Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Ich kann den Hintergrund sogar verstehen ...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ich kann den Hintergrund sogar verstehen ...

    Autor: non_existent 10.09.18 - 11:25

    Gerade junge Nutzer (also die meines Wissens größte Gruppe dort) haben keine Ahnung, wie wichtig Schutz von Passwörtern ist. Dass man da etwas dagegen tun möchte, ist verständlich. Aber Klartextspeicherung ist halt trotzdem absoluter Fail.

  2. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: jsm 10.09.18 - 11:56

    Ich sage das ist nur eine Ausrede, man hätte den Filter auch ohne Klartext-Passwörter anbieten können.

  3. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: dEEkAy 10.09.18 - 11:57

    warum reicht es denn nicht, zu beginn jeder chat session "bitte gibt dein passwort NIEMALS an irgend jemanden weiter" einzublenden. wieso muss jetzt jedes getippte wort mit dem passwort verglichen werden? irgendwie total übertrieben.

    wird wohl auch der grund dafür sein, dass alle pws im klartext gespeichert wurden, damit man nicht jede eingabe eines jeden nutzers hashen und vergleichen muss sondern einfach direkt die wörter vergleichen kann...

  4. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: non_existent 10.09.18 - 11:58

    jsm schrieb:
    --------------------------------------------------------------------------------
    > Ich sage das ist nur eine Ausrede, man hätte den Filter auch ohne
    > Klartext-Passwörter anbieten können.

    Sage ich ja. Klartextspeicherung ist keine Variante, aber ich kann zumindest verstehen, warum man die meist minderjährigen User schützen möchte.

  5. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: burzum 10.09.18 - 12:07

    non_existent schrieb:
    --------------------------------------------------------------------------------
    > jsm schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich sage das ist nur eine Ausrede, man hätte den Filter auch ohne
    > > Klartext-Passwörter anbieten können.
    >
    > Sage ich ja. Klartextspeicherung ist keine Variante, aber ich kann
    > zumindest verstehen, warum man die meist minderjährigen User schützen
    > möchte.

    Nein, das ist einfach nur eine saublöde Ausrede um sich aus der Verantwortung zu ziehen. Wäre das der wahre Grund, dann hätte man auch einfach auf das Hashen der Passwörter verzichten können anstelle sie - komplett schwachsinnig - geshasht und im Klartext zu speichern!

    Der Schutz von Minderjährigen zieht hier auch nicht. Ohne die AGB bemüht zu haben, bezweifel ich dennoch, das Nutzer die U14 sind sich dort rechtmäßig angemeldet haben. Ü14 kann man genug Eigenverantwortung anlegen das Kennwort nicht im Klartext an Hinz und Kunz zu schicken. Steam z.B. warnt auch nur immer wieder das man das Kennwort NIRGENDS in einen Chat schreiben soll. Blizzard ebenfalls so weit ich weiß. Und dort sind sicher noch mehr Kinder unterwegs.

    Die "Kostennutzenrechnung" hier ist auch mehr als schwachsinnsig: Um ein paar Trottel vor sich selbst zu schützen, nimmt man in Kauf, das ~2.000.000 Accounts pauschal gefährdet sind. BRAVO, BRAVO! APPLAUS! *facepalm*

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.



    2 mal bearbeitet, zuletzt am 10.09.18 12:11 durch burzum.

  6. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Slartie 10.09.18 - 12:24

    burzum schrieb:
    --------------------------------------------------------------------------------
    > Nein, das ist einfach nur eine saublöde Ausrede um sich aus der
    > Verantwortung zu ziehen. Wäre das der wahre Grund, dann hätte man auch
    > einfach auf das Hashen der Passwörter verzichten können anstelle sie -
    > komplett schwachsinnig - geshasht und im Klartext zu speichern!

    Da wäre ich mir nicht so sicher. Das hier riecht nach einem klassischen Fall von "Checkbox-Ticking". Irgendwer stellt die Anforderung "Passwörter müssen gehasht gespeichert werden" weil er gelesen hat dass man das heutzutage so macht, und dann geht jemand hin und implementiert das strikt nach Vorgabe - Checkbox kann abgehakt werden, Anforderung erfüllt, alles tutti. Dann kommt der zweite Typ her, der diesen lustigen Textfilter verantwortet, und krakeelt, dass diese Änderung seinen Kram bricht. Als Abhilfe kopiert er sich die alte Passwort-Tabellenspalte irgendwo anders hin, deklariert sie von "password" zu "textfilter" um, klebt noch ein zusätzliches INSERT in den Account-Erstellungs-Prozess und - tada! - sein Scheiß funktioniert ohne größere Investition von Hirnschmalz weiterhin. Die Checkbox "Passwörter müssen gehasht gespeichert werden", die für die nächste Version zwingend abgehakt sein muss, bleibt natürlich nach wie vor abgehakt - denn das, was da jetzt unverschlüsselt gespeichert ist, sind ja keine "Passwörter", nein nein, das sind "Textfilter-Strings", sagt doch schon der Spaltenname!



    2 mal bearbeitet, zuletzt am 10.09.18 12:27 durch Slartie.

  7. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Basti_WIK 10.09.18 - 12:38

    Slartie schrieb:
    --------------------------------------------------------------------------------
    > Irgendwer stellt die Anforderung "Passwörter
    > müssen gehasht gespeichert werden" weil er gelesen hat dass man das
    > heutzutage so macht, und dann geht jemand hin und implementiert das strikt
    > nach Vorgabe - Checkbox kann abgehakt werden, Anforderung erfüllt, alles
    > tutti. Dann kommt der zweite Typ her, der diesen lustigen Textfilter
    > verantwortet, und krakeelt, dass diese Änderung seinen Kram bricht. Als
    > Abhilfe kopiert er sich die alte Passwort-Tabellenspalte irgendwo anders
    > hin, deklariert sie von "password" zu "textfilter" um, klebt noch ein
    > zusätzliches INSERT in den Account-Erstellungs-Prozess und - tada! - sein
    > Scheiß funktioniert ohne größere Investition von Hirnschmalz weiterhin. Die
    > Checkbox "Passwörter müssen gehasht gespeichert werden", die für die
    > nächste Version zwingend abgehakt sein muss, bleibt natürlich nach wie vor
    > abgehakt - denn das, was da jetzt unverschlüsselt gespeichert ist, sind ja
    > keine "Passwörter", nein nein, das sind "Textfilter-Strings", sagt doch
    > schon der Spaltenname!

    Ich lache mehr als ich sollte. Im Prinzip traurig, aber ich kann das Lachen nicht unterdrücken. :D

  8. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: dura 10.09.18 - 12:42

    dEEkAy schrieb:
    --------------------------------------------------------------------------------
    > warum reicht es denn nicht, zu beginn jeder chat session "bitte gibt dein
    > passwort NIEMALS an irgend jemanden weiter" einzublenden. wieso muss jetzt
    > jedes getippte wort mit dem passwort verglichen werden? irgendwie total
    > übertrieben.
    >
    > wird wohl auch der grund dafür sein, dass alle pws im klartext gespeichert
    > wurden, damit man nicht jede eingabe eines jeden nutzers hashen und
    > vergleichen muss sondern einfach direkt die wörter vergleichen kann...

    Es gibt diese Warnung vermutlich fast seit Beginn von Knuddels und zwar sehr auffällig.
    Trotzdem haben damals Leute immer wieder mit "Schreib dein passwort mit /p angreifer passwort um kostenlos xxx zu bekommen" sehr viele Passwörter abgegriffen.

  9. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 12:52

    Wo wäre dann der Verlust? Im Extremfall habe ich dann diesen Nick nicht mehr? Sonst noch irgendwas?
    Günstiger kann man im Leben nicht lernen, dass das eine ganz schlechte Idee ist. Da ist der Lerneffekt doch 100x wertvoller als alles andere.

  10. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Bonarewitz 10.09.18 - 13:00

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Wo wäre dann der Verlust? Im Extremfall habe ich dann diesen Nick nicht
    > mehr? Sonst noch irgendwas?
    > Günstiger kann man im Leben nicht lernen, dass das eine ganz schlechte Idee
    > ist. Da ist der Lerneffekt doch 100x wertvoller als alles andere.
    Im Extremfall verwendest du das Passwort auch für andere Dienste inkl. für die im Account ebenfalls genutzte (und geleakte) E-Mail-Adresse.
    Dann kann deine ganze Identität im Internet übernommen werden (Wenn du das PW für beides nutzt, dürfte auch nix mit 2Faktor und so sein).
    Gerade bei der Zielgruppe von Knuddels dürfte das nicht unüblich sein, wenn die Kinder nicht ausreichend Medienkompetente Eltern haben, die das brauchbar vermitteln können.

    Da steckt leider viel mehr hinter, als es auf den ersten Blick erscheint.

  11. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Quantium40 10.09.18 - 13:03

    dura schrieb:
    > Es gibt diese Warnung vermutlich fast seit Beginn von Knuddels und zwar
    > sehr auffällig.
    > Trotzdem haben damals Leute immer wieder mit "Schreib dein passwort mit /p
    > angreifer passwort um kostenlos xxx zu bekommen" sehr viele Passwörter
    > abgegriffen.

    Trotzdem kann man so einen Passwort-Filter auch derartig realisieren, dass man das Passwort nur als Hash speichert oder, um etwas Performance beim Vergleich zu sparen, 2 Zeichen des Passwortes in Klartext plus Position der Zeichen im Passwort speichert.

  12. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 14:03

    Auch dann: Günstiger wird es im Leben nie wieder, das zu lernen.
    Dann übernimmt halt jemand das Mailkonto. Der Verlust geht für das Kind gegen null, das gelernte hingegen ist, generell im Leben, sehr wertvoll.

    Dito was z.B. Datenverlust angeht. Hätte ich nicht mal im Kindesalter meine (wertlosen) Daten durch eine defekte HDD verloren, dann würde ich wohl heute nicht so auf meine Datensicherheit achten und könnte nunmehr wirklich wertvolle Arbeit verlieren.

  13. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Jakelandiar 10.09.18 - 14:56

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Auch dann: Günstiger wird es im Leben nie wieder, das zu lernen.
    > Dann übernimmt halt jemand das Mailkonto. Der Verlust geht für das Kind
    > gegen null, das gelernte hingegen ist, generell im Leben, sehr wertvoll.

    Nein das geht nur in deinem Kopf gegen Null. Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0 sehr sehr sehr weit entfernt ist.

    > Dito was z.B. Datenverlust angeht. Hätte ich nicht mal im Kindesalter meine
    > (wertlosen) Daten durch eine defekte HDD verloren, dann würde ich wohl
    > heute nicht so auf meine Datensicherheit achten und könnte nunmehr wirklich
    > wertvolle Arbeit verlieren.

    Was ein dämlicher vergleich. Wenn du nur aus sowas lernst hast eher du ein Problem. Ich brauch weder unwichtige noch wichtige Daten verlieren um das zu wissen und auf Datensicherheit zu achten.

  14. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: plutoniumsulfat 10.09.18 - 15:22

    Bonarewitz schrieb:
    --------------------------------------------------------------------------------
    > Eheran schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wo wäre dann der Verlust? Im Extremfall habe ich dann diesen Nick nicht
    > > mehr? Sonst noch irgendwas?
    > > Günstiger kann man im Leben nicht lernen, dass das eine ganz schlechte
    > Idee
    > > ist. Da ist der Lerneffekt doch 100x wertvoller als alles andere.
    > Im Extremfall verwendest du das Passwort auch für andere Dienste inkl. für
    > die im Account ebenfalls genutzte (und geleakte) E-Mail-Adresse.
    > Dann kann deine ganze Identität im Internet übernommen werden (Wenn du das
    > PW für beides nutzt, dürfte auch nix mit 2Faktor und so sein).
    > Gerade bei der Zielgruppe von Knuddels dürfte das nicht unüblich sein, wenn
    > die Kinder nicht ausreichend Medienkompetente Eltern haben, die das
    > brauchbar vermitteln können.
    >
    > Da steckt leider viel mehr hinter, als es auf den ersten Blick erscheint.

    Im Extremfall wird die Liste des Anbieters veröffentlicht und alle User benutzen das Passwort noch für andere Dienste.Damit können 2 Millionen Identitäten im Internet übernommen werden. Da steckt leider viel mehr hinter, als es auf den ersten Blick erscheint.

    Oh, wait....

  15. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 15:28

    >Wenn du nur aus sowas lernst hast eher du ein Problem.
    Ja, mit 11 (oder was auch immer) sollte ich mir pausenlos um sowas Gedanken machen, genau...
    Da weiß man ja schon genau wie die Welt funktioniert. Und hat natürlich auch Geld usw. für Backups :D

    >Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0 sehr sehr sehr weit entfernt ist.
    Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines Kindes so machen kann, dass so viel Schaden macht?

  16. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: benneq 10.09.18 - 15:43

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines
    > Kindes so machen kann, dass so viel Schaden macht?



    Frag mal deinen pädophilen Nachbarn. Dem fällt da bestimmt so einiges ein ;)



    1 mal bearbeitet, zuletzt am 10.09.18 15:44 durch benneq.

  17. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Kakiss 10.09.18 - 16:11

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Wenn du nur aus sowas lernst hast eher du ein Problem.
    > Ja, mit 11 (oder was auch immer) sollte ich mir pausenlos um sowas Gedanken
    > machen, genau...
    > Da weiß man ja schon genau wie die Welt funktioniert. Und hat natürlich
    > auch Geld usw. für Backups :D
    >
    > >Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0
    > sehr sehr sehr weit entfernt ist.
    > Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines
    > Kindes so machen kann, dass so viel Schaden macht?

    Nah, Vorpubertäre 12 Jährige kommen auf so manch dumme Ideen.
    Wenn dann die Mailadresse und andere Konten mitübernommen werden, können eben Bilder an die Öffentlichkeit kommen, die es nicht sollten.
    Dann ist eben das soziale Leben der Person zerstört.

  18. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Auspuffanlage 10.09.18 - 18:49

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Wenn du nur aus sowas lernst hast eher du ein Problem.
    > Ja, mit 11 (oder was auch immer) sollte ich mir pausenlos um sowas Gedanken
    > machen, genau...
    > Da weiß man ja schon genau wie die Welt funktioniert. Und hat natürlich
    > auch Geld usw. für Backups :D
    >
    > >Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0
    > sehr sehr sehr weit entfernt ist.
    > Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines
    > Kindes so machen kann, dass so viel Schaden macht?

    Persönlich schlimm wäre Identitätsdiebstahl, (ok er ist unter 14 und darf rechtlich nicht so viel wie ein volljähriger. Man könnte dann ein paar Jahre warten)
    Aber mit falschen Daten lässt sich schon einiges anstellen.)

    Wie sieht es aus mit PayPal im Rahmen des Taschengeldes? Ich kenne die agb nicht auswendig.

  19. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 18:57

    Welches Kind nutzt heute Mail um irgendwelche Bildchen an irgendwen zu schicken? Es ist 2018, nicht 2008. Aber auch wenn, dann wäre das Risiko für den, der das Veröffentlicht ZIEMLICH hoch bei gleichzeit NULL Gegenwert - warum sollte ein 3. das tun?
    Das sind schon weit hergeholte Sachen, mit extremem Arbeitsaufwand* und hohem Risiko für den Angreifer/Veröffentlicher.

    *Man muss entsprechende Bilder überhaupt erst mal in 2 mio. Mailkonten finden.

  20. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: benneq 10.09.18 - 19:23

    Wieso Bilder suchen? Man kann auch dadurch Kontakt aufnehmen. Andere Kinder Identitäten vortäuschen. Herausfinden wann die Eltern im unterwegs / im Urlaub sind und das Kind alleine zu Hause. Etc. Pp.

    Etwas mehr Fantasie bitte! Und es reicht schon wenn das bei jedem 1000sten Kind irgendwie zum Erfolg führt. Ein Bankräuber raubt auch nicht jede Bank aus, sondern eine von tausenden, mit viel Vorbereitungszeit.



    1 mal bearbeitet, zuletzt am 10.09.18 19:49 durch sfe (Golem.de).

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. Controlware GmbH, Ingolstadt
  3. Controlware GmbH, München, Ingolstadt
  4. Bosch Gruppe, Abstatt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 33,49€
  2. 59,99€ mit Vorbesteller-Preisgarantie (Release 05.10.)
  3. 14,99€
  4. 59,98€ mit Vorbesteller-Preisgarantie (Release 12.10.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Amazon Alexa: Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
Amazon Alexa
Echo Sub verhilft Echo-Lautsprechern zu mehr Bass

Amazon hat einen Subwoofer speziell für Echo-Lautsprecher vorgestellt. Damit sollen die eher bassarmen Lautsprecher mit einem ordentlichen Tiefbass ausgestattet werden. Zudem öffnet Amazon seine Multiroom-Musikfunktion für Alexa-Lautsprecher anderer Hersteller.

  1. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  2. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark
  3. Alexa-Soundbars im Test Sonos' Beam und Polks Command Bar sind die Klangreferenz

iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
Zukunft der Arbeit
Was Automatisierung mit dem Grundeinkommen zu tun hat

Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
Eine Analyse von Daniel Hautmann

  1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
  2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
  3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

  1. Entwicklerstudio: Telltale Games wird wohl geschlossen
    Entwicklerstudio
    Telltale Games wird wohl geschlossen

    Das Episodenabenteuer auf Basis von Stranger Stings wird nie erscheinen, mehr als 200 Entwickler haben ihren Job verloren: Das Entwicklerstudio Telltale Games (The Walking Dead) steht offenbar vor dem Aus.

  2. Lieferdienste: Amazon enttarnt Paketdiebe mit fingierten Lieferungen
    Lieferdienste
    Amazon enttarnt Paketdiebe mit fingierten Lieferungen

    Wer für Amazon Pakete ausfährt, könnte eine Falle gestellt bekommen. Fahrern der Lieferdienste werden fingierte Lieferungen untergeschoben. Damit sollen einige Langfinger überführt worden sein.

  3. Onlineshops: Verbraucherzentrale bemängelt hohe Speditionskosten bei Ikea
    Onlineshops
    Verbraucherzentrale bemängelt hohe Speditionskosten bei Ikea

    Auf absurd errechnete Speditionskosten ist die Verbraucherzentrale Nordrhein-Westfalen in Stichproben bei mehreren Onlineshops gestoßen. Die Verbraucherschützer bemängeln, dass unter anderem Ikea sehr hohe Kosten für die Lieferung berechnet - ganz gleich, wie schwer die bestellte Ware ist.


  1. 13:50

  2. 12:35

  3. 12:15

  4. 11:42

  5. 09:03

  6. 19:07

  7. 19:01

  8. 17:36