1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mobile World Congress: Shanghai…

Passwörter im Klartext speichern

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter im Klartext speichern

    Autor: moenke 08.07.16 - 11:36

    Wieso? Wie kommt man auf so eine Idee? Das muss doch jeder wissen, der mal eine Datenbank angelegt hat, dass das so ungefähr das dümmste ist, was man machen kann. Will mir einfach nicht in den Kopf, warum sowas immer wieder passiert.

  2. Re: Passwörter im Klartext speichern

    Autor: Quantium40 08.07.16 - 11:38

    Sowas macht man eigentlich nur, wenn man der Meinung ist, dass man die Passwörter noch für irgendwas anderes verwenden will.
    Ein Schelm, wer Böses dabei denkt.

  3. Re: Passwörter im Klartext speichern

    Autor: Tantalus 08.07.16 - 11:40

    moenke schrieb:
    --------------------------------------------------------------------------------
    > Wieso? Wie kommt man auf so eine Idee? Das muss doch jeder wissen, der mal
    > eine Datenbank angelegt hat, dass das so ungefähr das dümmste ist, was man
    > machen kann. Will mir einfach nicht in den Kopf, warum sowas immer wieder
    > passiert.

    Genau das dachte ich mir beim lesen auch. Gleiches mit den Reisepassdaten. Da kann man nur noch den Kopf schütteln.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  4. Re: Passwörter im Klartext speichern

    Autor: Teebecher 08.07.16 - 11:55

    moenke schrieb:
    --------------------------------------------------------------------------------
    > Wieso? Wie kommt man auf so eine Idee?
    Halte ich jetzt bei der MWC für unwahrscheinlich, aber:
    1) PW in der DB als Klartext speichern kostet eine Stunde Aufwand.
    2) Das ganze, inkl. Recovery etc. pp mit gecryptetem Hash plus random Salt: 10 Stunden.

    "OK, wir nehmen 1)".

  5. Re: Passwörter im Klartext speichern

    Autor: tKahner 08.07.16 - 12:32

    IMHO ist der Hauptgrund, dass das unsichere Speichern solcher Daten keinerlei Konsequenzen für den Datenerheber hat.

    Selbst bei Umständen, die - zumindest bei mir - locker den Umstand der groben Fahrlässigkeit erfüllen, also das Wegwerfen von Krankenakten im öffentlichen Müll, das Online-Veröffentlichen von privaten Infos aus Meldedaten z.B. in MeckPomm (Ausländer Welcome oder auch nur Dating-Portalen, die Nutzung von FreeMail oder Umsonst-Firewalls & Heim-Routern z.B. bei den PATRAS- oder dem Bangladesch-SWIFT-Hack oder eben wie in diesem Fall, muss der Betreiber bestenfalls Alibi-Strafzahlungen leisten, aber meisten reicht ein "We are soooooooo sorry!", während auf die Opfer teils lebenslange Konsequenzen warten.

    Abhilfe wären Mindeststrafandrohungen bereits beim Erstfall von nicht unter 50.000 EUR für Privatpersonen und 1.000.000 für Firmen.

    Ich persönlich favorisiere das Modell der Film- und Musik-Industrie: Pro veruntreuten Datensatz (oder vergleichbar) sagen wir 1.000 EUR. Was für Musikstücke richtig ist, darf für Privatdaten nicht falsch sein!


    Solange die Betreiber solcher Anlagen eine im eigenen Interesse sehr komfortable Güter- und Interessenabwägung vornehmen können (wie ja auch schon anders hier geschrieben) solange wird sich nichts ändern.

    Apropo:
    In Deutschland haften - wenigstens auf dem Papier - IT-Verantwortliche mit ihrem Privatvermögen; übrigens ein Umstand, der vielen Admins nicht so richtig klar ist. Leider ist davon in der Praxis nichts zu spüren.

    Denn die großen Datenaggregatoren sitzen entweder nicht Deutschland, haben ihr Datensammelgeschäft mit Zustimmung der User (AGB) an Partner ausgelagert oder sind so groß (vulgo systemrelevant), dass eine auch nur halbwegs angemessene strafrechtliche Konsequenz nicht im (angeblich) öffentlichen Interessen ist. (Behörden, TelKo, Finance, Automotive, ...)

  6. Re: Passwörter im Klartext speichern

    Autor: .LeChuck. 08.07.16 - 14:19

    tKahner schrieb:
    --------------------------------------------------------------------------------
    > IMHO ist der Hauptgrund, dass das unsichere Speichern solcher Daten
    > keinerlei Konsequenzen für den Datenerheber hat.
    +1

    > Ich persönlich favorisiere das Modell der Film- und Musik-Industrie: Pro
    > veruntreuten Datensatz (oder vergleichbar) sagen wir 1.000 EUR. Was für
    > Musikstücke richtig ist, darf für Privatdaten nicht falsch sein!
    +1

    > Apropo:
    > In Deutschland haften - wenigstens auf dem Papier - IT-Verantwortliche mit
    > ihrem Privatvermögen; übrigens ein Umstand, der vielen Admins nicht so
    > richtig klar ist. Leider ist davon in der Praxis nichts zu spüren.
    http://www.it-administrator.de/themen/sicherheit/fachartikel/86564.html

    > Denn die großen Datenaggregatoren sitzen entweder nicht Deutschland, haben
    > ihr Datensammelgeschäft mit Zustimmung der User (AGB) an Partner
    > ausgelagert oder sind so groß (vulgo systemrelevant), dass eine auch nur
    > halbwegs angemessene strafrechtliche Konsequenz nicht im (angeblich)
    > öffentlichen Interessen ist. (Behörden, TelKo, Finance, Automotive, ...)
    Die Datenklau-Problematik existiert im Grund erst derart seit nur noch outgesourced wird.
    Vermeidlich um Kosten zu sparen. So etwas rächt sich immer.

  7. Re: Passwörter im Klartext speichern

    Autor: tKahner 09.07.16 - 09:45

    .LeChuck. schrieb:
    --------------------------------------------------------------------------------
    >> (Schnipp)
    > Die Datenklau-Problematik existiert im Grund erst derart seit nur noch
    > outgesourced wird. Vermeidlich um Kosten zu sparen. So etwas rächt sich immer.

    Das sehe ich ganz genauso, gehe da allerdings einen Schritt weiter:

    Das Outsourcen und damit das Weiterleiten an Dritte und damit auch in Länder mit anderer Gesetzgebung ist wesentlicher Bestandteil international agierender Organisationen und damit wichtig für das Geschäftsmodell! Daten sind Geld!
    Als Strafverfolger muss nämlich ich nachweisen, wo in dem Geflecht jetzt die Verantwortung liegt. Das ist bei einer internationalen Struktur praktisch nicht möglich, weil einfach IMMER nationale Interessen Vorrang haben.

    Geldwäsche funktioniert ja auch weiterhin ganz ausgezeichnet, trotz SEPA / BIC / IBAN für alle, trotz deutlicher Bargeldzahlungsbeschränkungen in vielen Ländern, trotz restriktiver Finanzkontrolle.

    Das ist der wesentliche Vorteil international agierender Unternehmen: Unabhängigkeit von der örtlichen Rechtslage und (weitgehende) Unabhängigkeit im Bezug auf Finanzflüsse. Welchen Vorteil sonst hat die Rechtsform der SE gegenüber der AG? Offensichtlich genügend, um den aufwändigen Prozess anzustoßen, bei dem ja auf den ersten Blick erst einmal kein Unterschied besteht.

    Hoffnung auf Änderung habe ich da nicht, weil auch Deutschland in vielen Bereichen für ausländische Unternehmen interessant ist. Und viele gerade CDU/CSU-Politiker betrachten Datenschutz inzwischen als Wirtschaftshindernis.

  8. Re: Passwörter im Klartext speichern

    Autor: .LeChuck. 09.07.16 - 12:32

    tKahner schrieb:
    > Das sehe ich ganz genauso, gehe da allerdings einen Schritt weiter:
    >
    > Das Outsourcen und damit das Weiterleiten an Dritte und damit auch in
    > Länder mit anderer Gesetzgebung ist wesentlicher Bestandteil international
    > agierender Organisationen und damit wichtig für das Geschäftsmodell! Daten
    > sind Geld!
    Diese weitergehende Assoziation wollte ich z.B. dir überlassen. *gg*

    > Als Strafverfolger muss nämlich ich nachweisen, wo in dem Geflecht jetzt
    > die Verantwortung liegt. Das ist bei einer internationalen Struktur
    > praktisch nicht möglich, weil einfach IMMER nationale Interessen Vorrang
    > haben.
    Das deligieren der Verantwortlichkeiten bis zur "Unkenntlichkeit" IST Geschäftsmodell.

    > Geldwäsche funktioniert ja auch weiterhin ganz ausgezeichnet, trotz SEPA /
    > BIC / IBAN für alle, trotz deutlicher Bargeldzahlungsbeschränkungen in
    > vielen Ländern, trotz restriktiver Finanzkontrolle.
    Nicht trotz, sondern wegen....

    > Das ist der wesentliche Vorteil international agierender Unternehmen:
    > Unabhängigkeit von der örtlichen Rechtslage und (weitgehende)
    > Unabhängigkeit im Bezug auf Finanzflüsse. Welchen Vorteil sonst hat die
    > Rechtsform der SE gegenüber der AG? Offensichtlich genügend, um den
    > aufwändigen Prozess anzustoßen, bei dem ja auf den ersten Blick erst einmal
    > kein Unterschied besteht.
    Willkommen im Raubtier-Kapitalismus.

    > Hoffnung auf Änderung habe ich da nicht, weil auch Deutschland in vielen
    > Bereichen für ausländische Unternehmen interessant ist. Und viele gerade
    > CDU/CSU-Politiker betrachten Datenschutz inzwischen als
    > Wirtschaftshindernis.
    https://www.youtube.com/watch?v=Rx5SZrOsb6M



    2 mal bearbeitet, zuletzt am 09.07.16 12:34 durch .LeChuck..

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Städtisches Klinikum Braunschweig gGmbH, Braunschweig
  2. Vorwerk Services GmbH, Wuppertal
  3. Dataport, verschiedene Einsatzorte (Home-Office möglich)
  4. W3L AG, Dortmund

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-70%) 2,99€
  2. 4,99€
  3. 11,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


    Mythic Quest: Spielentwickler im Schniedelstress
    Mythic Quest
    Spielentwickler im Schniedelstress

    Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
    Eine Rezension von Peter Steinlechner

    1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

    1. Made in USA: Glasexperte Corning und Qualcomm bieten 5G Small Cells
      Made in USA
      Glasexperte Corning und Qualcomm bieten 5G Small Cells

      Mit Corning und Qualcomm sind zwei US-Unternehmen im Bereich RAN aktiv, wie Trump es sich wünscht. Doch die 5G Small Cells arbeiten nur im Millimeterwellenbereich.

    2. 5G SA: Ausbau auf echte 5G-Leistung erfolgt mit Softwareupdate
      5G SA
      Ausbau auf echte 5G-Leistung erfolgt mit Softwareupdate

      Das bisherige 5G-Netz hängt noch stark von LTE ab. Wie sich das ändern lässt, wollten wir von den Ausrüstern genau wissen, weil 5G SA bereits eingesetzt wird.

    3. Youtube: Influencer mögen "Clickbait" nicht
      Youtube
      Influencer mögen "Clickbait" nicht

      Bekannte Influencer wie Unge, Dagi und Bibi nutzen laut einem Medienbericht die Filterfunktion von Youtube, um problematische Kommentare zu blockieren. Besonders unbeliebt sind Wörter wie "Clickbait" und "Fake".


    1. 19:41

    2. 17:39

    3. 16:32

    4. 15:57

    5. 14:35

    6. 14:11

    7. 13:46

    8. 13:23