Kein Wunder, die treten ja auch Benutzerdaten mit Füßen...

Vor 5 Tagen habe ich csv-direct.de angeschrieben, dass sie die Benutzerpasswörter doch bitte mit einem passenden Einwegalgorithmus verschlüsseln sollen. Ich würde mal behaupten, 90% aller Benutzer vergeben ihre Passwörter für mehrere Seiten und jeder kann sich vorstellen, was dann passieren würde...

Eine Antwort habe ich übrigens bisher nicht erhalten.

Benutzer wird von Ihnen ignoriert. Anzeigen

Und du glaubst, weil du sie höflich darum bittest werden sie ein Unternehmen beauftragen, dass deren Kundenverwaltungsystem umbaut nur, weil du es gern so hättest? LOL
Ich verstehe deinen Wunsch und sehe auch das Problem in der Mehrfachverwendung von Passwörtern. Aber man sollte als Nutzer auch so weit denken, dass man nicht überall das gleiche PW nutzt.
Es gibt Programme zur Erzeugung sicherer Passwörter und deren Aufbewahrung - KeePass zum Beispiel. Dann braucht man sich nur noch eine sicher Passphrase merken, die man natürlich ausschließlich für den Passwörter-Container nutzt und auf keine Webseite etc. Damit ist man dann recht komfortabel und gleichzeitig sehr sicher.
Einzige Angriffsmöglichkeiten sind Trojaner, die das MasterPW ausspähen oder ein schwaches MasterPW, dass per BruteForce knackbar ist, oder aber die Verschlüsseung von KeePass u.Ä. wäre nicht gut implementiert und daher angreifbar.

Zu:
1. Trojaner sind für alle Passwort-Sicherung generell ein Problem.
2. Selber schuld, wenn das MasterPW schwach ist.
3. Sowas kann man generell nie ausschließen, wenn man nicht selbst Experte ist und den Code inspiziert hat.

Benutzer wird von Ihnen ignoriert. Anzeigen

Nasenbaer schrieb:
--------------------------------------------------------------------------------
> Und du glaubst, weil du sie höflich darum bittest werden sie ein
> Unternehmen beauftragen, dass deren Kundenverwaltungsystem umbaut nur, weil
> du es gern so hättest? LOL

Nein, ich bitte sie einfach nur darum, dass sie im Sinne der Kunden handeln mögen. Ich erwarte doch auch gar nicht, dass das innerhalb von einer Woche umgebaut wird, aber eine Antwort wäre doch (für mich als Kunde übrigens) angebracht, oder?
Also für mich ist sicher, dass das mein letzter Einkauf bei CSV war, solange ich nicht wenigstens mal eine Rückmeldung erhalte.

> Aber man sollte als Nutzer auch so weit
> denken, dass man nicht überall das gleiche PW nutzt.

Das ist eine andere Sache.

Übrigens war CSV nicht der einzige Onlineversandhändler. Von ~10 Onlineshops, bei denen ich angemeldet war, haben mindestens drei mir mein, von mir gesetztes, Passwort per Email zugeschickt. Bevor hier jemand behauptet, ich hätte nur einen Groll gegen CSV...

Benutzer wird von Ihnen ignoriert. Anzeigen

Ok diese Abart einem nochmal das gesetzte PW per unverschlüsselter Mail zuzuschicken finde ich auch irrsinnig. Zumal die Email-Adresse in der Regel ja auch der Login-Name ist. Wäre dann in etwa so, als würde einem die Bank EC-Karte + PIN + TAN-Liste in einem einzigen Brief schicken. Ich hasse das auch.

Und eine Antwort in der Form, "Es tut uns leider aber aus Blabla-Gründen können wir vorerst nicht ihrem Wunsch nachkommen aber seien sie versichert, hier ist alles sicher" wäre schon drin gewesen - da gebe ich dir Recht.


Und nochmal ne Frage: Was meinst du eigentlich mit Einmalverschlüsselungsverfahren? Meinst du etwa sowas wie MD5 oder SHA? Oder meinst du One-Time-Pads wie ich noch bei meiner ersten Anwort vermutete? Solltest du die Erstgenannten Hashing-Algorithmen meinen, so heißen die richtig, woher willst du denn wissen, dass diese nicht genau so in deren DB gespeichert werden?

Benutzer wird von Ihnen ignoriert. Anzeigen

Nasenbaer schrieb:
--------------------------------------------------------------------------------
> Was meinst du eigentlich mit
> Einmalverschlüsselungsverfahren? Meinst du etwa sowas wie MD5 oder SHA?
> Oder meinst du One-Time-Pads wie ich noch bei meiner ersten Anwort
> vermutete? Solltest du die Erstgenannten Hashing-Algorithmen meinen, so
> heißen die richtig, woher willst du denn wissen, dass diese nicht genau so
> in deren DB gespeichert werden?

Ich meine Hashing-Algorithmen, wie MD5 oder SHA, allerdings sind diese wegen ihrer Effizienz nicht geeignet, Passwörter zu hashen. Bcrypt wäre eine Möglichkeit.
Ich weiß, dass sie die Passwörter nicht hashen, weil sie dir diese dann nicht zuschicken könnten. Sobald dir jemand dein Passwort zuschicken kann, läuft was verkehrt. ;)



1 mal bearbeitet, zuletzt am 09.06.12 16:35 durch MasterKeule.

Benutzer wird von Ihnen ignoriert. Anzeigen

MasterKeule schrieb:
--------------------------------------------------------------------------------
> Nasenbaer schrieb:
> ---------------------------------------------------------------------------
> -----
> > Was meinst du eigentlich mit
> > Einmalverschlüsselungsverfahren? Meinst du etwa sowas wie MD5 oder SHA?
> > Oder meinst du One-Time-Pads wie ich noch bei meiner ersten Anwort
> > vermutete? Solltest du die Erstgenannten Hashing-Algorithmen meinen, so
> > heißen die richtig, woher willst du denn wissen, dass diese nicht genau
> so
> > in deren DB gespeichert werden?
>
> Ich meine Hashing-Algorithmen, wie MD5 oder SHA, allerdings sind diese
> wegen ihrer Effizienz nicht geeignet, Passwörter zu hashen. Bcrypt wäre
> eine Möglichkeit.
Dass MD5 mittlerweile unsicher ist, ist klar aber was haste für ein Problem mit SHA?

> Ich weiß, dass sie die Passwörter nicht hashen, weil sie dir diese dann
> nicht zuschicken könnten. Sobald dir jemand dein Passwort zuschicken kann,
> läuft was verkehrt. ;)
Das stimmt aber nicht. Die nutzen warscheinlich PHP für ihre Webseite. Per HTTP-POST schickst du dein PW im Klartext an Sie (SSL verschlüsselt damit niemand mithören kann). Dann haben sie serverseitig dein PW im Klartext. Per PHP kannste dann ne E-Mail daraus basteln und an dich schicken. Zusätzlich nimmste das PW und hasht es und speicherst es dann so in der DB.

Wenn du es schon auf Clientseite verschlüsseln willst, dann brauchst du Java(-Script) und das macht praktisch niemand so. Also die E-Mail ist nicht mal ein Indiz für die unsichere Speicherung. :)

Benutzer wird von Ihnen ignoriert. Anzeigen

Nasenbaer schrieb:
> Dass MD5 mittlerweile unsicher ist, ist klar aber was haste für ein Problem
> mit SHA?

Ich sprach von effizienten (im Sinne von "schnell") Hash-Algorithmen. MD5 und SHA sind zum Hashen von Passwörtern ungeeignet, weil sie schnell sind. Ich möchte das aber nicht weiter ausführen - im Netz findest du das "Warum" von Leuten, die es besser erklären, als ich es könnte. ;)

> Das stimmt aber nicht. Die nutzen warscheinlich PHP für ihre Webseite. Per
> HTTP-POST schickst du dein PW im Klartext an Sie (SSL verschlüsselt damit
> niemand mithören kann). Dann haben sie serverseitig dein PW im Klartext.
> Per PHP kannste dann ne E-Mail daraus basteln und an dich schicken.
> Zusätzlich nimmste das PW und hasht es und speicherst es dann so in der
> DB.

Welchen Sinn soll es haben, Passwörter zu hashen, aber dann irgendwoanders doch im Klartext (oder von mir aus verschlüsselt) zu speichern, um sie dann bei Bedarf an den entsprechenden Benutzer zu schicken? Diese Datenbank könnte dann ebensogut in falsche Hände geraten und da Email-Adressen und Passwörter in Relation zueinander stehen müssen, um das Passwort per Email verschicken zu können, ist es sicherheitstechnisch genauso kritisch.

Benutzer wird von Ihnen ignoriert. Anzeigen

MasterKeule schrieb:
--------------------------------------------------------------------------------
> Welchen Sinn soll es haben, Passwörter zu hashen, aber dann irgendwoanders
> doch im Klartext (oder von mir aus verschlüsselt) zu speichern, um sie dann
> bei Bedarf an den entsprechenden Benutzer zu schicken? Diese Datenbank
> könnte dann ebensogut in falsche Hände geraten und da Email-Adressen und
> Passwörter in Relation zueinander stehen müssen, um das Passwort per Email
> verschicken zu können, ist es sicherheitstechnisch genauso kritisch.

Wie willst du sie denn in der DB halten, wenn nicht als Hash? Genau so werden sie ja meistens abgelegt. Aber die Übertragung zum Ziel-Server erfolgt halt immer im Klartext - deswegen ist HTTPS ja so wichtig. Würden alle Daten schon clientseitig "maskiert" werden, so wäre das ja gar nicht unbedingt notwendig.

Und natürlich ist es ein enormes Risiko das gleiche PW für E-Mail Account und eine andere Webseite zu nehmen.
ABER würde jemand die DB mit den Passwort-Hashes und den E-Mail-Adressen im Klartext erbeuten können, dann hilft das nicht viel. Denn um an dein E-Mail-Konto zu kommen, bräuchte er dein PW im Klartext und nicht nur einen Hash davon, da der E-Mail-Server ja auch das PW als Klartext erwartet und dann erst serverseitig den Hash bildet. Würde man den Hash schon übertragen, so würde es von diesem den Hashwert bilden und eine "PW falsch" Meldung werfen.



1 mal bearbeitet, zuletzt am 10.06.12 02:04 durch Nasenbaer.

Benutzer wird von Ihnen ignoriert. Anzeigen

Nasenbaer schrieb:
--------------------------------------------------------------------------------
> Wie willst du sie denn in der DB halten, wenn nicht als Hash?

Kann es sein, dass du meine Beiträge "umdrehst", bevor du sie liest?

Du redest völlig am Thema vorbei. Wir sind uns doch beide einig, dass man Passwörter nur gehasht (und natürlich mit zufallsgeneriertem salt) speichern sollte. Ist das der Fall, ist es nicht mehr möglich die Passwörter zu entschlüsseln. Und wenn mir jemand mein Passwort zuschicken kann, dann kann er das Passwort auch nicht als Hash gespeichert haben, sondern es muss irgendwo im Klartext oder verschlüsselt vorliegen. Und genau das kritisiere ich.

Dabei spielt es überhaupt keine Rolle, dass man Passwörter nicht für mehrere Webseiten benutzen sollte. (Die meisten Benutzer werden es trotzdem tun und deswegen sollte man sie wenigstens schützen, so gut es geht)

Benutzer wird von Ihnen ignoriert. Anzeigen

MasterKeule schrieb:
--------------------------------------------------------------------------------
> Nasenbaer schrieb:
> ---------------------------------------------------------------------------
> -----
> > Wie willst du sie denn in der DB halten, wenn nicht als Hash?
>
> Kann es sein, dass du meine Beiträge "umdrehst", bevor du sie liest?
>
> Du redest völlig am Thema vorbei. Wir sind uns doch beide einig, dass man
> Passwörter nur gehasht (und natürlich mit zufallsgeneriertem salt)
> speichern sollte. Ist das der Fall, ist es nicht mehr möglich die
> Passwörter zu entschlüsseln. Und wenn mir jemand mein Passwort zuschicken
> kann, dann kann er das Passwort auch nicht als Hash gespeichert haben,
> sondern es muss irgendwo im Klartext oder verschlüsselt vorliegen. Und
> genau das kritisiere ich.
>
> Dabei spielt es überhaupt keine Rolle, dass man Passwörter nicht für
> mehrere Webseiten benutzen sollte. (Die meisten Benutzer werden es trotzdem
> tun und deswegen sollte man sie wenigstens schützen, so gut es geht)

Du verstehst mich nicht. :)
Ich meinte, dass sie dir die E-Mail schicken BEVOR sie den Hash bilden und den dann in der DB speichern. Und das können sie, weil das PW im Klartext übertragen wird.
Natürlich ist es auch möglich, dass dieser konrekte Shop die Passwörter im Klartext ablegt. Aber das an dich zurückgeschickt PW ist kein Hinweis darauf.

Benutzer wird von Ihnen ignoriert. Anzeigen

Nasenbaer schrieb:
--------------------------------------------------------------------------------
> Du verstehst mich nicht. :)

Dann hast du die Sachlage falsch verstanden:
1. Ich melde mich bei einem Dienst an und vergebe mein Passwort.
2, Nach x Tagen habe ich mein Passwort vergessen und nutze die "Passwort vergessen" Funktion auf der Webseite des Dienstes.
3. Mir wird mein altes, von mir DAMALS VERGEBENES (!) Passwort per Email zugesendet.

Jetzt verstanden? ;)

Benutzer wird von Ihnen ignoriert. Anzeigen

Hier ein Update: Der Kundensupport hat mittlerweile auf meine Email reagiert und sich für meinen Hinweis bedankt. Desweiteren wurde mir mitgeteilt, dass die Programmierung in Auftrag gegeben wurde und das Shopsystem noch diesen Monat ein Update erhalten soll.

Großes Lob an CSV dafür!

Benutzer wird von Ihnen ignoriert. Anzeigen