Abo
  1. Foren
  2. Kommentare
  3. Games
  4. Alle Kommentare zum Artikel
  5. › Drakensang Online: Diablo-Konkurrent…

Passwortspeicherung in Klartext

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwortspeicherung in Klartext

    Autor: magic23 09.08.11 - 14:41

    Wollte nur mal die Interessierten und Spielenden darauf hinweisen, dass dort die Passwörter im Klartext gespeichert werden. Dies kann man sehen, wenn man sich sein Passwort per Mail zuschicken lässt beispielsweise. Aber auch schon bei der Registrierung oder beim Ändern des Passworts wird dies ersichtlich.

    Fail!

  2. Re: Passwortspeicherung in Klartext

    Autor: Endwickler 09.08.11 - 15:09

    magic23 schrieb:
    --------------------------------------------------------------------------------
    > Wollte nur mal die Interessierten und Spielenden darauf hinweisen, dass
    > dort die Passwörter im Klartext gespeichert werden. Dies kann man sehen,
    > wenn man sich sein Passwort per Mail zuschicken lässt beispielsweise. ...

    Also bekommt man per E-Mail ein Passwort zugeschickt und kann es sogar lesen?
    Kannst du irgendwie deutlicher werden, was du meinst?

    Wenn ich mir das Passwort zuschicken lasse, erwarte ich eigentlich schon, dass ich es dann auch lesen kann.

  3. Re: Passwortspeicherung in Klartext

    Autor: magic23 09.08.11 - 16:23

    Ja, du bekommst dein gesetztes Passwort im Klartext geschickt, wenn du beispielsweise den Passwort vergessen Link nutzt. Das ist Technik von Anno-Dazumal und zeigt auf, dass die Passwörter in Klartext gespeichert werden. Heutzutage sollte man beim Klick auf "Passwort vergessen" eine Mail bekommen, mit einem zufällig generierten neuen Passwort, mit dem man sich dann einloggt und danach ändert. In diesem Fall hier ist das aber veraltete Technik und sollten die Server gehackt werden, dann haben die Hacker Zugriff auf die unverschlüsselten Passwörter.

  4. Re: Passwortspeicherung in Klartext

    Autor: DerKleineHorst 09.08.11 - 17:03

    Es ist keine Möglichkeit, dass die Passwörter verschlüsselt gespeichert werden und beim Versand der Mail das Passwort entschlüsselt wurde und dann zugeschickt?

    Man wird ja nicht gezwungen den Hash eines Passworts in der DB zu speichern.
    Dann muss man nämlich immer ein neues Passwort generieren, was Kunden vielleicht auch doof finden, weil die dann so ein komisches Passwort bekommen und das dann irgendwo wieder ändern müssen.

  5. Re: Passwortspeicherung in Klartext

    Autor: fool 09.08.11 - 17:06

    > Es ist keine Möglichkeit, dass die Passwörter verschlüsselt gespeichert
    > werden und beim Versand der Mail das Passwort entschlüsselt wurde und dann
    > zugeschickt?

    Nein, weil die Entschlüsselung automatisch passiert. D.h. jeder der in die Nähe des Rechners kommt kann sie auch durchführen, und wenn du das Passwort noch woanders benutzt, sollte ja klar sein was das bedeutet.

    > Man wird ja nicht gezwungen den Hash eines Passworts in der DB zu
    > speichern.
    > Dann muss man nämlich immer ein neues Passwort generieren, was Kunden
    > vielleicht auch doof finden, weil die dann so ein komisches Passwort
    > bekommen und das dann irgendwo wieder ändern müssen.

    Das finden nur die Kunden doof, die sich über die Sicherheit ihrer Passwörter noch keine Gedanken gemacht haben.

  6. Re: Passwortspeicherung in Klartext

    Autor: DerKleineHorst 09.08.11 - 17:11

    fool schrieb:
    --------------------------------------------------------------------------------
    > > Es ist keine Möglichkeit, dass die Passwörter verschlüsselt gespeichert
    > > werden und beim Versand der Mail das Passwort entschlüsselt wurde und
    > dann
    > > zugeschickt?
    >
    > Nein, weil die Entschlüsselung automatisch passiert. D.h. jeder der in die
    > Nähe des Rechners kommt kann sie auch durchführen, und wenn du das Passwort
    > noch woanders benutzt, sollte ja klar sein was das bedeutet.
    >

    Wie soll man das denn verstehen? Dass die Betreiber selber dann Zugriff auf das Passwort haben? Wenn die das wollten könnten sie das sowieso, schließlich weiß niemand was da genau im Code verbaut wurde.

    > > Man wird ja nicht gezwungen den Hash eines Passworts in der DB zu
    > > speichern.
    > > Dann muss man nämlich immer ein neues Passwort generieren, was Kunden
    > > vielleicht auch doof finden, weil die dann so ein komisches Passwort
    > > bekommen und das dann irgendwo wieder ändern müssen.
    >
    > Das finden nur die Kunden doof, die sich über die Sicherheit ihrer
    > Passwörter noch keine Gedanken gemacht haben.

    Wenn ich also hsdjkhe4k2l3jh24kljh1!"§423re24 zugeschickt bekomme ist es unsicher, weil ich das Passwort selber dort mal eingegeben habe?

    Zudem ist eine Speicherung der Passwörter im Klartext damit immer noch nicht bewiesen.

  7. Re: Passwortspeicherung in Klartext

    Autor: doctorj 09.08.11 - 18:58

    DerKleineHorst schrieb:
    --------------------------------------------------------------------------------
    > Wie soll man das denn verstehen? Dass die Betreiber selber dann Zugriff auf
    > das Passwort haben? Wenn die das wollten könnten sie das sowieso,
    > schließlich weiß niemand was da genau im Code verbaut wurde.

    Jeder der Zugriff auf den Code oder den Server hat kann das Passwort dann entschlüsseln. Auch wenn der Server gehackt wird können die Hacker das Passwort entschlüsseln... Bei Einwegverschlüsselung ist das nicht möglich, da müssten sie das Passwort erst knacken, was sehr zeitaufwendig ist....

    > Wenn ich also hsdjkhe4k2l3jh24kljh1!"§423re24 zugeschickt bekomme ist es
    > unsicher, weil ich das Passwort selber dort mal eingegeben habe?

    Wenn das Passwort und der Username untereinander im Mail stehen (wie hier) kann sich jeder einloggen der das Mail lesen kann. Also theoretisch jeder über dessen Server das Mail gelaufen ist, dein Provider, dein Opa der sich grad deine E-Mails durchsieht, ...

    > Zudem ist eine Speicherung der Passwörter im Klartext damit immer noch
    > nicht bewiesen.

    Obs im Klartext gespeichert wird oder mit einem bekannten Verschlüsselungsalgorithmus mit bekanntem Key ist ziemlich egal. Beides ist einsehbar sobald man den Server hackt ;-) Einwegverschlüsselung ist in keine Fall einsehbar.... Sicherer ist es auch noch wenn für jeden User ein eigener Salt generiert wird der mit dem Passwort zusammen verschlüsselt wird.... dann müssen die Hacker für jeden User eigene Rainbowtables anlegen, nicht eine für alle User....

  8. Re: Passwortspeicherung in Klartext

    Autor: Loeschtroll 11.08.11 - 09:52

    > Sicherer ist es auch noch wenn für jeden User ein
    > eigener Salt generiert wird der mit dem Passwort zusammen verschlüsselt
    > wird.... dann müssen die Hacker für jeden User eigene Rainbowtables
    > anlegen, nicht eine für alle User....

    Bringt in diesem Fall rein garnichts, weil der Salt ebenso gespeichert werden muss - hat man diesen ist es sogar möglich eine Einwegverschlüsselung zu knacken, de facto ist das also WENIGER Sicherheit als zuvor - ein gespeichertes Passwort muss immer absolut eigenständig und unumkehrbar sein ... was ja nun bei MD5 leider nicht mehr der Fall ist. Salts haben nur einen einzigen Zweck : zu verhindern, dass öffentliche Daten des Clients über Brute-Forcing zu geheimen Daten führen ergo das Errechnen einer Session-ID oder Ähnlichem erfmöglichen.



    1 mal bearbeitet, zuletzt am 11.08.11 09:54 durch Loeschtroll.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Versicherungskammer Bayern, München
  2. Universität der Bundeswehr München, Neubiberg
  3. Stadt Weil der Stadt, Weil der Stadt
  4. ENGAGEMENT GLOBAL gGmbH, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    Schienenverkehr: Die Bahn hat wieder eine Vision
    Schienenverkehr
    Die Bahn hat wieder eine Vision

    Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
    Eine Analyse von Caspar Schwietering

    1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
    2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
    3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

    1. Fluggastdatenspeicherung: Vielflieger scheitert vor Gericht
      Fluggastdatenspeicherung
      Vielflieger scheitert vor Gericht

      Ein europäischer Fluggast hat gegen das BKA geklagt: Dieses solle seine Fluggastdaten nicht speichern, verarbeiten und übermitteln. Das Verwaltungsgericht Wiesbaden lehnte die Klage jedoch mit dem Verweis auf andere Datensammlungen ab.

    2. Düsseldorf: Xiaomi kündigt erstes Büro in Deutschland an
      Düsseldorf
      Xiaomi kündigt erstes Büro in Deutschland an

      Genau wie Huawei will der Technologiekonzern Xiaomi eine Niederlassung in Düsseldorf eröffnen. Seine Produkte gibt es bereits bei Mediamarkt, Saturn und Amazon.

    3. Bundeswehr auf der Gamescom: Und dann hebt der Kampfjet nicht mal ab
      Bundeswehr auf der Gamescom
      Und dann hebt der Kampfjet nicht mal ab

      Gamescom 2019 Auf der Spielemesse Gamescom versucht die Bundeswehr, junge Gamer für den Dienst im IT-Bereich zu begeistern. Funktioniert das? Unser Autor hat es ausprobiert.


    1. 15:44

    2. 14:42

    3. 14:10

    4. 12:59

    5. 12:45

    6. 12:30

    7. 12:02

    8. 11:58