1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Ich kann den Hintergrund sogar verstehen ...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ich kann den Hintergrund sogar verstehen ...

    Autor: non_existent 10.09.18 - 11:25

    Gerade junge Nutzer (also die meines Wissens größte Gruppe dort) haben keine Ahnung, wie wichtig Schutz von Passwörtern ist. Dass man da etwas dagegen tun möchte, ist verständlich. Aber Klartextspeicherung ist halt trotzdem absoluter Fail.

  2. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: jsm 10.09.18 - 11:56

    Ich sage das ist nur eine Ausrede, man hätte den Filter auch ohne Klartext-Passwörter anbieten können.

  3. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: dEEkAy 10.09.18 - 11:57

    warum reicht es denn nicht, zu beginn jeder chat session "bitte gibt dein passwort NIEMALS an irgend jemanden weiter" einzublenden. wieso muss jetzt jedes getippte wort mit dem passwort verglichen werden? irgendwie total übertrieben.

    wird wohl auch der grund dafür sein, dass alle pws im klartext gespeichert wurden, damit man nicht jede eingabe eines jeden nutzers hashen und vergleichen muss sondern einfach direkt die wörter vergleichen kann...

  4. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: non_existent 10.09.18 - 11:58

    jsm schrieb:
    --------------------------------------------------------------------------------
    > Ich sage das ist nur eine Ausrede, man hätte den Filter auch ohne
    > Klartext-Passwörter anbieten können.

    Sage ich ja. Klartextspeicherung ist keine Variante, aber ich kann zumindest verstehen, warum man die meist minderjährigen User schützen möchte.

  5. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: burzum 10.09.18 - 12:07

    non_existent schrieb:
    --------------------------------------------------------------------------------
    > jsm schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich sage das ist nur eine Ausrede, man hätte den Filter auch ohne
    > > Klartext-Passwörter anbieten können.
    >
    > Sage ich ja. Klartextspeicherung ist keine Variante, aber ich kann
    > zumindest verstehen, warum man die meist minderjährigen User schützen
    > möchte.

    Nein, das ist einfach nur eine saublöde Ausrede um sich aus der Verantwortung zu ziehen. Wäre das der wahre Grund, dann hätte man auch einfach auf das Hashen der Passwörter verzichten können anstelle sie - komplett schwachsinnig - geshasht und im Klartext zu speichern!

    Der Schutz von Minderjährigen zieht hier auch nicht. Ohne die AGB bemüht zu haben, bezweifel ich dennoch, das Nutzer die U14 sind sich dort rechtmäßig angemeldet haben. Ü14 kann man genug Eigenverantwortung anlegen das Kennwort nicht im Klartext an Hinz und Kunz zu schicken. Steam z.B. warnt auch nur immer wieder das man das Kennwort NIRGENDS in einen Chat schreiben soll. Blizzard ebenfalls so weit ich weiß. Und dort sind sicher noch mehr Kinder unterwegs.

    Die "Kostennutzenrechnung" hier ist auch mehr als schwachsinnsig: Um ein paar Trottel vor sich selbst zu schützen, nimmt man in Kauf, das ~2.000.000 Accounts pauschal gefährdet sind. BRAVO, BRAVO! APPLAUS! *facepalm*

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.



    2 mal bearbeitet, zuletzt am 10.09.18 12:11 durch burzum.

  6. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Slartie 10.09.18 - 12:24

    burzum schrieb:
    --------------------------------------------------------------------------------
    > Nein, das ist einfach nur eine saublöde Ausrede um sich aus der
    > Verantwortung zu ziehen. Wäre das der wahre Grund, dann hätte man auch
    > einfach auf das Hashen der Passwörter verzichten können anstelle sie -
    > komplett schwachsinnig - geshasht und im Klartext zu speichern!

    Da wäre ich mir nicht so sicher. Das hier riecht nach einem klassischen Fall von "Checkbox-Ticking". Irgendwer stellt die Anforderung "Passwörter müssen gehasht gespeichert werden" weil er gelesen hat dass man das heutzutage so macht, und dann geht jemand hin und implementiert das strikt nach Vorgabe - Checkbox kann abgehakt werden, Anforderung erfüllt, alles tutti. Dann kommt der zweite Typ her, der diesen lustigen Textfilter verantwortet, und krakeelt, dass diese Änderung seinen Kram bricht. Als Abhilfe kopiert er sich die alte Passwort-Tabellenspalte irgendwo anders hin, deklariert sie von "password" zu "textfilter" um, klebt noch ein zusätzliches INSERT in den Account-Erstellungs-Prozess und - tada! - sein Scheiß funktioniert ohne größere Investition von Hirnschmalz weiterhin. Die Checkbox "Passwörter müssen gehasht gespeichert werden", die für die nächste Version zwingend abgehakt sein muss, bleibt natürlich nach wie vor abgehakt - denn das, was da jetzt unverschlüsselt gespeichert ist, sind ja keine "Passwörter", nein nein, das sind "Textfilter-Strings", sagt doch schon der Spaltenname!



    2 mal bearbeitet, zuletzt am 10.09.18 12:27 durch Slartie.

  7. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Basti_WIK 10.09.18 - 12:38

    Slartie schrieb:
    --------------------------------------------------------------------------------
    > Irgendwer stellt die Anforderung "Passwörter
    > müssen gehasht gespeichert werden" weil er gelesen hat dass man das
    > heutzutage so macht, und dann geht jemand hin und implementiert das strikt
    > nach Vorgabe - Checkbox kann abgehakt werden, Anforderung erfüllt, alles
    > tutti. Dann kommt der zweite Typ her, der diesen lustigen Textfilter
    > verantwortet, und krakeelt, dass diese Änderung seinen Kram bricht. Als
    > Abhilfe kopiert er sich die alte Passwort-Tabellenspalte irgendwo anders
    > hin, deklariert sie von "password" zu "textfilter" um, klebt noch ein
    > zusätzliches INSERT in den Account-Erstellungs-Prozess und - tada! - sein
    > Scheiß funktioniert ohne größere Investition von Hirnschmalz weiterhin. Die
    > Checkbox "Passwörter müssen gehasht gespeichert werden", die für die
    > nächste Version zwingend abgehakt sein muss, bleibt natürlich nach wie vor
    > abgehakt - denn das, was da jetzt unverschlüsselt gespeichert ist, sind ja
    > keine "Passwörter", nein nein, das sind "Textfilter-Strings", sagt doch
    > schon der Spaltenname!

    Ich lache mehr als ich sollte. Im Prinzip traurig, aber ich kann das Lachen nicht unterdrücken. :D

  8. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: dura 10.09.18 - 12:42

    dEEkAy schrieb:
    --------------------------------------------------------------------------------
    > warum reicht es denn nicht, zu beginn jeder chat session "bitte gibt dein
    > passwort NIEMALS an irgend jemanden weiter" einzublenden. wieso muss jetzt
    > jedes getippte wort mit dem passwort verglichen werden? irgendwie total
    > übertrieben.
    >
    > wird wohl auch der grund dafür sein, dass alle pws im klartext gespeichert
    > wurden, damit man nicht jede eingabe eines jeden nutzers hashen und
    > vergleichen muss sondern einfach direkt die wörter vergleichen kann...

    Es gibt diese Warnung vermutlich fast seit Beginn von Knuddels und zwar sehr auffällig.
    Trotzdem haben damals Leute immer wieder mit "Schreib dein passwort mit /p angreifer passwort um kostenlos xxx zu bekommen" sehr viele Passwörter abgegriffen.

  9. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 12:52

    Wo wäre dann der Verlust? Im Extremfall habe ich dann diesen Nick nicht mehr? Sonst noch irgendwas?
    Günstiger kann man im Leben nicht lernen, dass das eine ganz schlechte Idee ist. Da ist der Lerneffekt doch 100x wertvoller als alles andere.

  10. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Bonarewitz 10.09.18 - 13:00

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Wo wäre dann der Verlust? Im Extremfall habe ich dann diesen Nick nicht
    > mehr? Sonst noch irgendwas?
    > Günstiger kann man im Leben nicht lernen, dass das eine ganz schlechte Idee
    > ist. Da ist der Lerneffekt doch 100x wertvoller als alles andere.
    Im Extremfall verwendest du das Passwort auch für andere Dienste inkl. für die im Account ebenfalls genutzte (und geleakte) E-Mail-Adresse.
    Dann kann deine ganze Identität im Internet übernommen werden (Wenn du das PW für beides nutzt, dürfte auch nix mit 2Faktor und so sein).
    Gerade bei der Zielgruppe von Knuddels dürfte das nicht unüblich sein, wenn die Kinder nicht ausreichend Medienkompetente Eltern haben, die das brauchbar vermitteln können.

    Da steckt leider viel mehr hinter, als es auf den ersten Blick erscheint.

  11. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Quantium40 10.09.18 - 13:03

    dura schrieb:
    > Es gibt diese Warnung vermutlich fast seit Beginn von Knuddels und zwar
    > sehr auffällig.
    > Trotzdem haben damals Leute immer wieder mit "Schreib dein passwort mit /p
    > angreifer passwort um kostenlos xxx zu bekommen" sehr viele Passwörter
    > abgegriffen.

    Trotzdem kann man so einen Passwort-Filter auch derartig realisieren, dass man das Passwort nur als Hash speichert oder, um etwas Performance beim Vergleich zu sparen, 2 Zeichen des Passwortes in Klartext plus Position der Zeichen im Passwort speichert.

  12. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 14:03

    Auch dann: Günstiger wird es im Leben nie wieder, das zu lernen.
    Dann übernimmt halt jemand das Mailkonto. Der Verlust geht für das Kind gegen null, das gelernte hingegen ist, generell im Leben, sehr wertvoll.

    Dito was z.B. Datenverlust angeht. Hätte ich nicht mal im Kindesalter meine (wertlosen) Daten durch eine defekte HDD verloren, dann würde ich wohl heute nicht so auf meine Datensicherheit achten und könnte nunmehr wirklich wertvolle Arbeit verlieren.

  13. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Jakelandiar 10.09.18 - 14:56

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Auch dann: Günstiger wird es im Leben nie wieder, das zu lernen.
    > Dann übernimmt halt jemand das Mailkonto. Der Verlust geht für das Kind
    > gegen null, das gelernte hingegen ist, generell im Leben, sehr wertvoll.

    Nein das geht nur in deinem Kopf gegen Null. Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0 sehr sehr sehr weit entfernt ist.

    > Dito was z.B. Datenverlust angeht. Hätte ich nicht mal im Kindesalter meine
    > (wertlosen) Daten durch eine defekte HDD verloren, dann würde ich wohl
    > heute nicht so auf meine Datensicherheit achten und könnte nunmehr wirklich
    > wertvolle Arbeit verlieren.

    Was ein dämlicher vergleich. Wenn du nur aus sowas lernst hast eher du ein Problem. Ich brauch weder unwichtige noch wichtige Daten verlieren um das zu wissen und auf Datensicherheit zu achten.

  14. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: plutoniumsulfat 10.09.18 - 15:22

    Bonarewitz schrieb:
    --------------------------------------------------------------------------------
    > Eheran schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wo wäre dann der Verlust? Im Extremfall habe ich dann diesen Nick nicht
    > > mehr? Sonst noch irgendwas?
    > > Günstiger kann man im Leben nicht lernen, dass das eine ganz schlechte
    > Idee
    > > ist. Da ist der Lerneffekt doch 100x wertvoller als alles andere.
    > Im Extremfall verwendest du das Passwort auch für andere Dienste inkl. für
    > die im Account ebenfalls genutzte (und geleakte) E-Mail-Adresse.
    > Dann kann deine ganze Identität im Internet übernommen werden (Wenn du das
    > PW für beides nutzt, dürfte auch nix mit 2Faktor und so sein).
    > Gerade bei der Zielgruppe von Knuddels dürfte das nicht unüblich sein, wenn
    > die Kinder nicht ausreichend Medienkompetente Eltern haben, die das
    > brauchbar vermitteln können.
    >
    > Da steckt leider viel mehr hinter, als es auf den ersten Blick erscheint.

    Im Extremfall wird die Liste des Anbieters veröffentlicht und alle User benutzen das Passwort noch für andere Dienste.Damit können 2 Millionen Identitäten im Internet übernommen werden. Da steckt leider viel mehr hinter, als es auf den ersten Blick erscheint.

    Oh, wait....

  15. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 15:28

    >Wenn du nur aus sowas lernst hast eher du ein Problem.
    Ja, mit 11 (oder was auch immer) sollte ich mir pausenlos um sowas Gedanken machen, genau...
    Da weiß man ja schon genau wie die Welt funktioniert. Und hat natürlich auch Geld usw. für Backups :D

    >Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0 sehr sehr sehr weit entfernt ist.
    Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines Kindes so machen kann, dass so viel Schaden macht?

  16. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: benneq 10.09.18 - 15:43

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines
    > Kindes so machen kann, dass so viel Schaden macht?



    Frag mal deinen pädophilen Nachbarn. Dem fällt da bestimmt so einiges ein ;)



    1 mal bearbeitet, zuletzt am 10.09.18 15:44 durch benneq.

  17. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Anonymer Nutzer 10.09.18 - 16:11

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Wenn du nur aus sowas lernst hast eher du ein Problem.
    > Ja, mit 11 (oder was auch immer) sollte ich mir pausenlos um sowas Gedanken
    > machen, genau...
    > Da weiß man ja schon genau wie die Welt funktioniert. Und hat natürlich
    > auch Geld usw. für Backups :D
    >
    > >Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0
    > sehr sehr sehr weit entfernt ist.
    > Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines
    > Kindes so machen kann, dass so viel Schaden macht?

    Nah, Vorpubertäre 12 Jährige kommen auf so manch dumme Ideen.
    Wenn dann die Mailadresse und andere Konten mitübernommen werden, können eben Bilder an die Öffentlichkeit kommen, die es nicht sollten.
    Dann ist eben das soziale Leben der Person zerstört.

  18. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Auspuffanlage 10.09.18 - 18:49

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Wenn du nur aus sowas lernst hast eher du ein Problem.
    > Ja, mit 11 (oder was auch immer) sollte ich mir pausenlos um sowas Gedanken
    > machen, genau...
    > Da weiß man ja schon genau wie die Welt funktioniert. Und hat natürlich
    > auch Geld usw. für Backups :D
    >
    > >Es gibt wohl etliche Möglichkeiten damit schaden anzurichten das es von 0
    > sehr sehr sehr weit entfernt ist.
    > Nenn doch bitte ein paar Beispiele, was man mit dem Mail-Account eines
    > Kindes so machen kann, dass so viel Schaden macht?

    Persönlich schlimm wäre Identitätsdiebstahl, (ok er ist unter 14 und darf rechtlich nicht so viel wie ein volljähriger. Man könnte dann ein paar Jahre warten)
    Aber mit falschen Daten lässt sich schon einiges anstellen.)

    Wie sieht es aus mit PayPal im Rahmen des Taschengeldes? Ich kenne die agb nicht auswendig.

  19. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 18:57

    Welches Kind nutzt heute Mail um irgendwelche Bildchen an irgendwen zu schicken? Es ist 2018, nicht 2008. Aber auch wenn, dann wäre das Risiko für den, der das Veröffentlicht ZIEMLICH hoch bei gleichzeit NULL Gegenwert - warum sollte ein 3. das tun?
    Das sind schon weit hergeholte Sachen, mit extremem Arbeitsaufwand* und hohem Risiko für den Angreifer/Veröffentlicher.

    *Man muss entsprechende Bilder überhaupt erst mal in 2 mio. Mailkonten finden.

  20. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: benneq 10.09.18 - 19:23

    Wieso Bilder suchen? Man kann auch dadurch Kontakt aufnehmen. Andere Kinder Identitäten vortäuschen. Herausfinden wann die Eltern im unterwegs / im Urlaub sind und das Kind alleine zu Hause. Etc. Pp.

    Etwas mehr Fantasie bitte! Und es reicht schon wenn das bei jedem 1000sten Kind irgendwie zum Erfolg führt. Ein Bankräuber raubt auch nicht jede Bank aus, sondern eine von tausenden, mit viel Vorbereitungszeit.



    1 mal bearbeitet, zuletzt am 10.09.18 19:49 durch sfe (Golem.de).

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Regierungspräsidium Tübingen, Stuttgart
  2. WeGrow GmbH, Tönisvorst
  3. Limbach Gruppe SE, Heidelberg
  4. Bechtle Onsite Services GmbH, Salzgitter

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
5G
Nokias und Ericssons enge Bindungen zu Chinas Führung

Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
Eine Recherche von Achim Sawall

  1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
  2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
  3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster