1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Bestandsdatenauskunft: Gesetz…

Welche Passwörter?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Welche Passwörter?

    Autor velo 27.11.12 - 15:23

    Ich kapier immer noch nicht, welche Passwörter? Mein Provider hat doch gar kein Passwort von mir, höchstens so ein hash key.

    Und was, wenn man seine Mails im Ausland hat? Und das kann dann jeder machen. So wird einfach jeder seine Mailbox bei einem Provider im Ausland anlegen.

    Ich find's schon unglaublich, wie die Privatsphäre verletzt wird.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Welche Passwörter?

    Autor lisgoem8 27.11.12 - 15:46

    velo schrieb:
    --------------------------------------------------------------------------------
    > Ich kapier immer noch nicht, welche Passwörter? Mein Provider hat doch gar
    > kein Passwort von mir, höchstens so ein hash key.
    >
    > Und was, wenn man seine Mails im Ausland hat? Und das kann dann jeder
    > machen. So wird einfach jeder seine Mailbox bei einem Provider im Ausland
    > anlegen.
    >
    > Ich find's schon unglaublich, wie die Privatsphäre verletzt wird.


    sicher hat er das. ^^
    Es gibt sicher eine hash-Datenbank.

    Aber jeder Provider muss auf Nummer sicher gehen. Und ich wette es gibt eine Einwegdatenbank wo intern trotzdem Klartext-Passwörter abgelegt werden.

    Das Passwort ist beim Kunden ja oft für die Ewigkeit. Wenn da mal was mit einem MD5-Salt-Nachfolger-Aalgorithmus schief geht

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Welche Passwörter?

    Autor DooMMasteR 27.11.12 - 16:01

    Ich weiß, dass viele Anbieter definitiv NIRGENDWO Klartext von ihren Kundenpasswörtern speichern. Das Risiko ist VIEL zu groß.

    Außerdem nutzt heute quasi keiner mehr MD5+Salt sondenr SHA2(256)+Salt.

    Auch lassen sich Passwörter durch einfaches Rehashing auf neue Plattformen umbiegen, Clientseitig ist das kein Problem, im Worst-Case muss der Kunde sein Passwort ändern.

    Wer heute noch Kundenpasswörter ind Kartext speichert kann nicht anders als einfach dumm bezeichnet werden.
    Selbst wenn er es irgendwo, an einem vermeindlich sicheren Ort, tut.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. "Rehashing"?

    Autor fratze123 27.11.12 - 16:08

    Was soll das sein?
    Ich glaube nicht, dass sowas geht. Es sei denn du kannst eine Quelle dazu liefern. Google spuckt nichts Sinnvolles aus.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Welche Passwörter?

    Autor mawa 27.11.12 - 16:16

    Das kann man recht einfach testen und Du wirst erstaunt sein, wieviele Anbieter das Kennwort im Klartext vorliegen haben.

    Ich mache das häufig bei Großhändlern und Dienstleistern so, das ich nach ein paar Wochen dort anrufe und behaupte, ich hätte mein Passwort verlegt. Gefühle 25% der Anbieter kann mir das Passwort dann telefonisch mitteilen. Der Rest bietet nur ein Rücksetzten des Passwortes an. Diese Erfahrung habe ich jetzt über einen Zeitraum von ca. 10 Jahren gesammelt, ob sich in der Zeit bei den schwarzen Schafen etwas geändert hat, kann ich nicht sagen.

    Ergo, nutzt man für jeden Anbieter ein eigenes Kennwort und verwendet keine Kennwörter für mehrere Dienste.

    Die Vorlage zielt auch eher auf die PUK und ähnliche Kenndaten ab, um Smartcards und SIM-Karten wieder freizuschalten und die Funktion wieder verwenden zu können. Hierbei geht es bei der SIM wohl um das Freischalten des Telefonbuch- und SMS-Speicher. Der Sinn bei Smartcards mit PUK, sollte sich wohl jedem selber erschliessen. Deshalb Finger weg von solchen Karten die eine derartige Hintertür besitzen für die der Anbieter den Schlüssel in der Hand hat. Bei SIM leider nicht machbar.

    Als Anbieter muss man sich hat eine Verfahrensweise angewöhnen, die mich nicht in die Kenntniss von Passwörtern und PINs meiner Benutzer gelangen lässt. Denn was ich nicht habe, kann ich nicht rausgeben. Am besten werden auch alle Nutzerdaten mit einem nur dem Nutzer bekannten Schlüssel verschlüsselt, was aber technisch nicht immer machbar ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Welche Passwörter?

    Autor cloudius 27.11.12 - 16:18

    Bei meinem Webhoster können im Kundenbereich *sämtliche* Passwörter im Klartext angezeigt werden. Ehrlich gesagt, ganz wohl ist mir dabei nicht :-S

    Edit: wurde übrigens laut Anbieter für die ganzen Reseller eingeführt, die so leichter Support leisten können. Naja...



    1 mal bearbeitet, zuletzt am 27.11.12 16:22 durch cloudius.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Welche Passwörter?

    Autor blizzy 27.11.12 - 16:20

    > Außerdem nutzt heute quasi keiner mehr MD5+Salt sondenr SHA2(256)+Salt.

    Und was genau soll daran besser sein? Lies doch mal was zu bcrypt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Welche Passwörter?

    Autor Himmerlarschundzwirn 27.11.12 - 16:22

    Mal ganz simpel gesponnen: Selbst wenn dein Passwort jetzt noch nicht im Klartext vorliegt, wäre es doch für den Provider ganz simpel, das bei deiner nächsten Anmeldung einfach mitzuspeichern. Denn der Server MUSS es im Klartext entgegennehmen, sonst kann er den Hash nicht vergleichen.

    Vergleiche $Passwort mit $Hash

    Wenn richtig, speichere $User und $Passwort

    Fertig! ;-)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Welche Passwörter?

    Autor slashwalker 27.11.12 - 16:37

    velo schrieb:
    --------------------------------------------------------------------------------
    > Ich kapier immer noch nicht, welche Passwörter? Mein Provider hat doch gar
    > kein Passwort von mir, höchstens so ein hash key.
    >
    > Und was, wenn man seine Mails im Ausland hat? Und das kann dann jeder
    > machen. So wird einfach jeder seine Mailbox bei einem Provider im Ausland
    > anlegen.
    >
    > Ich find's schon unglaublich, wie die Privatsphäre verletzt wird.


    Reicht wenn dein Anbieter auf Plesk <11 hostet. Da stehen dann in der DB psa alle Passwörter für E-Mail, FTP, SSH (falls vorhanden) und das Control Panel. Natürlich in Klartext. Erst seit Version 11 werden die gehashed.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Welche Passwörter?

    Autor Raumzeitkrümmer 27.11.12 - 17:30

    Du sprichst allein vom Provider...

    Google, facebook, yahoo usw. sind keine Provider.
    Es gibt keine einheitliche Vorschrift, wie mit Passwörtern zu verfahren ist.

    Halten wir doch mal fest:
    Das Passwort wird gebraucht, damit kein User an eine fremde mail-Box kann. Wo steht geschrieben, dass e-mails beim e-mail Anbieter verschlüsselt sein müssen? Wenn die nicht verschlüsselt sind, wozu braucht der Anbieter dann ein Passwort? Er braucht gar keins.

    Im mail-Verkehr wird das Passwort abgefragt, um den Anmelder zu identifizieren. Es ist auch sinnvoll/ wünschenswert, wenn das Passwort bei der Übertragung verschlüsselt ist. Es gibt aber keinen zwingenden Grund, dass der Anbieter nur das verschlüsselte Passwort hat.

    Wie sollte das auch gehen? Wer hat den Schlüssel? Der Rechner? Was ist, wenn ich den Rechner wechsele, woher sollte der neue Rechner wissen, wie mein alter Rechner verschlüsselt hat? Wird der Schlüssel vom Anbieter jedes mal neu geschickt, dann übernimmt mein Rechner den Schlüssel, den aber auch der Anbieter hat, denn er hat ihn mir ja geschickt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Welche Passwörter?

    Autor velo 27.11.12 - 17:48

    Und nun zurück zum Antrag;

    Wie soll ein Provider dem nun nachkommen, wenn er die Passwörter bisher garnicht kennt? (Ausser er baut alles um).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Welche Passwörter?

    Autor Raumzeitkrümmer 27.11.12 - 19:19

    Hat er sie schon gespeichert, oder hat er es nicht? Du gehst davon aus, dass alles absolut sicher ist. Ein schönes Gefühl, aber eben nur ein Bauchgefühl. Was hindert den Gesetzgeber denn, die Speicherung und schnelle Bereitstellung zu verlangen?

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Nvidia Shield Tablet ausprobiert: Schnelles Spiele-Tablet für Android mit WLAN-Controller
Nvidia Shield Tablet ausprobiert
Schnelles Spiele-Tablet für Android mit WLAN-Controller
  1. Tegra K1 Start von Nvidias Shield Tablet zeichnet sich ab
  2. GM200 und GM204 Nvidias große Maxwell-GPUs zeigen sich beim Zoll
  3. Dual-GPU-Grafikkarte EVGA macht Titan-Z schmaler und leiser als Nvidia

PC-Spiele mit 4K, 6K, 8K, 15K: "Spielen mit Downsampling schlägt Full-HD immer"
PC-Spiele mit 4K, 6K, 8K, 15K
"Spielen mit Downsampling schlägt Full-HD immer"
  1. Transformers Ära des Untergangs - gefilmt mit Sensoren im Imax-Format
  2. Intel-Partnerschaft mit Samsung 4K-Monitore sollen unter 400 US-Dollar gedrückt werden
  3. Asus ROG Kleine Gaming-PCs im Konsolendesign mit Desktophardware

Sony RX100 Mark III im Test: Klein, super, teuer
Sony RX100 Mark III im Test
Klein, super, teuer
  1. Custom ROM Sonys Bootloader einfacher zu entsperren
  2. Sony Xperia T3 kommt als Xperia Style für 350 Euro
  3. Auge als Vorbild Sony entwickelt gekrümmte Kamerasensoren

  1. Ofcom: Briten schalten den Pornofilter ab
    Ofcom
    Briten schalten den Pornofilter ab

    Die Internetsperren gegen Pornografie in Großbritannien werden von den Nutzern nicht angenommen. Das geht aus einer Studie der Medienaufsichtsbehörde Ofcom über das "familienfreundliche Network Level Filtering" hervor.

  2. Erstmal keine Integration: iOS 8 und OS X Yosemite sollen nicht parallel erscheinen
    Erstmal keine Integration
    iOS 8 und OS X Yosemite sollen nicht parallel erscheinen

    Apple versucht, zwischen iOS 8 und OS X 10.10 alias Yosemite eine enge Verzahnung herzustellen, damit man nahtlos zwischen beiden Systemen arbeiten kann. Doch nun sollen die Betriebssysteme gar nicht parallel erscheinen. Wer die Beta von Yosemite ausprobieren will, kann sie nun beziehen.

  3. Privacy: Unsichtbares Tracking mit Bildern statt Cookies
    Privacy
    Unsichtbares Tracking mit Bildern statt Cookies

    Canvas Fingerprinting heißt eine Tracking-Methode, die inzwischen auf vielen populären Webseiten zu finden ist - zeitweilig auch bei Golem.de. Wir waren darüber nicht informiert und haben die Tracking-Methode umgehend entfernen lassen.


  1. 16:50

  2. 16:32

  3. 15:54

  4. 15:15

  5. 15:00

  6. 14:55

  7. 14:28

  8. 13:41