Wayne?

Jetzt mal ernsthaft, wir sind hier doch in einem IT-Forum:

Wen juckt es, ob Facebook die Daten intern im Klartext speicherte oder nicht?
Sie wurden weder gehackt, noch öffentlich zur Verfügung gestellt.

Selbst wenn sie "verschlüsselt" wären, kann ein Mitarbeiter diese Daten trotzdem wieder lesbar machen. Und falls Accounts abgehört oder verändert werden sollten: Dazu braucht man kein Passwort, wenn man an der Datenquelle sitzt.

Irgendwie ist das echt total albern... die Frage ist eher, wer hatte alles Zugang zu den Passwörtern, wurden die nun anderweitig geschützt (Berechtigungen, etc.) oder konnte das selbst eine Putzfrau einsehen und mit nach Hause nehmen?

Die meisten Leute haben für alles Mögliche dasselbe Passwort. Somit ist es also schon erheblich, ob FB eine Datenbank für "interne Zwecke" (also Werbung generieren) aufbaut. Die brauchen sich doch einfach mal umzuschauen, wo das Passwort noch alles genutzt wird. Also einfach mal die Email/Passwortkombination überall ausprobieren und mitschreiben, obs geklappt hat. So kennt man seinen Nutzer auch schon viel besser als nur über die eigene Seite.

Menschen, die mich im Internet siezen, sind mir suspekt.

0xDEADC0DE schrieb:
--------------------------------------------------------------------------------
> Selbst wenn sie "verschlüsselt" wären, kann ein Mitarbeiter diese Daten
> trotzdem wieder lesbar machen.

Vorausgesetzt, die haben einen vernünftigen Hash(funktion) genommen, ist es eben NICHT mehr möglich, die eigentlichen Passwörter zu rekonstruieren. Genau das ist doch der Sinn einer Hashfunktion.

Siehe dazu: https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion und
https://de.wikipedia.org/wiki/Einwegfunktion

Das ist aber grob Fahrlässig und hat mit dem Fall gar nichts zu tun. Wenn Hacker anderweitig an das Passwort kommen hat man so ein Problem auch.

Nein, weil man davon ausgehen muss, dass auch die Hash-Funktion bekannt ist und per Bruteforce dann auf die Passwörter im Klartext ohne Probleme kommen kann.

Aber ich hatte auch schon geschrieben: Das ist INTERN, man braucht kein Passwort um an Accounts zu kommen!

Troll bitte woanders - das bekanntsein der Methode hebelt nicht die Sicherheit aus (Gruß an Kerckhoff).

Bruteforcing ist immer möglich, allein der nötige Aufwand ist entscheidend: was bringt mir persönlich das geknackte Passwort in einigen Millionen Jahren?

0xDEADC0DE schrieb:
--------------------------------------------------------------------------------
> Nein, weil man davon ausgehen muss, dass auch die Hash-Funktion bekannt ist
> und per Bruteforce dann auf die Passwörter im Klartext ohne Probleme kommen
> kann.

Bei gesalzenen Hashes muss aber für jeden einzelnen User eine eigene Brute-Force Attacke laufen mit u.u jeweils eigens dafür erstellen Rainbow Tables. Das ist das Gegenteil von "ohne Probleme". Das ist schlicht nicht praktikabel.

0xDEADC0DE schrieb:
--------------------------------------------------------------------------------
> Jetzt mal ernsthaft, wir sind hier doch in einem IT-Forum:
>
> Wen juckt es, ob Facebook die Daten intern im Klartext speicherte oder
> nicht?
> Sie wurden weder gehackt, noch öffentlich zur Verfügung gestellt.

Ernsthaft, ich hoffe bei Gott, dass du nicht in einer wichtigen Position mit viel Verantwortung sitzt.
Angesichts unbekannter Sicherheitsluecken gibt es fuer Hacks immer ein Restrisiko, das niemand 100% abschaffen kann. Darum sind Passwoerter zu schuetzen, auch vor den Mitarbeitern intern in der Firma. Alles andere ist grob fahrlaessig.
Alles weitere ueber Hashes und Salts (die man eben nicht einfach so entschluesseln kann) in den anderen Beitraegen hier...

Meine Fresse, was eine Betreffszeile... "Wayne?"



2 mal bearbeitet, zuletzt am 22.03.19 16:51 durch Aluz.

> Das ist aber grob Fahrlässig und hat mit dem Fall gar nichts zu tun. Wenn
> Hacker anderweitig an das Passwort kommen hat man so ein Problem auch.

Ändert nichts daran, dass man durch Facebook eben eine Gefahrenquelle mehr hat.

> Nein, weil man davon ausgehen muss, dass auch die Hash-Funktion bekannt ist
> und per Bruteforce dann auf die Passwörter im Klartext ohne Probleme kommen
> kann.

Man kann das garnicht lokal gegen entfernt gespeicherte Hashes vergleichen weil man zu den Hashes keinen Zugang hat. Und zu dem Salt erst recht nicht.