Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Ich kann den Hintergrund sogar verstehen ...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ich kann den Hintergrund sogar verstehen ...

    Autor: non_existent 10.09.18 - 11:25

    Gerade junge Nutzer (also die meines Wissens größte Gruppe dort) haben keine Ahnung, wie wichtig Schutz von Passwörtern ist. Dass man da etwas dagegen tun möchte, ist verständlich. Aber Klartextspeicherung ist halt trotzdem absoluter Fail.

  2. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: jsm 10.09.18 - 11:56

    Ich sage das ist nur eine Ausrede, man hätte den Filter auch ohne Klartext-Passwörter anbieten können.

  3. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: dEEkAy 10.09.18 - 11:57

    warum reicht es denn nicht, zu beginn jeder chat session "bitte gibt dein passwort NIEMALS an irgend jemanden weiter" einzublenden. wieso muss jetzt jedes getippte wort mit dem passwort verglichen werden? irgendwie total übertrieben.

    wird wohl auch der grund dafür sein, dass alle pws im klartext gespeichert wurden, damit man nicht jede eingabe eines jeden nutzers hashen und vergleichen muss sondern einfach direkt die wörter vergleichen kann...

  4. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: non_existent 10.09.18 - 11:58

    jsm schrieb:
    --------------------------------------------------------------------------------
    > Ich sage das ist nur eine Ausrede, man hätte den Filter auch ohne
    > Klartext-Passwörter anbieten können.

    Sage ich ja. Klartextspeicherung ist keine Variante, aber ich kann zumindest verstehen, warum man die meist minderjährigen User schützen möchte.

  5. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: burzum 10.09.18 - 12:07

    non_existent schrieb:
    --------------------------------------------------------------------------------
    > jsm schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich sage das ist nur eine Ausrede, man hätte den Filter auch ohne
    > > Klartext-Passwörter anbieten können.
    >
    > Sage ich ja. Klartextspeicherung ist keine Variante, aber ich kann
    > zumindest verstehen, warum man die meist minderjährigen User schützen
    > möchte.

    Nein, das ist einfach nur eine saublöde Ausrede um sich aus der Verantwortung zu ziehen. Wäre das der wahre Grund, dann hätte man auch einfach auf das Hashen der Passwörter verzichten können anstelle sie - komplett schwachsinnig - geshasht und im Klartext zu speichern!

    Der Schutz von Minderjährigen zieht hier auch nicht. Ohne die AGB bemüht zu haben, bezweifel ich dennoch, das Nutzer die U14 sind sich dort rechtmäßig angemeldet haben. Ü14 kann man genug Eigenverantwortung anlegen das Kennwort nicht im Klartext an Hinz und Kunz zu schicken. Steam z.B. warnt auch nur immer wieder das man das Kennwort NIRGENDS in einen Chat schreiben soll. Blizzard ebenfalls so weit ich weiß. Und dort sind sicher noch mehr Kinder unterwegs.

    Die "Kostennutzenrechnung" hier ist auch mehr als schwachsinnsig: Um ein paar Trottel vor sich selbst zu schützen, nimmt man in Kauf, das ~2.000.000 Accounts pauschal gefährdet sind. BRAVO, BRAVO! APPLAUS! *facepalm*

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.



    2 mal bearbeitet, zuletzt am 10.09.18 12:11 durch burzum.

  6. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Slartie 10.09.18 - 12:24

    burzum schrieb:
    --------------------------------------------------------------------------------
    > Nein, das ist einfach nur eine saublöde Ausrede um sich aus der
    > Verantwortung zu ziehen. Wäre das der wahre Grund, dann hätte man auch
    > einfach auf das Hashen der Passwörter verzichten können anstelle sie -
    > komplett schwachsinnig - geshasht und im Klartext zu speichern!

    Da wäre ich mir nicht so sicher. Das hier riecht nach einem klassischen Fall von "Checkbox-Ticking". Irgendwer stellt die Anforderung "Passwörter müssen gehasht gespeichert werden" weil er gelesen hat dass man das heutzutage so macht, und dann geht jemand hin und implementiert das strikt nach Vorgabe - Checkbox kann abgehakt werden, Anforderung erfüllt, alles tutti. Dann kommt der zweite Typ her, der diesen lustigen Textfilter verantwortet, und krakeelt, dass diese Änderung seinen Kram bricht. Als Abhilfe kopiert er sich die alte Passwort-Tabellenspalte irgendwo anders hin, deklariert sie von "password" zu "textfilter" um, klebt noch ein zusätzliches INSERT in den Account-Erstellungs-Prozess und - tada! - sein Scheiß funktioniert ohne größere Investition von Hirnschmalz weiterhin. Die Checkbox "Passwörter müssen gehasht gespeichert werden", die für die nächste Version zwingend abgehakt sein muss, bleibt natürlich nach wie vor abgehakt - denn das, was da jetzt unverschlüsselt gespeichert ist, sind ja keine "Passwörter", nein nein, das sind "Textfilter-Strings", sagt doch schon der Spaltenname!



    2 mal bearbeitet, zuletzt am 10.09.18 12:27 durch Slartie.

  7. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Basti_WIK 10.09.18 - 12:38

    Slartie schrieb:
    --------------------------------------------------------------------------------
    > Irgendwer stellt die Anforderung "Passwörter
    > müssen gehasht gespeichert werden" weil er gelesen hat dass man das
    > heutzutage so macht, und dann geht jemand hin und implementiert das strikt
    > nach Vorgabe - Checkbox kann abgehakt werden, Anforderung erfüllt, alles
    > tutti. Dann kommt der zweite Typ her, der diesen lustigen Textfilter
    > verantwortet, und krakeelt, dass diese Änderung seinen Kram bricht. Als
    > Abhilfe kopiert er sich die alte Passwort-Tabellenspalte irgendwo anders
    > hin, deklariert sie von "password" zu "textfilter" um, klebt noch ein
    > zusätzliches INSERT in den Account-Erstellungs-Prozess und - tada! - sein
    > Scheiß funktioniert ohne größere Investition von Hirnschmalz weiterhin. Die
    > Checkbox "Passwörter müssen gehasht gespeichert werden", die für die
    > nächste Version zwingend abgehakt sein muss, bleibt natürlich nach wie vor
    > abgehakt - denn das, was da jetzt unverschlüsselt gespeichert ist, sind ja
    > keine "Passwörter", nein nein, das sind "Textfilter-Strings", sagt doch
    > schon der Spaltenname!

    Ich lache mehr als ich sollte. Im Prinzip traurig, aber ich kann das Lachen nicht unterdrücken. :D

  8. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: dura 10.09.18 - 12:42

    dEEkAy schrieb:
    --------------------------------------------------------------------------------
    > warum reicht es denn nicht, zu beginn jeder chat session "bitte gibt dein
    > passwort NIEMALS an irgend jemanden weiter" einzublenden. wieso muss jetzt
    > jedes getippte wort mit dem passwort verglichen werden? irgendwie total
    > übertrieben.
    >
    > wird wohl auch der grund dafür sein, dass alle pws im klartext gespeichert
    > wurden, damit man nicht jede eingabe eines jeden nutzers hashen und
    > vergleichen muss sondern einfach direkt die wörter vergleichen kann...

    Es gibt diese Warnung vermutlich fast seit Beginn von Knuddels und zwar sehr auffällig.
    Trotzdem haben damals Leute immer wieder mit "Schreib dein passwort mit /p angreifer passwort um kostenlos xxx zu bekommen" sehr viele Passwörter abgegriffen.

  9. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 12:52

    Wo wäre dann der Verlust? Im Extremfall habe ich dann diesen Nick nicht mehr? Sonst noch irgendwas?
    Günstiger kann man im Leben nicht lernen, dass das eine ganz schlechte Idee ist. Da ist der Lerneffekt doch 100x wertvoller als alles andere.

  10. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Bonarewitz 10.09.18 - 13:00

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Wo wäre dann der Verlust? Im Extremfall habe ich dann diesen Nick nicht
    > mehr? Sonst noch irgendwas?
    > Günstiger kann man im Leben nicht lernen, dass das eine ganz schlechte Idee
    > ist. Da ist der Lerneffekt doch 100x wertvoller als alles andere.
    Im Extremfall verwendest du das Passwort auch für andere Dienste inkl. für die im Account ebenfalls genutzte (und geleakte) E-Mail-Adresse.
    Dann kann deine ganze Identität im Internet übernommen werden (Wenn du das PW für beides nutzt, dürfte auch nix mit 2Faktor und so sein).
    Gerade bei der Zielgruppe von Knuddels dürfte das nicht unüblich sein, wenn die Kinder nicht ausreichend Medienkompetente Eltern haben, die das brauchbar vermitteln können.

    Da steckt leider viel mehr hinter, als es auf den ersten Blick erscheint.

  11. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Quantium40 10.09.18 - 13:03

    dura schrieb:
    > Es gibt diese Warnung vermutlich fast seit Beginn von Knuddels und zwar
    > sehr auffällig.
    > Trotzdem haben damals Leute immer wieder mit "Schreib dein passwort mit /p
    > angreifer passwort um kostenlos xxx zu bekommen" sehr viele Passwörter
    > abgegriffen.

    Trotzdem kann man so einen Passwort-Filter auch derartig realisieren, dass man das Passwort nur als Hash speichert oder, um etwas Performance beim Vergleich zu sparen, 2 Zeichen des Passwortes in Klartext plus Position der Zeichen im Passwort speichert.

  12. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 14:03

    Auch dann: Günstiger wird es im Leben nie wieder, das zu lernen.
    Dann übernimmt halt jemand das Mailkonto. Der Verlust geht für das Kind gegen null, das gelernte hingegen ist, generell im Leben, sehr wertvoll.

    Dito was z.B. Datenverlust angeht. Hätte ich nicht mal im Kindesalter meine (wertlosen) Daten durch eine defekte HDD verloren, dann würde ich wohl heute nicht so auf meine Datensicherheit achten und könnte nunmehr wirklich wertvolle Arbeit verlieren.

  13. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Jakelandiar 10.09.18 - 14:56

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Auch dann: Günstiger wird es im Leben nie wieder, das zu lernen.
    > Dann übernimmt halt jemand das Mailkonto. Der Verlust geht für das Kind
    > gegen null, das gelernte hingegen ist, generell im Leben, sehr wertvoll.

    Nein das geht nur in deinem Kopf gegen Null. Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0 sehr sehr sehr weit entfernt ist.

    > Dito was z.B. Datenverlust angeht. Hätte ich nicht mal im Kindesalter meine
    > (wertlosen) Daten durch eine defekte HDD verloren, dann würde ich wohl
    > heute nicht so auf meine Datensicherheit achten und könnte nunmehr wirklich
    > wertvolle Arbeit verlieren.

    Was ein dämlicher vergleich. Wenn du nur aus sowas lernst hast eher du ein Problem. Ich brauch weder unwichtige noch wichtige Daten verlieren um das zu wissen und auf Datensicherheit zu achten.

  14. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: plutoniumsulfat 10.09.18 - 15:22

    Bonarewitz schrieb:
    --------------------------------------------------------------------------------
    > Eheran schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wo wäre dann der Verlust? Im Extremfall habe ich dann diesen Nick nicht
    > > mehr? Sonst noch irgendwas?
    > > Günstiger kann man im Leben nicht lernen, dass das eine ganz schlechte
    > Idee
    > > ist. Da ist der Lerneffekt doch 100x wertvoller als alles andere.
    > Im Extremfall verwendest du das Passwort auch für andere Dienste inkl. für
    > die im Account ebenfalls genutzte (und geleakte) E-Mail-Adresse.
    > Dann kann deine ganze Identität im Internet übernommen werden (Wenn du das
    > PW für beides nutzt, dürfte auch nix mit 2Faktor und so sein).
    > Gerade bei der Zielgruppe von Knuddels dürfte das nicht unüblich sein, wenn
    > die Kinder nicht ausreichend Medienkompetente Eltern haben, die das
    > brauchbar vermitteln können.
    >
    > Da steckt leider viel mehr hinter, als es auf den ersten Blick erscheint.

    Im Extremfall wird die Liste des Anbieters veröffentlicht und alle User benutzen das Passwort noch für andere Dienste.Damit können 2 Millionen Identitäten im Internet übernommen werden. Da steckt leider viel mehr hinter, als es auf den ersten Blick erscheint.

    Oh, wait....

  15. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 15:28

    >Wenn du nur aus sowas lernst hast eher du ein Problem.
    Ja, mit 11 (oder was auch immer) sollte ich mir pausenlos um sowas Gedanken machen, genau...
    Da weiß man ja schon genau wie die Welt funktioniert. Und hat natürlich auch Geld usw. für Backups :D

    >Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0 sehr sehr sehr weit entfernt ist.
    Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines Kindes so machen kann, dass so viel Schaden macht?

  16. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: benneq 10.09.18 - 15:43

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines
    > Kindes so machen kann, dass so viel Schaden macht?



    Frag mal deinen pädophilen Nachbarn. Dem fällt da bestimmt so einiges ein ;)



    1 mal bearbeitet, zuletzt am 10.09.18 15:44 durch benneq.

  17. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Kakiss 10.09.18 - 16:11

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Wenn du nur aus sowas lernst hast eher du ein Problem.
    > Ja, mit 11 (oder was auch immer) sollte ich mir pausenlos um sowas Gedanken
    > machen, genau...
    > Da weiß man ja schon genau wie die Welt funktioniert. Und hat natürlich
    > auch Geld usw. für Backups :D
    >
    > >Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0
    > sehr sehr sehr weit entfernt ist.
    > Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines
    > Kindes so machen kann, dass so viel Schaden macht?

    Nah, Vorpubertäre 12 Jährige kommen auf so manch dumme Ideen.
    Wenn dann die Mailadresse und andere Konten mitübernommen werden, können eben Bilder an die Öffentlichkeit kommen, die es nicht sollten.
    Dann ist eben das soziale Leben der Person zerstört.

  18. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Auspuffanlage 10.09.18 - 18:49

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Wenn du nur aus sowas lernst hast eher du ein Problem.
    > Ja, mit 11 (oder was auch immer) sollte ich mir pausenlos um sowas Gedanken
    > machen, genau...
    > Da weiß man ja schon genau wie die Welt funktioniert. Und hat natürlich
    > auch Geld usw. für Backups :D
    >
    > >Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0
    > sehr sehr sehr weit entfernt ist.
    > Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines
    > Kindes so machen kann, dass so viel Schaden macht?

    Persönlich schlimm wäre Identitätsdiebstahl, (ok er ist unter 14 und darf rechtlich nicht so viel wie ein volljähriger. Man könnte dann ein paar Jahre warten)
    Aber mit falschen Daten lässt sich schon einiges anstellen.)

    Wie sieht es aus mit PayPal im Rahmen des Taschengeldes? Ich kenne die agb nicht auswendig.

  19. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 18:57

    Welches Kind nutzt heute Mail um irgendwelche Bildchen an irgendwen zu schicken? Es ist 2018, nicht 2008. Aber auch wenn, dann wäre das Risiko für den, der das Veröffentlicht ZIEMLICH hoch bei gleichzeit NULL Gegenwert - warum sollte ein 3. das tun?
    Das sind schon weit hergeholte Sachen, mit extremem Arbeitsaufwand* und hohem Risiko für den Angreifer/Veröffentlicher.

    *Man muss entsprechende Bilder überhaupt erst mal in 2 mio. Mailkonten finden.

  20. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: benneq 10.09.18 - 19:23

    Wieso Bilder suchen? Man kann auch dadurch Kontakt aufnehmen. Andere Kinder Identitäten vortäuschen. Herausfinden wann die Eltern im unterwegs / im Urlaub sind und das Kind alleine zu Hause. Etc. Pp.

    Etwas mehr Fantasie bitte! Und es reicht schon wenn das bei jedem 1000sten Kind irgendwie zum Erfolg führt. Ein Bankräuber raubt auch nicht jede Bank aus, sondern eine von tausenden, mit viel Vorbereitungszeit.



    1 mal bearbeitet, zuletzt am 10.09.18 19:49 durch sfe (Golem.de).

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Rücker + Schindele Beratende Ingenieure GmbH, München
  2. Bosch Gruppe, Immenstaad am Bodensee
  3. VRmagic Holding AG, Mannheim
  4. LivaNova Deutschland GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 49,95€
  2. 17,95€
  3. 46,99€
  4. 12,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Agilität: Wenn alle bestimmen, wo es langgeht
Agilität
Wenn alle bestimmen, wo es langgeht

Agiles Arbeiten ist, als ob viele Menschen gemeinsam ein Auto fahren. Aber wie soll das gehen und endet das nicht im Riesenchaos?
Von Marvin Engel

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
Dark Rock Pro TR4 im Test
Be Quiet macht den Threadripper still

Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
Ein Test von Marc Sauter

  1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne

  1. Electronic Arts: Remaster für Command & Conquer und Alarmstufe Rot geplant
    Electronic Arts
    Remaster für Command & Conquer und Alarmstufe Rot geplant

    Das erste Command & Conquer sowie der erste Ableger Alarmstufe Rot werden mitsamt allen Erweiterungen neu aufgelegt. Bei der Entwicklung will EA mit einem Studio namens Petroglyph kooperieren, bei dem viele ehemalige Mitarbeiter von Westwood beschäftigt sind.

  2. Facebook-Anhörung: Wie Facebook seine Kritiker bekämpfte
    Facebook-Anhörung
    Wie Facebook seine Kritiker bekämpfte

    Den Facebook-Chefs Mark Zuckerberg und Sheryl Sandberg scheint die Kontrolle über ihr Unternehmen zu entgleiten. Recherchen der New York Times zeigen, wie sie Skandale unterschätzten und mit aggressivem Lobbying reagierten.

  3. Unkalkulierbares Risiko: Netzbetreiber drohen mit Klage gegen 5G-Auflagen
    Unkalkulierbares Risiko
    Netzbetreiber drohen mit Klage gegen 5G-Auflagen

    Machtprobe zwischen der Koalition und den Telekom-Konzernen. Während Bundeskanzlerin Merkel einen flächendeckenden 5G-Ausbau fordert, drohen Telekom, Vodafone und Telefónica mit Klagen. Das könnte den Ausbau stark verzögern.


  1. 21:40

  2. 18:40

  3. 15:45

  4. 15:18

  5. 15:00

  6. 14:47

  7. 14:23

  8. 14:08