1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Brillenladen: Datenklau bei Mr. Spex

Passwörter im Klartext?

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter im Klartext?

    Autor: kaul 02.08.12 - 17:47

    Sehr geehrter Herr XXX,

    leider wurden die Daten teilweise unverschlüsselt gespeichert. Dies war ein Fehler, den wir sehr bedauern.
    Wir arbeiten jedoch gerade an einer weiteren Erhöhung unserer Sicherheitsstandards inkl. einer Verschlüsselung der Passwörter.

    Wir bedauern den Vorfall sehr und hoffen Sie bald wieder als Kunden begrüßen zu dürfen.

    Mit besten Grüßen aus Berlin,
    Ihr Mister Spex Team



    1 mal bearbeitet, zuletzt am 02.08.12 17:47 durch kaul.

  2. Re: Passwörter im Klartext?

    Autor: Anonymer Nutzer 02.08.12 - 19:34

    Die sind nimmer ganz sauber. Ich kann es nicht verstehen, wie kann man bitte Passwörter im Klartext speichern? Was haben die für Programmierer? Sowas ist doch ein absolutes No-Go. Aaah bei sowas könnte ich agressiv werden... *facepalm*

  3. Re: Passwörter im Klartext?

    Autor: Nasenbaer 02.08.12 - 20:23

    Das kommt, wenn jedes daher gelaufene HTML-Kiddie mitmal Webseiten und insb. Shopsysteme entwickelt. Welche Webdesigner interessiert sich denn schon für Kryptographie und Computer-/Internetsicherheit oder sieht wenigstens die Notwendigkeit sich darüber informieren zu müssen?
    Da wird mal im Netz aufgeschnappt, dass es sowas wie "SQL-Injection" gibt und bestenfalls nach ner fixen Lösung gegoogelt um das Problem zu beseitigen aber eine intensive Beschäftigung mit solchen Problemen, mit den dahinterliegenden Server-Anwendungen usw. findet wohl viel zu selten statt.

    Anders kann man sich diese ständigen 08/15-Pannen nicht erklären. Webdesigner, nennt sich schließlich heute dahergelaufene Freizeit-Webseiten-Bastler.
    Natürlich mag es auch Außnahmen geben, also Leute, die das Problem erkannt haben und wissen wie man nicht nur ne Webseite designt, sondern auch richtig und sicher "programmiert". Denen will ich hiermit nicht auf die Füße treten, sondern mal loben. :)

  4. Re: Passwörter im Klartext?

    Autor: elgooG 02.08.12 - 20:45

    Nasenbaer schrieb:
    --------------------------------------------------------------------------------
    > Das kommt, wenn jedes daher gelaufene HTML-Kiddie mitmal Webseiten und
    > insb. Shopsysteme entwickelt. Welche Webdesigner interessiert sich denn
    > schon für Kryptographie und Computer-/Internetsicherheit oder sieht
    > wenigstens die Notwendigkeit sich darüber informieren zu müssen?
    > Da wird mal im Netz aufgeschnappt, dass es sowas wie "SQL-Injection" gibt
    > und bestenfalls nach ner fixen Lösung gegoogelt um das Problem zu
    > beseitigen aber eine intensive Beschäftigung mit solchen Problemen, mit den
    > dahinterliegenden Server-Anwendungen usw. findet wohl viel zu selten
    > statt.
    >
    > Anders kann man sich diese ständigen 08/15-Pannen nicht erklären.
    > Webdesigner, nennt sich schließlich heute dahergelaufene
    > Freizeit-Webseiten-Bastler.
    > Natürlich mag es auch Außnahmen geben, also Leute, die das Problem erkannt
    > haben und wissen wie man nicht nur ne Webseite designt, sondern auch
    > richtig und sicher "programmiert". Denen will ich hiermit nicht auf die
    > Füße treten, sondern mal loben. :)

    Man sollte auch beachten, dass jemand der etwas von der Materie versteht es schwer hat dem Unternehmen zu erklären warum der Preis x-mal so hoch ist, als bei einem dahergelaufenen Hobby-Bastler.

    Fachkräften wird hier durch Pfusch, Schlamperei, Leichtsinn und Fahrlässigkeit die Grundlage entzogen und wenn mal der große Knall kommt, dann will keiner Schuld sein. Hauptsache man hat ein paar Euro gespart und dabei die eigenen Kunden gefährdet.

    Ich frage mich warum solche fahrlässigen Dinge wie Klatextpasswörter nicht endlich unter Strafe stehen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  5. Re: Passwörter im Klartext?

    Autor: Nasenbaer 02.08.12 - 22:35

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Man sollte auch beachten, dass jemand der etwas von der Materie versteht es
    > schwer hat dem Unternehmen zu erklären warum der Preis x-mal so hoch ist,
    > als bei einem dahergelaufenen Hobby-Bastler.
    > Fachkräften wird hier durch Pfusch, Schlamperei, Leichtsinn und
    > Fahrlässigkeit die Grundlage entzogen und wenn mal der große Knall kommt,
    > dann will keiner Schuld sein. Hauptsache man hat ein paar Euro gespart und
    > dabei die eigenen Kunden gefährdet.

    Da hast du Recht, das wird auch ein Grund sein warum sowas immer wieder passiert. Ein BWL-Heini wird die Notwendigkeit eines sicheren Servernetzes etc. noch weniger verstehen - vorallem wenn er das Spartpotential sieht. ^^


    > Ich frage mich warum solche fahrlässigen Dinge wie Klatextpasswörter nicht
    > endlich unter Strafe stehen.
    Ich bin kein Jurist aber ich könnte mir vorstellen, dass das bereits jetzt, wenigstens zivilrechtlich, verfolgbar ist. Eine Aufnahme ins StGB wäre aber sicher abschreckender aber Prozesse dürfte da auch schwer zu führen sein. Wieviel muss man unternehmen bis man nicht mehr Fahrlässigkeit vorgeworfen bekommen kann? Reichen gehashte Passwörter? Reicht MD5? Ist random salt notwendig? Reicht ne Firewall? Brauche ich aufwändige Intrusion-Detection-Systeme?
    Ich bin in Computersicherheit selbst alles andere als ein Experte aber wenn ich sowas schon nicht entscheiden könnte, wie soll das dann ein Anwalt machen, der dabei gänzlich Bahnhof versteht?

  6. Re: Passwörter im Klartext?

    Autor: __destruct() 02.08.12 - 23:45

    Deutsche Gesetze schreiben fast nie klare Werte vor. Nahezu ausnahmslos ist alles schwammig.

    Hier könnte man aber "nicht mit lohnendem Aufwand rückverfolgbar" sowie zusätzlich "nicht durch Absprache, Konventionen oder Standardwerte mit anderen Zugangsdatenlisten abgleichbar / kompatibel" unterbringen. Das würde dann ausnahmsweise Klarheit schaffen. Es ist also durchaus eine vernünftige Regelung möglich, ohne zu starke Einschränkungen zu machen. Die Einschränkung, dass ein Salt oder etwas ähnliches verwendet werden müsste, wäre aber durch den zweiten von mir genannten Halbsatz gegeben. Und zwar ein individueller Salt, so dass nicht 1.000 Leute "Haha[Passwort]Das ist ein toller Salt123[E-Mail-Adresse]xD" hashen, sondern jeder eine zufällige Zeichenfolge verwendet und man somit nicht überprüfen kann, ob Leute auf anderen Seiten die gleichen Passwörter verwenden und man somit das Passwort, das sie auf einer Seite eingeben, entführen und auch noch auf weiteren Seiten verwenden kann, um unerlaubt Zugang zu Accounts zu erhalten.



    1 mal bearbeitet, zuletzt am 02.08.12 23:49 durch __destruct().

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Concordia Versicherungsgesellschaft a.G., Hannover
  2. vitero GmbH, Stuttgart
  3. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz
  4. BASF Digital Solutions GmbH, Ludwigshafen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 69,90€ (Bestpreis)
  2. (u. a. LG 55NANO806NA Nanocell 55 Zoll für 549€, LG 65NANO806NA Nanocell 65 Zoll für 749€, LG...
  3. (u. a. DiRT 5 - Day One Edition für 29,49€, Frostpunk für 6,49€, Firefighting Simulator - The...
  4. 44,99€ (statt 59,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de