1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Brillenladen: Datenklau bei Mr. Spex

Passwörter im Klartext?

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter im Klartext?

    Autor: kaul 02.08.12 - 17:47

    Sehr geehrter Herr XXX,

    leider wurden die Daten teilweise unverschlüsselt gespeichert. Dies war ein Fehler, den wir sehr bedauern.
    Wir arbeiten jedoch gerade an einer weiteren Erhöhung unserer Sicherheitsstandards inkl. einer Verschlüsselung der Passwörter.

    Wir bedauern den Vorfall sehr und hoffen Sie bald wieder als Kunden begrüßen zu dürfen.

    Mit besten Grüßen aus Berlin,
    Ihr Mister Spex Team



    1 mal bearbeitet, zuletzt am 02.08.12 17:47 durch kaul.

  2. Re: Passwörter im Klartext?

    Autor: Anonymer Nutzer 02.08.12 - 19:34

    Die sind nimmer ganz sauber. Ich kann es nicht verstehen, wie kann man bitte Passwörter im Klartext speichern? Was haben die für Programmierer? Sowas ist doch ein absolutes No-Go. Aaah bei sowas könnte ich agressiv werden... *facepalm*

  3. Re: Passwörter im Klartext?

    Autor: Nasenbaer 02.08.12 - 20:23

    Das kommt, wenn jedes daher gelaufene HTML-Kiddie mitmal Webseiten und insb. Shopsysteme entwickelt. Welche Webdesigner interessiert sich denn schon für Kryptographie und Computer-/Internetsicherheit oder sieht wenigstens die Notwendigkeit sich darüber informieren zu müssen?
    Da wird mal im Netz aufgeschnappt, dass es sowas wie "SQL-Injection" gibt und bestenfalls nach ner fixen Lösung gegoogelt um das Problem zu beseitigen aber eine intensive Beschäftigung mit solchen Problemen, mit den dahinterliegenden Server-Anwendungen usw. findet wohl viel zu selten statt.

    Anders kann man sich diese ständigen 08/15-Pannen nicht erklären. Webdesigner, nennt sich schließlich heute dahergelaufene Freizeit-Webseiten-Bastler.
    Natürlich mag es auch Außnahmen geben, also Leute, die das Problem erkannt haben und wissen wie man nicht nur ne Webseite designt, sondern auch richtig und sicher "programmiert". Denen will ich hiermit nicht auf die Füße treten, sondern mal loben. :)

  4. Re: Passwörter im Klartext?

    Autor: elgooG 02.08.12 - 20:45

    Nasenbaer schrieb:
    --------------------------------------------------------------------------------
    > Das kommt, wenn jedes daher gelaufene HTML-Kiddie mitmal Webseiten und
    > insb. Shopsysteme entwickelt. Welche Webdesigner interessiert sich denn
    > schon für Kryptographie und Computer-/Internetsicherheit oder sieht
    > wenigstens die Notwendigkeit sich darüber informieren zu müssen?
    > Da wird mal im Netz aufgeschnappt, dass es sowas wie "SQL-Injection" gibt
    > und bestenfalls nach ner fixen Lösung gegoogelt um das Problem zu
    > beseitigen aber eine intensive Beschäftigung mit solchen Problemen, mit den
    > dahinterliegenden Server-Anwendungen usw. findet wohl viel zu selten
    > statt.
    >
    > Anders kann man sich diese ständigen 08/15-Pannen nicht erklären.
    > Webdesigner, nennt sich schließlich heute dahergelaufene
    > Freizeit-Webseiten-Bastler.
    > Natürlich mag es auch Außnahmen geben, also Leute, die das Problem erkannt
    > haben und wissen wie man nicht nur ne Webseite designt, sondern auch
    > richtig und sicher "programmiert". Denen will ich hiermit nicht auf die
    > Füße treten, sondern mal loben. :)

    Man sollte auch beachten, dass jemand der etwas von der Materie versteht es schwer hat dem Unternehmen zu erklären warum der Preis x-mal so hoch ist, als bei einem dahergelaufenen Hobby-Bastler.

    Fachkräften wird hier durch Pfusch, Schlamperei, Leichtsinn und Fahrlässigkeit die Grundlage entzogen und wenn mal der große Knall kommt, dann will keiner Schuld sein. Hauptsache man hat ein paar Euro gespart und dabei die eigenen Kunden gefährdet.

    Ich frage mich warum solche fahrlässigen Dinge wie Klatextpasswörter nicht endlich unter Strafe stehen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  5. Re: Passwörter im Klartext?

    Autor: Nasenbaer 02.08.12 - 22:35

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Man sollte auch beachten, dass jemand der etwas von der Materie versteht es
    > schwer hat dem Unternehmen zu erklären warum der Preis x-mal so hoch ist,
    > als bei einem dahergelaufenen Hobby-Bastler.
    > Fachkräften wird hier durch Pfusch, Schlamperei, Leichtsinn und
    > Fahrlässigkeit die Grundlage entzogen und wenn mal der große Knall kommt,
    > dann will keiner Schuld sein. Hauptsache man hat ein paar Euro gespart und
    > dabei die eigenen Kunden gefährdet.

    Da hast du Recht, das wird auch ein Grund sein warum sowas immer wieder passiert. Ein BWL-Heini wird die Notwendigkeit eines sicheren Servernetzes etc. noch weniger verstehen - vorallem wenn er das Spartpotential sieht. ^^


    > Ich frage mich warum solche fahrlässigen Dinge wie Klatextpasswörter nicht
    > endlich unter Strafe stehen.
    Ich bin kein Jurist aber ich könnte mir vorstellen, dass das bereits jetzt, wenigstens zivilrechtlich, verfolgbar ist. Eine Aufnahme ins StGB wäre aber sicher abschreckender aber Prozesse dürfte da auch schwer zu führen sein. Wieviel muss man unternehmen bis man nicht mehr Fahrlässigkeit vorgeworfen bekommen kann? Reichen gehashte Passwörter? Reicht MD5? Ist random salt notwendig? Reicht ne Firewall? Brauche ich aufwändige Intrusion-Detection-Systeme?
    Ich bin in Computersicherheit selbst alles andere als ein Experte aber wenn ich sowas schon nicht entscheiden könnte, wie soll das dann ein Anwalt machen, der dabei gänzlich Bahnhof versteht?

  6. Re: Passwörter im Klartext?

    Autor: __destruct() 02.08.12 - 23:45

    Deutsche Gesetze schreiben fast nie klare Werte vor. Nahezu ausnahmslos ist alles schwammig.

    Hier könnte man aber "nicht mit lohnendem Aufwand rückverfolgbar" sowie zusätzlich "nicht durch Absprache, Konventionen oder Standardwerte mit anderen Zugangsdatenlisten abgleichbar / kompatibel" unterbringen. Das würde dann ausnahmsweise Klarheit schaffen. Es ist also durchaus eine vernünftige Regelung möglich, ohne zu starke Einschränkungen zu machen. Die Einschränkung, dass ein Salt oder etwas ähnliches verwendet werden müsste, wäre aber durch den zweiten von mir genannten Halbsatz gegeben. Und zwar ein individueller Salt, so dass nicht 1.000 Leute "Haha[Passwort]Das ist ein toller Salt123[E-Mail-Adresse]xD" hashen, sondern jeder eine zufällige Zeichenfolge verwendet und man somit nicht überprüfen kann, ob Leute auf anderen Seiten die gleichen Passwörter verwenden und man somit das Passwort, das sie auf einer Seite eingeben, entführen und auch noch auf weiteren Seiten verwenden kann, um unerlaubt Zugang zu Accounts zu erhalten.



    1 mal bearbeitet, zuletzt am 02.08.12 23:49 durch __destruct().

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Fachhochschule Südwestfalen, Iserlohn
  2. WEINMANN Emergency Medical Technology GmbH & Co. KG, Hamburg
  3. Hannover Rück SE, Hannover
  4. Lidl Digital, Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Serien & Filme: Star Wars - worauf wir uns freuen können
Serien & Filme
Star Wars - worauf wir uns freuen können

Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
Von Peter Osteried

  1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
  2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
  3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da

Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar