Hi!

Angenommen jemand macht sich an der Datenbank des Anbieters zu schaffen, würde er ja alle Passwörter aller Kunden haben.
Wenn jemand Zugriff auf diese Daten hat, benötigt er keine weiteren Passwörter. Dann hat der Anbieter ein solch grosses Problem, das dein, jetzt bekanntes, Passwort ein Peanut ist.

Da erinnere ich mich doch an einen Hoster in Wuppertal, bei dem unsere Agentur einen Account auf einem Shared-Server hatte.
Ein <?php system( "cat /etc/shadow" ); ?> hat mir doch tatsächlich eine hübsche lange Liste mit einigen Hundert Paßwort-Hashes gebracht.

Dann ließ ich 'John the Ripper' mal ein paar Tage laufen und als ich schließlich über 100 Paßwörter gefunden hatte, wollte ich dem Hoster diese per Mail schicken.

Als ich dann aber morgens in die Agentur kam, teilte mir mein Chef mit, daß unsere Sites nicht mehr laufen würden und das ich einen Blick drauf werfen sollte.
Wie ich schnell feststellte, wurde der Server gehackt und fast alle Sites defaced.
Hat mich wirklich sehr enttäuscht... Ich hatte mich schon so darauf gefreut, den Hoster mit meiner Paßwortliste überraschen zu können... ;o)
Aber jemand war schneller...

Okay, das war eigene Dummheit des Hosters...
Aber es zeigt, daß man möglichst auch Niemandem Zugang zu den PW-Hashes gewähren sollte.

Schöner Gruß,
rob