSS es im Klartext entgegennehmen, sonst kann er den Hash nicht vergleichen.

    Vergleiche $Passwort mit $Hash

    Wenn richtig, speichere $User und $Passwort

    Fertig! ;-)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Welche Passwörter?

    Autor: slashwalker 27.11.12 - 16:37

    velo schrieb:
    --------------------------------------------------------------------------------
    > Ich kapier immer noch nicht, welche Passwörter? Mein Provider hat doch gar
    > kein Passwort von mir, höchstens so ein hash key.
    >
    > Und was, wenn man seine Mails im Ausland hat? Und das kann dann jeder
    > machen. So wird einfach jeder seine Mailbox bei einem Provider im Ausland
    > anlegen.
    >
    > Ich find's schon unglaublich, wie die Privatsphäre verletzt wird.


    Reicht wenn dein Anbieter auf Plesk <11 hostet. Da stehen dann in der DB psa alle Passwörter für E-Mail, FTP, SSH (falls vorhanden) und das Control Panel. Natürlich in Klartext. Erst seit Version 11 werden die gehashed.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Welche Passwörter?

    Autor: Raumzeitkrümmer 27.11.12 - 17:30

    Du sprichst allein vom Provider...

    Google, facebook, yahoo usw. sind keine Provider.
    Es gibt keine einheitliche Vorschrift, wie mit Passwörtern zu verfahren ist.

    Halten wir doch mal fest:
    Das Passwort wird gebraucht, damit kein User an eine fremde mail-Box kann. Wo steht geschrieben, dass e-mails beim e-mail Anbieter verschlüsselt sein müssen? Wenn die nicht verschlüsselt sind, wozu braucht der Anbieter dann ein Passwort? Er braucht gar keins.

    Im mail-Verkehr wird das Passwort abgefragt, um den Anmelder zu identifizieren. Es ist auch sinnvoll/ wünschenswert, wenn das Passwort bei der Übertragung verschlüsselt ist. Es gibt aber keinen zwingenden Grund, dass der Anbieter nur das verschlüsselte Passwort hat.

    Wie sollte das auch gehen? Wer hat den Schlüssel? Der Rechner? Was ist, wenn ich den Rechner wechsele, woher sollte der neue Rechner wissen, wie mein alter Rechner verschlüsselt hat? Wird der Schlüssel vom Anbieter jedes mal neu geschickt, dann übernimmt mein Rechner den Schlüssel, den aber auch der Anbieter hat, denn er hat ihn mir ja geschickt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Welche Passwörter?

    Autor: velo 27.11.12 - 17:48

    Und nun zurück zum Antrag;

    Wie soll ein Provider dem nun nachkommen, wenn er die Passwörter bisher garnicht kennt? (Ausser er baut alles um).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Welche Passwörter?

    Autor: Raumzeitkrümmer 27.11.12 - 19:19

    Hat er sie schon gespeichert, oder hat er es nicht? Du gehst davon aus, dass alles absolut sicher ist. Ein schönes Gefühl, aber eben nur ein Bauchgefühl. Was hindert den Gesetzgeber denn, die Speicherung und schnelle Bereitstellung zu verlangen?

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige
  1. Mitarbeiter Zentrale-IT Service Desk (m/w)
    Raben Trans European Germany GmbH, Mannheim
  2. Software Integrator (m/w) im Bereich Fahrerassistenzsysteme
    Continental AG, Lindau
  3. Leiter IT-Transformationsprojekte (m/w)
    über Hanseatisches Personalkontor Nürnberg, Nürnberg
  4. Software Application Engineer (m/w) Safety Software BU HEV
    Continental AG, Nürnberg

Detailsuche



Anzeige


Haben wir etwas übersehen?

E-Mail an news@golem.de


PGP im Parlament: Warum mein Abgeordneter keine PGP-Mail öffnen kann
PGP im Parlament
Warum mein Abgeordneter keine PGP-Mail öffnen kann

Nordrhein-Westfalen: Deutsche Telekom beginnt mit Micro-Trenching für Glasfaser
Nordrhein-Westfalen
Deutsche Telekom beginnt mit Micro-Trenching für Glasfaser
  1. FTTH Deutsche Glasfaser will schnell eine Million anschließen
  2. M-net Glasfaser für 70 Prozent der Münchner Haushalte
  3. FTTH Telekom wird 1 GBit/s für Selbstbauer überall anbieten

Mirror's Edge Catalyst angespielt: Flow mit Faith und fallen
Mirror's Edge Catalyst angespielt
Flow mit Faith und fallen

  1. Ransomware: Sächsischer Verfassungsschutz wurde verschlüsselt
    Ransomware
    Sächsischer Verfassungsschutz wurde verschlüsselt

    Der sächsische Verfassungsschutz hat ein Trojaner-Problem. Mehrere Arbeitsplatzrechner wurden mit Ransomware verschlüsselt, außerdem wurde ein "Backdoor-Trojaner" gefunden. Die Opposition fordert Aufklärung.

  2. Kabelnetzbetreiber: Angeblicher 300-Millionen-Deal zwischen Telekom und Kabel BW
    Kabelnetzbetreiber
    Angeblicher 300-Millionen-Deal zwischen Telekom und Kabel BW

    Ein Verband kleiner Kabelnetzbetreiber wehrt sich gegen die Rücknahme einer Kartellbeschwerde der Telekom gegen den Kauf von Kabel Baden-Württemberg durch Liberty Global. Angeblich sollen 300 Millionen Euro geflossen sein, damit die Beschwerde zurückgezogen wird. Das Kartellamt soll von allem wissen.

  3. Fathom Neural Compute Stick: Movidius packt Deep Learning in einen USB-Stick
    Fathom Neural Compute Stick
    Movidius packt Deep Learning in einen USB-Stick

    Man nehme ein bereits trainiertes neuronales Netz, einen aus den DJI-Multicoptern bekannten VLIW-Chip und packe beides in ein USB-Gerät: Fertig ist Movidius' Fathom Neural Compute Stick.


  1. 00:05

  2. 19:51

  3. 18:59

  4. 17:43

  5. 17:11

  6. 16:22

  7. 16:15

  8. 15:03