Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Überwachung: Bundestag erlaubt…

Daten werden unverschlüsselt hinterlegt?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Daten werden unverschlüsselt hinterlegt?

    Autor: Corben 22.03.13 - 08:09

    Damit das aber funktionieren kann, müssen doch die Daten beim Anbieter unverschlüsselt vorliegen. Oder zumindest Initial-PIN und/oder -Passwort.
    Funktioniert das noch, wenn ich meine PIN am Handy ändere?
    Bei Dropbox bleibt nur, die Daten mittels Drittsoftware (TrueCrypt, BoxCryptor) zu verschlüsseln, aber da Dropbox eh letztendlich Zugriff auf die Daten hat, sollte das bereits so sein.

    --
    So long, Corben

  2. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: Himmerlarschundzwirn 22.03.13 - 08:11

    Ist Dropbox denn ein deutsches Unternehmen? Ich kapier den Punkt sowieso nicht... Bei wem liegen denn meine Dropbox-Zugangsdaten im Klartext? Bei Vodafone ja schon mal nicht. Woher auch?

  3. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: __destruct() 22.03.13 - 08:35

    USA und D kooperieren miteinander. D.h. die Strafermittlungsbehörden des einen Staates geben denen des anderen Staates die Daten heraus.

  4. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: Mingfu 22.03.13 - 08:42

    Corben schrieb:
    --------------------------------------------------------------------------------
    > Damit das aber funktionieren kann, müssen doch die Daten beim Anbieter
    > unverschlüsselt vorliegen.

    Selbst wenn die Daten als Hash mit Salt auf der Platte liegen, so wird das Passwort in der Regel bei jedem Anmeldevorgang (innerhalb einer verschlüsselten Verbindung) als Klartext zum Server übertragen und erst dort gehasht und verglichen. Somit erhält der Server bei jedem Anmeldevorgang das Passwort als Klartext und kann es entsprechend weiterreichen.

  5. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: Q 22.03.13 - 08:42

    > Damit das aber funktionieren kann, müssen doch die Daten beim Anbieter unverschlüsselt vorliegen.
    Genau das habe ich mir auch gedacht.
    Was machen Betreiber, die auf sichere Systeme setzen und von keinem ihrer Bestandskunden ein Passwort im Klartext haben?
    Denn genau das ist es, was ich als Kunde mir von meinem Dienstanbieter erhoffe, dass er meine Passwörter verschlüsselt abspeichert.

  6. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: Mingfu 22.03.13 - 08:45

    Q schrieb:
    --------------------------------------------------------------------------------
    > Was machen Betreiber, die auf sichere Systeme setzen und von keinem ihrer
    > Bestandskunden ein Passwort im Klartext haben?
    > Denn genau das ist es, was ich als Kunde mir von meinem Dienstanbieter
    > erhoffe, dass er meine Passwörter verschlüsselt abspeichert.

    Wie schon geschrieben: Was ist mit dem Passwort, wenn du dich anmeldest? Da kommt es in der Regel immer noch als Klartext rein und kann somit weitergegeben werden. Die Behörden könnten dann halt nicht sofort das Passwort erhalten, aber sobald du dich wieder anmeldest, kann der Anbieter dem Begehren der Behörden nachkommen. Die wenigsten Anbieter setzen auf Verfahren, wo das Passwort bereits auf dem Client verschlüsselt und beim Anbieter nur gegen einen abstrakten Wert verglichen wird, aus dem sich das Passwort nicht wieder zurückrechnen lässt.

  7. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: Q 22.03.13 - 08:47

    > Somit erhält der Server bei jedem
    > Anmeldevorgang das Passwort als Klartext und kann es entsprechend
    > weiterreichen.

    Gut, wenn es sich allerdings beim Inhaber des Passworts nicht gerade um einen Poweruser handelt, sondern eher um die Sorte, der nur 1-2 Mal im Monat seine Mails abruft und die Behörden wollen sein Passwort, und zwar jetzt und sofort, dann wird's wieder schwierig ...

    Ein Fan von der Geschichte werde ich trotzdem nicht.
    Ich seh uns schon alle mit einem Implantat im Kopf durch die Gegend laufen, das unsere Hirnströme zur Analyse an einen Zentralcomputer einer Bundesbehörde (falsch! Privatisierung!) eines Konzerns zur Auswertung schickt.

  8. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: Casandro 22.03.13 - 08:48

    Es geht hier nicht um die Praktikabilität sondern darum, was sich die Leute erlauben.

  9. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: Salzbretzel 22.03.13 - 08:59

    Corben schrieb:
    --------------------------------------------------------------------------------
    > Funktioniert das noch, wenn ich meine PIN am Handy ändere?
    Also Händler können im Regelfall auf die PUK zugreifen. Da ist das ändern der PIN nicht hilfreich. Ob nun auch die PIN irgendwo sichtbar gespeichert ist kann ich leider nicht sagen.

    "Das Genie: Ein Blitz, dessen Donner Jahrhunderte währt" (Knut Hamsun)

  10. "zum Server übertragen und erst dort gehasht und verglichen"

    Autor: fratze123 22.03.13 - 09:58

    Das ist kein Naturgesetz. Auch der Client kann den Hash berechnen.

  11. Re: "zum Server übertragen und erst dort gehasht und verglichen"

    Autor: Mingfu 22.03.13 - 10:06

    Sicher ist das kein Naturgesetzt - habe ich an anderer Stelle hier auch schon geschrieben, dass es entsprechende Verfahren gibt, wo das Klartextpasswort den Client nicht verlassen muss. Nur nutzt die halt kaum ein Anbieter, sondern in aller Regel geht das Passwort im Klartext zum Server.

  12. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: Nekornata 22.03.13 - 10:40

    Das Passwort wird nur als Klartext gesendet, wenn der Benutzer es selber eingegeben hat. Ein Cookie sendet auch nur den Hash um sich automatisch einzuloggen.

    Und die meisten lassen sich automatisch von ihren Cookies einloggen. Viele wissen beim Verlust des Cookies ja noch nicht mal mehr ihr Passwort ;).

  13. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: theSOAD 22.03.13 - 11:10

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Corben schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Damit das aber funktionieren kann, müssen doch die Daten beim Anbieter
    > > unverschlüsselt vorliegen.
    >
    > Selbst wenn die Daten als Hash mit Salt auf der Platte liegen, so wird das
    > Passwort in der Regel bei jedem Anmeldevorgang (innerhalb einer
    > verschlüsselten Verbindung) als Klartext zum Server übertragen und erst
    > dort gehasht und verglichen. Somit erhält der Server bei jedem
    > Anmeldevorgang das Passwort als Klartext und kann es entsprechend
    > weiterreichen.


    Wieso? Man kann es doch direkt Lokal verschlüßeln, und den Hash-Wert senden.
    Vorrausgesetzt ist natürlich das die Anmeldung so programmiert wurde.

  14. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: laroe 22.03.13 - 11:30

    theSOAD schrieb:
    --------------------------------------------------------------------------------
    > Wieso? Man kann es doch direkt Lokal verschlüßeln, und den Hash-Wert
    > senden.
    > Vorrausgesetzt ist natürlich das die Anmeldung so programmiert wurde.

    Stimmt, so programmiere ich meine Apps. Die Kennwörter werden in der App gehasht und beim Login über eine SSL-Verbindung verschickt.

  15. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: AllDayPiano 22.03.13 - 11:38

    Vielleicht kann hier mal jemand aufklären: Bei der SSL-verschlüsselten Übertragung werden Passwörter als Klartext übertragen?

  16. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: laroe 22.03.13 - 11:40

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > Vielleicht kann hier mal jemand aufklären: Bei der SSL-verschlüsselten
    > Übertragung werden Passwörter als Klartext übertragen?

    Das war wohl unglücklich formuliert. Natürlich sind die Kennwörter über eine verschlüsselte Verbindung nicht lesbar.
    Wenn die Daten auf dem Server dann entschlüsselt werden, liegen sie auf dem Server entschlüsselt vor.
    Dem entgegenwirken kann man, indem schon die Anwendung wie oben erwähnt die Kennwörter vor dem Senden hasht.



    1 mal bearbeitet, zuletzt am 22.03.13 11:43 durch laroe.

  17. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: zipper5004 22.03.13 - 11:45

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > Vielleicht kann hier mal jemand aufklären: Bei der SSL-verschlüsselten
    > Übertragung werden Passwörter als Klartext übertragen?

    Es werden ja nur die Daten verschlüsselt, aber in der Regel wird eben das Klartext-Passwort per SSL übertragen.

    Am Server kommt also das Klartextpasswort an.

  18. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: tingelchen 22.03.13 - 11:57

    Wenn die Software jedoch eine solche Schnittstelle bereit stellt um ein Passwort beim Vergleich mit der Datenbank ab zu fangen, um es dann irgendwo im Klartext ablegen zu können, dann ist dies ein sehr schweres Sicherheitsloch. Man könnte daher auch gleich die Passwörter in der Datenbank in Klartext hinterlegen. Wäre praktisch das gleiche.

    Nun wird es nicht einfach einer Firma nach zu weisen das eine solche Schnittstelle in der Server Software enthalten ist. Normal sollte dies auch nicht der Fall sein. D.h. das Passwort wird einmalig im Klartext empfangen, zum Vergleich vorbereitet, dann mit der Datenbank verglichen und danach aus dem Speicher gelöscht.

    Jegliche weitere Anmeldungen gehen dann über die Session. So lange bis die Session abgelaufen ist.

  19. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: Sebbi 22.03.13 - 13:09

    laroe schrieb:
    --------------------------------------------------------------------------------
    > AllDayPiano schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Vielleicht kann hier mal jemand aufklären: Bei der SSL-verschlüsselten
    > > Übertragung werden Passwörter als Klartext übertragen?
    >
    > Das war wohl unglücklich formuliert. Natürlich sind die Kennwörter über
    > eine verschlüsselte Verbindung nicht lesbar.
    > Wenn die Daten auf dem Server dann entschlüsselt werden, liegen sie auf dem
    > Server entschlüsselt vor.
    > Dem entgegenwirken kann man, indem schon die Anwendung wie oben erwähnt die
    > Kennwörter vor dem Senden hasht.

    Umm ... ist das nicht vollkommen egal, ob ich nun das Passwort selbst oder nur den Hash vom Passwort habe, wenn der Server auch den Hash als Passwort akzeptiert? Diese Vorgehensweise ist doch lediglich interessant, so dass ein immer wieder verwendetes Passwort bei jedem Anbieter unterschiedlich (dank Hash) ist, oder nicht?

  20. Re: Daten werden unverschlüsselt hinterlegt?

    Autor: __destruct() 22.03.13 - 17:54

    Sie haben trotzdem die Möglichkeit, den Strafverfolgungsbehörden Zugriff zum Account zu gewähren. Dazu ist kein Passwort notwendig, da sie sich dazu nicht bei der Kontenverwaltung als der User authentifizieren müssen.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. Pohl Verwaltungs- und Beteiligungs GmbH & Co. KG, Düren
  3. spectrumK GmbH, Berlin
  4. LORENZ Life Sciences Group, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. ab 369€ + Versand
  2. 274,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
    FPM-Sicherheitslücke
    Daten exfiltrieren mit Facebooks HHVM

    Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
    Eine Exklusivmeldung von Hanno Böck

    1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

    Erasure Coding: Das Ende von Raid kommt durch Mathematik
    Erasure Coding
    Das Ende von Raid kommt durch Mathematik

    In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
    Eine Analyse von Oliver Nickel

    1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
    2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

    1. Nobe 100: Dreirädriges Retro-Elektroauto parkt senkrecht an der Wand
      Nobe 100
      Dreirädriges Retro-Elektroauto parkt senkrecht an der Wand

      Retro ist in: Das estnische Unternehmen Nobe hat ein dreirädriges Elektroauto entwickelt, dessen Design an die 1960er Jahre erinnert. Interessant ist zudem das modulare Konzept der Entwickler sowie die Art und Weise, wie das Auto geparkt werden soll.

    2. 50 Jahre Mondlandung: Die Krise der Raumfahrtbehörden
      50 Jahre Mondlandung
      Die Krise der Raumfahrtbehörden

      Schon die Wiederholung der Mondlandung wirkt 50 Jahre später fast utopisch. Gerade bei der Nasa findet immer weniger Raumfahrt statt. Das liegt am Geld - aber nicht daran, dass die Raumfahrt nicht genug davon hat.

    3. Tiangong-2: Absturz der chinesischen Raumstation steht bevor
      Tiangong-2
      Absturz der chinesischen Raumstation steht bevor

      Die Mission sollte zwei Jahre dauern, am Ende waren es über 1.000 Tage: Die chinesische Raumstation Tiangong-2 wird am Ende ihrer Mission abgesenkt und soll in der Erdatmosphäre verglühen.


    1. 13:05

    2. 12:01

    3. 11:33

    4. 10:46

    5. 10:27

    6. 10:15

    7. 09:55

    8. 09:13