Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Bestandsdatenauskunft: Gesetz…

Welche Passwörter?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Welche Passwörter?

    Autor: velo 27.11.12 - 15:23

    Ich kapier immer noch nicht, welche Passwörter? Mein Provider hat doch gar kein Passwort von mir, höchstens so ein hash key.

    Und was, wenn man seine Mails im Ausland hat? Und das kann dann jeder machen. So wird einfach jeder seine Mailbox bei einem Provider im Ausland anlegen.

    Ich find's schon unglaublich, wie die Privatsphäre verletzt wird.

  2. Re: Welche Passwörter?

    Autor: lisgoem8 27.11.12 - 15:46

    velo schrieb:
    --------------------------------------------------------------------------------
    > Ich kapier immer noch nicht, welche Passwörter? Mein Provider hat doch gar
    > kein Passwort von mir, höchstens so ein hash key.
    >
    > Und was, wenn man seine Mails im Ausland hat? Und das kann dann jeder
    > machen. So wird einfach jeder seine Mailbox bei einem Provider im Ausland
    > anlegen.
    >
    > Ich find's schon unglaublich, wie die Privatsphäre verletzt wird.


    sicher hat er das. ^^
    Es gibt sicher eine hash-Datenbank.

    Aber jeder Provider muss auf Nummer sicher gehen. Und ich wette es gibt eine Einwegdatenbank wo intern trotzdem Klartext-Passwörter abgelegt werden.

    Das Passwort ist beim Kunden ja oft für die Ewigkeit. Wenn da mal was mit einem MD5-Salt-Nachfolger-Aalgorithmus schief geht

  3. Re: Welche Passwörter?

    Autor: DooMMasteR 27.11.12 - 16:01

    Ich weiß, dass viele Anbieter definitiv NIRGENDWO Klartext von ihren Kundenpasswörtern speichern. Das Risiko ist VIEL zu groß.

    Außerdem nutzt heute quasi keiner mehr MD5+Salt sondenr SHA2(256)+Salt.

    Auch lassen sich Passwörter durch einfaches Rehashing auf neue Plattformen umbiegen, Clientseitig ist das kein Problem, im Worst-Case muss der Kunde sein Passwort ändern.

    Wer heute noch Kundenpasswörter ind Kartext speichert kann nicht anders als einfach dumm bezeichnet werden.
    Selbst wenn er es irgendwo, an einem vermeindlich sicheren Ort, tut.

  4. "Rehashing"?

    Autor: fratze123 27.11.12 - 16:08

    Was soll das sein?
    Ich glaube nicht, dass sowas geht. Es sei denn du kannst eine Quelle dazu liefern. Google spuckt nichts Sinnvolles aus.

  5. Re: Welche Passwörter?

    Autor: mawa 27.11.12 - 16:16

    Das kann man recht einfach testen und Du wirst erstaunt sein, wieviele Anbieter das Kennwort im Klartext vorliegen haben.

    Ich mache das häufig bei Großhändlern und Dienstleistern so, das ich nach ein paar Wochen dort anrufe und behaupte, ich hätte mein Passwort verlegt. Gefühle 25% der Anbieter kann mir das Passwort dann telefonisch mitteilen. Der Rest bietet nur ein Rücksetzten des Passwortes an. Diese Erfahrung habe ich jetzt über einen Zeitraum von ca. 10 Jahren gesammelt, ob sich in der Zeit bei den schwarzen Schafen etwas geändert hat, kann ich nicht sagen.

    Ergo, nutzt man für jeden Anbieter ein eigenes Kennwort und verwendet keine Kennwörter für mehrere Dienste.

    Die Vorlage zielt auch eher auf die PUK und ähnliche Kenndaten ab, um Smartcards und SIM-Karten wieder freizuschalten und die Funktion wieder verwenden zu können. Hierbei geht es bei der SIM wohl um das Freischalten des Telefonbuch- und SMS-Speicher. Der Sinn bei Smartcards mit PUK, sollte sich wohl jedem selber erschliessen. Deshalb Finger weg von solchen Karten die eine derartige Hintertür besitzen für die der Anbieter den Schlüssel in der Hand hat. Bei SIM leider nicht machbar.

    Als Anbieter muss man sich hat eine Verfahrensweise angewöhnen, die mich nicht in die Kenntniss von Passwörtern und PINs meiner Benutzer gelangen lässt. Denn was ich nicht habe, kann ich nicht rausgeben. Am besten werden auch alle Nutzerdaten mit einem nur dem Nutzer bekannten Schlüssel verschlüsselt, was aber technisch nicht immer machbar ist.

  6. Re: Welche Passwörter?

    Autor: cloudius 27.11.12 - 16:18

    Bei meinem Webhoster können im Kundenbereich *sämtliche* Passwörter im Klartext angezeigt werden. Ehrlich gesagt, ganz wohl ist mir dabei nicht :-S

    Edit: wurde übrigens laut Anbieter für die ganzen Reseller eingeführt, die so leichter Support leisten können. Naja...



    1 mal bearbeitet, zuletzt am 27.11.12 16:22 durch cloudius.

  7. Re: Welche Passwörter?

    Autor: blizzy 27.11.12 - 16:20

    > Außerdem nutzt heute quasi keiner mehr MD5+Salt sondenr SHA2(256)+Salt.

    Und was genau soll daran besser sein? Lies doch mal was zu bcrypt.

  8. Re: Welche Passwörter?

    Autor: Himmerlarschundzwirn 27.11.12 - 16:22

    Mal ganz simpel gesponnen: Selbst wenn dein Passwort jetzt noch nicht im Klartext vorliegt, wäre es doch für den Provider ganz simpel, das bei deiner nächsten Anmeldung einfach mitzuspeichern. Denn der Server MUSS es im Klartext entgegennehmen, sonst kann er den Hash nicht vergleichen.

    Vergleiche $Passwort mit $Hash

    Wenn richtig, speichere $User und $Passwort

    Fertig! ;-)

  9. Re: Welche Passwörter?

    Autor: slashwalker 27.11.12 - 16:37

    velo schrieb:
    --------------------------------------------------------------------------------
    > Ich kapier immer noch nicht, welche Passwörter? Mein Provider hat doch gar
    > kein Passwort von mir, höchstens so ein hash key.
    >
    > Und was, wenn man seine Mails im Ausland hat? Und das kann dann jeder
    > machen. So wird einfach jeder seine Mailbox bei einem Provider im Ausland
    > anlegen.
    >
    > Ich find's schon unglaublich, wie die Privatsphäre verletzt wird.


    Reicht wenn dein Anbieter auf Plesk <11 hostet. Da stehen dann in der DB psa alle Passwörter für E-Mail, FTP, SSH (falls vorhanden) und das Control Panel. Natürlich in Klartext. Erst seit Version 11 werden die gehashed.

  10. Re: Welche Passwörter?

    Autor: Raumzeitkrümmer 27.11.12 - 17:30

    Du sprichst allein vom Provider...

    Google, facebook, yahoo usw. sind keine Provider.
    Es gibt keine einheitliche Vorschrift, wie mit Passwörtern zu verfahren ist.

    Halten wir doch mal fest:
    Das Passwort wird gebraucht, damit kein User an eine fremde mail-Box kann. Wo steht geschrieben, dass e-mails beim e-mail Anbieter verschlüsselt sein müssen? Wenn die nicht verschlüsselt sind, wozu braucht der Anbieter dann ein Passwort? Er braucht gar keins.

    Im mail-Verkehr wird das Passwort abgefragt, um den Anmelder zu identifizieren. Es ist auch sinnvoll/ wünschenswert, wenn das Passwort bei der Übertragung verschlüsselt ist. Es gibt aber keinen zwingenden Grund, dass der Anbieter nur das verschlüsselte Passwort hat.

    Wie sollte das auch gehen? Wer hat den Schlüssel? Der Rechner? Was ist, wenn ich den Rechner wechsele, woher sollte der neue Rechner wissen, wie mein alter Rechner verschlüsselt hat? Wird der Schlüssel vom Anbieter jedes mal neu geschickt, dann übernimmt mein Rechner den Schlüssel, den aber auch der Anbieter hat, denn er hat ihn mir ja geschickt.

  11. Re: Welche Passwörter?

    Autor: velo 27.11.12 - 17:48

    Und nun zurück zum Antrag;

    Wie soll ein Provider dem nun nachkommen, wenn er die Passwörter bisher garnicht kennt? (Ausser er baut alles um).

  12. Re: Welche Passwörter?

    Autor: Raumzeitkrümmer 27.11.12 - 19:19

    Hat er sie schon gespeichert, oder hat er es nicht? Du gehst davon aus, dass alles absolut sicher ist. Ein schönes Gefühl, aber eben nur ein Bauchgefühl. Was hindert den Gesetzgeber denn, die Speicherung und schnelle Bereitstellung zu verlangen?

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Scheugenpflug AG, Neustadt/Donau
  2. Daimler AG, Böblingen
  3. Daimler AG, Sindelfingen
  4. Dirk Rossmann GmbH, Burgwedel

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 737.99$/668,38€ mit Gutscheincode: GB13LP
  2. (täglich neue Deals)


Haben wir etwas übersehen?

E-Mail an news@golem.de


GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Essential Android-Erfinder Rubin will neues Smartphone entwickeln
  2. Google Maps Google integriert Uber in Karten-App
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  2. Airbot LG stellt Roboter für Flughäfen vor
  3. Smarte Lautsprecher Die Stimme ist das Interface der Zukunft

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

  1. Vorstand: Deutsche Telekom arbeitet an vielen Glasfaser-Kooperationen
    Vorstand
    Deutsche Telekom arbeitet an vielen Glasfaser-Kooperationen

    Der neue Vorstand für Breitbandkooperation der Telekom hat viel zu tun. Johannes Pruchnow kann aber noch keine neuen Verträge vorweisen.

  2. Festplatten: Seagate schließt HDD-Werk und entlässt Tausende
    Festplatten
    Seagate schließt HDD-Werk und entlässt Tausende

    Über 2.000 Mitarbeiter werden im chinesischen Suzhou entlassen, weil Seagate dort eine Assemblierungsstätte für Festplatten schließt. Das Werk ist eines der größten seiner Art.

  3. Neue Bedienungssysteme im Auto: Es kribbelt in den Fingern
    Neue Bedienungssysteme im Auto
    Es kribbelt in den Fingern

    CES 2017 Was machen die Autofahrer eigentlich, wenn die Autos irgendwann selbst fahren? BMW, VW und Bosch haben schon einige Ideen entwickelt, die sich Golem.de in Las Vegas auf der Straße und im Modell angeschaut hat.


  1. 13:10

  2. 12:30

  3. 12:01

  4. 11:53

  5. 11:44

  6. 11:40

  7. 11:30

  8. 11:16