nicht angemeldet
Passwörter speichern
Hallo zusammen..
Ich habe mal eine generlelle Frage zu Passwörtern. Wenn ich mich beispielsweise bei einer Telefongesellschaft als Kunde anmelde und für mein Online Kundencenter ein Passwort festlege, ist es dem Anbieter dann erlaubt mein Passwort in unverschlüsselter Form zu speichern? Angenommen jemand macht sich an der Datenbank des Anbieters zu schaffen, würde er ja alle Passwörter aller Kunden haben. Oder müssen Passwörter generell verschlüsselt in einer DB gespeichert werden?
-
Hi,
Wenn ich mich beispielsweise bei einer Telefongesellschaft als Kunde anmelde und für mein Online Kundencenter ein Passwort festlege, ist es dem Anbieter dann erlaubt mein Passwort in unverschlüsselter Form zu speichern?
ich weiß nicht, wie die rechtliche Lage ist; aber wer so etwas tut, hat IMHO auf keinen Fall auch nur das geringste Vertrauen verdient.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hi!
aber wer so etwas tut, hat IMHO auf keinen Fall auch nur das geringste Vertrauen verdient.
Ganz so drastisch würde ich das nicht sehen.
Ich speichere zwar auch immer alle Paßwörter ausschließlich in verschlüsselter Form, aber auch die unverschlüsselte Speicherung hätte ihre Daseinsberechtigung.
Einige Boards/Foren/Wikis/... bieten die Funktion "Paßwort vergessen?", womit es dann möglich ist, sich sein vergessenes Paßwort per Email zuschicken zu lassen.
Speichert man die Paßwörter in Form von md5-, sha1-, ...-Hashes, so wäre eine Rückverschlüsselung ausgeschlossen, da es sich um Einweghasher, sprich asymmetrische Verschlüsselung handelt (aber das weißt du ja sowieso).
Es wäre zwar möglich, diese Daten symmetrisch verschlüsselt abzulegen, aber das wird ja kaum getan und bringt ja auch nicht viel, weil der Key dann ja auch irgendwo auf dem Server zu finden sein müßte, um die Daten automatisch wieder zu entschlüsseln.
Zumindest der Hoster könnte dann an diese Daten rankommen.In jedem Fall besuche ich auch einige Boards, wo es die Möglichkeit gäbe, mir ein vergessenes PW zuschicken zu lassen.
Ich sehe es also nicht ganz so krass, daß ich sagen würde, die hätten nicht das geringste Vertrauen verdient.Ich setze allerdings auch immer verschiedene Paßwörter ein.
Wenn man sich im Internet irgendwo anmeldet, dann kann man sich nicht sicher sein, was mit seinen Daten passiert.
Irgendwelche Datenschutzerklärungen müssen ja nicht stimmen...
Man kann eine Lüge ja nicht erkennen.
Wer weiß, ob nicht auch in diesem Forum alle Paßwörter mitgelesen werden? ;)
Daher sollte man schon zusehen, daß man nicht nur ein einziges Paßwort hat, daß man immer und überall verwendet.
Wer so etwas tut, ist selber Schuld, falls mal etwas passieren sollte.Schöner Gruß,
rob-
[...]
In jedem Fall besuche ich auch einige Boards, wo es die Möglichkeit gäbe, mir ein vergessenes PW zuschicken zu lassen.
Ich sehe es also nicht ganz so krass, daß ich sagen würde, die hätten nicht das geringste Vertrauen verdient.Zumal man ja auch überlegen könnte, ob (bestehende) Passwörter in einem gehackten System dann überhaupt noch gebraucht werden... :-)
Die meisten Anbieter werden zudem kaum verraten, ob und wie sie Zugangsdaten verschlüsseln. Rechtliche Vorschriften (oder die Existenz solcher) in diesem Bereich entziehen sich meiner Kenntnis.
Ich setze allerdings auch immer verschiedene Paßwörter ein.
Das auf jeden Fall!
[...]
Nick
--
--------------------------------------------------
http://www.xilp.eu
XILP Internet Links People
Dein persoenliches privates Netzwerk
aus Freunden, Verwandten, Bekannten und Kollegen.
--------------------------------------------------
Hamburg Berlin München-
Zumal man ja auch überlegen könnte, ob (bestehende) Passwörter in einem gehackten System dann überhaupt noch gebraucht werden... :-)
Es geht ja aber nicht nur um gehackte Systeme. Meiner Meinung nach sollte das Passwort, das ich mir anlege, nicht unverschlüsselt abgelegt werden. Wenn ich mein Passwort vergesse, kann der Anbieter mir ein neues Passwort zuschicken mit dem ich mich einloggen kann. Dann ändere ich es wieder und es wird erneut verschlüsselt abgelegt. Ich habe vor kurzem große Augen gemacht, als mein Provider (Hansenet) mir meine Änderungsbestätigung meines bestehenden Anschlusses geschickt hat und "freundlicherweise" meinen Benutzernamen inkl. Passwort nochmal dazugeschrieben hat.
-
Ich grüsse den Cosmos,
Es geht ja aber nicht nur um gehackte Systeme. Meiner Meinung nach sollte das Passwort, das ich mir anlege, nicht unverschlüsselt abgelegt werden.
Konkret, welchen Vorteil/Nachteil hat es, wenn ein Passwort verschlüssel wird? Wer in die Datenbank kommt, braucht er die Passwörter nicht, wenn er nicht an die Datenbank kommt, ist es vlööig irrelevant, da man dur Man-in-the-middle-Attacken wesentlich leichter an Passwörter kommt, selbst, wenn diese per SSL verschlüsselt werden.
Möge das "Self" mit euch sein
--
Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
ie:{ br:> fl:| va:| ls:& fo:{ rl:( n4:{ de:] ss:) ch:? js:| mo:) sh:( zu:)-
Konkret, welchen Vorteil/Nachteil hat es, wenn ein Passwort verschlüssel wird?
Wie schon gesagt: Es würde verhindern, dass man mir mein Benutzernamen und mein Passwort im Klartext postalisch zusendet.
-
Wie schon gesagt: Es würde verhindern, dass man mir mein Benutzernamen und mein Passwort im Klartext postalisch zusendet.
Das stimmt. Aber was Du hier vergisst: Alles andere waere fuer einen grossen Teil der Bevoelkerung eine Zumutung.
Ich sehe es hier fast jeden Tag. Wir sind ein internationaler Konzern aber die Leute haben schon Probleme zwischen 'Create Password' und 'Recover Password' zu unterscheiden. Ich weiis gar nicht wieviele Passwoerter zu nicht existierenden Konten ich schon erneuern sollte bzw. wieviele schon exisitierende Konten ich nochmal erstellen sollte.
Dazu haben wir noch eingebaut, das von uns vergebene Passwoerter nicht nutzbar sind ausser um sich ein eigenes zu erstellen. Von wegen sicherheit und so. Pah. Die Leute koennen es einfach nicht. Bei uns muessen Sie, aber Hansenet muss kundenfreundlich sein und kann nicht sagen, 'das machen Sie jetzt so'. Und extra Support kostet extra Geld.
Dir ist es nicht egal wie Dein Passwort gespeichert wird. Schau links und rechts von dir. Denen schon.
Der Webspace meines Schwagers wurde gehackt. Seine Reaktion: Er hat gelacht und nichts dran gemacht weil er es eh 'demnachst' kuendigen wollte, den er ist ja jetzt in einer anderen Gilde. *schulterzuck* Du kannst es ihnen vorbeten, aufschreiben, erklaeren und an die Wand malen. Es wird nichts bringen. Erst wenns zu spaet ist kommen Fragen deren Antworten Du ihnen schon lange gegeben hast.
-
Im Prinzip war meine Frage ja auch nur, ob es generell rechtens ist, Passwörter unverschlüsselt abzulegen. Ich weiss ja, dass mein Provider es nicht macht und bin trotzdem noch dort angemeldet. Die Frage habe ich hier aus reinem Interesse gestellt. Viele Menschen sehen das mit Sicherheit genauso wie ich, nämlich dass es "unvorteilhaft" ist. Allerdings gebe ich dir schon recht bei dem was du sagst. Die Kundenfreundlichkeit mancher Unternehmen geht leider auf Kosten der Sicherheit.
-
Im Prinzip war meine Frage ja auch nur, ob es generell rechtens ist, Passwörter unverschlüsselt abzulegen. Ich weiss ja, dass mein Provider es nicht macht und bin trotzdem noch dort angemeldet. Die Frage habe ich hier aus reinem Interesse gestellt. Viele Menschen sehen das mit Sicherheit genauso wie ich, nämlich dass es "unvorteilhaft" ist. Allerdings gebe ich dir schon recht bei dem was du sagst. Die Kundenfreundlichkeit mancher Unternehmen geht leider auf Kosten der Sicherheit.
Nein, andersherum wiegt es Dich (unangemessen!) in Sicherheit.
Was ja auch schon gesagt wurde, aber nochmals:
Wenn jemand auf den Server kommt, ist es sowieso schon zu spät.
Von daher ist die Art der Speicherung zweitrangig.
Wichtig dagegen (je nach Anwendung) wäre eher SSL und starke Paßworte.Gruß
Reiner
-
-
-
Ich grüsse den Cosmos,
Wie schon gesagt: Es würde verhindern, dass man mir mein Benutzernamen und mein Passwort im Klartext postalisch zusendet.
Um das zu verhindern, brauche ich als Betreiber nur dieses Feture nicht anzubieten. Was da mit der Art der Passworspeicherung zu tun hat, seh ich nicht.
Möge das "Self" mit euch sein
--
Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
ie:{ br:> fl:| va:| ls:& fo:{ rl:( n4:{ de:] ss:) ch:? js:| mo:) sh:( zu:)
-
-
Ich grüsse den Cosmos,
Es geht ja aber nicht nur um gehackte Systeme. Meiner Meinung nach sollte das Passwort, das ich mir anlege, nicht unverschlüsselt abgelegt werden.
Konkret, welchen Vorteil/Nachteil hat es, wenn ein Passwort verschlüssel wird? Wer in die Datenbank kommt, braucht er die Passwörter nicht, wenn er nicht an die Datenbank kommt, ist es vlööig irrelevant, da man dur Man-in-the-middle-Attacken wesentlich leichter an Passwörter kommt, selbst, wenn diese per SSL verschlüsselt werden.
es macht großen Sinn, das verschlüsselt abzulegen - gerade, wenn es sich um eine größere Firma handelt, in der das Personal hin- und wieder wechselt.
Wie Du als man-in-the-middle Paßworte aus einer SSL-Verbindung rausholst, mußt Du aber mal erklären!
Gruß
Reiner-
Ich grüsse den Cosmos,
Wie Du als man-in-the-middle Paßworte aus einer SSL-Verbindung rausholst, mußt Du aber mal erklären!
Nein, das werde ich nicht, da ich mich dabei evtl. Strafbar mache.
Das es möglich ist, haben schon mehrere Personen bewiesen, bei ein wenig Suche findest du bestimmt entsprec hende Artikel.Möge das "Self" mit euch sein
--
Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
ie:{ br:> fl:| va:| ls:& fo:{ rl:( n4:{ de:] ss:) ch:? js:| mo:) sh:( zu:)-
Hallo Manuel,
Nein, das werde ich nicht, da ich mich dabei evtl. Strafbar mache.
Nein, weswegen solltest Du das tun? Werkzeuge zu Verbreiten, die dabei Hilfreich sein könnten, ist zwar neuerdings womöglich strafbar (so genau weiß noch keiner, wie die STGB-Änderung zu verstehen ist), aber für Informationen über Sicherheitsprobleme darf man noch verbreiten.
Das SSL generell angreifbar ist, ist aber Quatsch. Man-in-the-Middle-Attacken bei SSL setzen entweder kaputte Software, dumme Benutzer (solche, die unsignierte Zertifikate ausstellen), oder unfähige Zertifikataussteller (solche, die Zertifikate ohne ordentliche Prüfung ausstellen) voraus.
Deine Äußerung klingt nach "Passwörter verschlüsseln oder SSL verwenden bringt nix". Und diese Aussage ist schicht falsch.
Grüße
Daniel
-
Ich grüsse den Cosmos,
solche, die unsignierte Zertifikate ausstellen
Da hast du deine Lücke. 95% aller User akzeptieren ein Zertifikat, nur weil die URL stimmt.
Deine Äußerung klingt nach "Passwörter verschlüsseln oder SSL verwenden bringt nix". Und diese Aussage ist schicht falsch.
Das interpretierst du in meine Aussage rein. Habe ich nie behauptet und würde ich nie tun, weil es schlichtweg falsch wär. Da hast du vollkommen recht.
Möge das "Self" mit euch sein
--
Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
ie:{ br:> fl:| va:| ls:& fo:{ rl:( n4:{ de:] ss:) ch:? js:| mo:) sh:( zu:)-
Hallo Manuel,
solche, die unsignierte Zertifikate ausstellen
Da hast du deine Lücke. 95% aller User akzeptieren ein Zertifikat, nur weil die URL stimmt.
Gegen Faulheit, Ignoranz, Unwissenheit von Benutzern ist noch kein Kraut gewachsen. „Social Engineering“ ist aber unabhängig von den verwendeten Sicherheitsvorkehrungen ein Problem und kann deswegen nicht als prinzipielle Schwachstelle von SSL angesehen werden.
Deine Äußerung klingt nach "Passwörter verschlüsseln oder SSL verwenden bringt nix". Und diese Aussage ist schicht falsch.
Das interpretierst du in meine Aussage rein. Habe ich nie behauptet und würde ich nie tun, weil es schlichtweg falsch wär. Da hast du vollkommen recht.
Daniel interpretiert nichts in deine Postings rein. Er hat dir lediglich mitgeteilt, wie dein Text auf ihn gewirkt hat. Und da er wahrscheinlich nicht der einzige ist, der es so verstanden hat, ist es doch gut, dass er es klar gestellt hat.
Schöne Grüße,
Johannes
-
-
-
-
-
-
-
-
Hello,
aber wer so etwas tut, hat IMHO auf keinen Fall auch nur das geringste Vertrauen verdient.
Ganz so drastisch würde ich das nicht sehen.
Ich speichere zwar auch immer alle Paßwörter ausschließlich in verschlüsselter Form, aber auch die unverschlüsselte Speicherung hätte ihre Daseinsberechtigung.
Einige Boards/Foren/Wikis/... bieten die Funktion "Paßwort vergessen?", womit es dann möglich ist, sich sein vergessenes Paßwort per Email zuschicken zu lassen.Das geht bei seriösen Systemen dann, indem man einfach ein neues Passwort generieren lässt, dieses dem Kunden zuschickt, aber trotzdem nur das Einweg-Verschlüsselte Passwort speichert.
Ein System was das anders macht, erhält garantiert kein Sicherheitszertifikat, noch nicht einmal das kleinste.Anfangen mit dem Lesen kannst Du mal bei "ISO 27001"
http://de.wikipedia.org/wiki/ISO_27001Es muss nicht unbedingt ein Gesetz geben für die Art der Speicherung, denn es gibt zu jedem Zeitpunkt die "Anerkannten Regeln der Technik". Und die würde bei einer Bewertung herangezogen werden müssen.
Harzliche Grüße vom Berg
http://www.annerschbarrich.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Hallo Forum,
Speichert man die Paßwörter in Form von md5-, sha1-, ...-Hashes, so wäre eine Rückverschlüsselung ausgeschlossen, da es sich um Einweghasher, sprich asymmetrische Verschlüsselung handelt (aber das weißt du ja sowieso).
Asymetrische Verschlüsselung heißt nur, dass der Schlüssel zum Verschlüsseln nicht zum Entschlüsseln verwendet werden kann und umgekehrt, im Gegensatz zu symmetrischer Verschlüsselung, bei der ein einziger Schlüssel zum Ver- und Entschlüsseln verwendet wird.
Beides hat mit Hash-Werten nichts zu tun, die kann man überhaupt nicht entschlüsseln.
Gruß
Alexander Brock-
Beides hat mit Hash-Werten nichts zu tun, die kann man überhaupt nicht entschlüsseln.
Nicht 100% aber man kann einen String daraus generieren der als Passwort funktioniert. Ist doch egal ob Cooler78 oder dG5Tyyp1 eingegeben wird.
Es ist fast Wurst ob man Passwoerter verschluesselt oder nicht. Wer richtigen Zugriff auf die Tabelle erlangt braucht das Passwort eh nicht mehr. Wer die nur lesen kann hat halt minimal mehr Arbeit sich aus Hashes was zu generieren. Solange bekannte Funktionen benutzt werden gehts sogar recht fix.
Praktischer ist es das Passwort im Klartext zu sichern, etwas sicherer, es zu kodieren. Da reicht dann ein kurzer Blick nicht mehr aus.
-
Beides hat mit Hash-Werten nichts zu tun, die kann man überhaupt nicht entschlüsseln.
Nicht 100% aber man kann einen String daraus generieren der als Passwort funktioniert. Ist doch egal ob Cooler78 oder dG5Tyyp1 eingegeben wird.
Du hast Alexanders Aussage nicht verstanden, oder?
Gruß
Reiner-
Du hast Alexanders Aussage nicht verstanden, oder?
Dass er keine Standard Kodierungen wie MD5 nehmen moechte habe ich nicht verstanden, nein. Was aber trotzdem nichts an der Richtigkeit meiner Aussage aendert.
-
Hallo Steel,
Dass er keine Standard Kodierungen wie MD5 nehmen moechte habe ich nicht verstanden, nein. Was aber trotzdem nichts an der Richtigkeit meiner Aussage
aendert.
Deine Aussage bleibt falsch. Man kann höchsten mit Brute-Force ausprobieren, einen Text zu finden, der den gleichen Hash-Wert hat. Rainbow-Tabellen sind im wesentlichen auch nichts anderes, das Ausprobieren wird hier lediglich im voraus durchgeführt und sind auch nur bei schlechten Passwörtern oder falls kein Salt verwendet wird wirklich nutzbar.
Schöne Grüße,
Johannes
-
-
-
Hallo Forum,
Nicht 100% aber man kann einen String daraus generieren der als Passwort funktioniert.
Nein, kann man nicht.
Man kann solange Hashes von Zeichenkombinationen berechnen, bis man eine gefunden hat, die den gewünschten Hash ergibt, aber es gibt keine Funktion, die zu Hashes passende Zeichenketten generieren könnte, wenn der Hash-Algorithmus nicht kryptoanalytisch gebrochen wurde.Man kann natürlich Rainbow Tables erstellen oder erstellen lassen oder kaufen, aber die decken meist nur a-zA-Z und vielleicht 0-9 ab und gegen Hashes mit Salt sind sie komplett machtlos.
Es ist fast Wurst ob man Passwoerter verschluesselt oder nicht. Wer richtigen Zugriff auf die Tabelle erlangt braucht das Passwort eh nicht mehr. Wer die nur lesen kann hat halt minimal mehr Arbeit sich aus Hashes was zu generieren. Solange bekannte Funktionen benutzt werden gehts sogar recht fix.
Es kommt vor, insbesondere bei Umgebungen deren Administratoren mitdenken, dass ein Angreifer zwar eine Sicherheitslücke findet, aber dann nur sehr begrenzten, ev. nur lesenden Zugriff auf die Datenbank hat, und dann ist es sehr zu wünschen, dass er nur versalzene Hashes von Passwörtern findet.
Praktischer ist es das Passwort im Klartext zu sichern, etwas sicherer, es zu kodieren. Da reicht dann ein kurzer Blick nicht mehr aus.
Dann braucht man halt zwei kurze Blicke:
Einen in die Datenbank und einen in den Quellcode, wo die Dekodier-Funktion steht.Außerdem gibt es keinen Grund, warum sich ein Dienstleister für die Passwörter seiner Kunden interessieren sollte, er kann im Falle eines vergessenen oder verlorenen Passwortes problemlos ein neues (echt zufälliges, hinreichend sicheres, temporäres) Passwort generieren lassen und dem Kunden zuschicken.
Gruß
Alexander Brock
-
-
-
-
Wenn ich mich beispielsweise bei einer Telefongesellschaft als Kunde anmelde und für mein Online Kundencenter ein Passwort festlege, ist es dem Anbieter dann erlaubt mein Passwort in unverschlüsselter Form zu speichern?
ich weiß nicht, wie die rechtliche Lage ist; aber wer so etwas tut, hat IMHO auf keinen Fall auch nur das geringste Vertrauen verdient.
Sofern SSL für den Login nicht benutzt wird: Quatsch!
Denn dann kann ich das PW im Klartext mitlesen.
Viel mehr Wert sollte man auf die Stärke des PW seitens des Users legen. Wenn 3stellige Zeichenketten erlaubt sind, nutzt die verschlüsselt Ablage gar nichts!Gruß
Reiner
-
-
Ich grüsse den Cosmos,
Angenommen jemand macht sich an der Datenbank des Anbieters zu schaffen, würde er ja alle Passwörter aller Kunden haben.
Wenn jemand Zugriff auf diese Daten hat, benötigt er keine weiteren Passwörter. Dann hat der Anbieter ein solch grosses Problem, das dein, jetzt bekanntes, Passwort ein Peanut ist.
Möge das "Self" mit euch sein
--
Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
ie:{ br:> fl:| va:| ls:& fo:{ rl:( n4:{ de:] ss:) ch:? js:| mo:) sh:( zu:)-
Hi!
Angenommen jemand macht sich an der Datenbank des Anbieters zu schaffen, würde er ja alle Passwörter aller Kunden haben.
Wenn jemand Zugriff auf diese Daten hat, benötigt er keine weiteren Passwörter. Dann hat der Anbieter ein solch grosses Problem, das dein, jetzt bekanntes, Passwort ein Peanut ist.Da erinnere ich mich doch an einen Hoster in Wuppertal, bei dem unsere Agentur einen Account auf einem Shared-Server hatte.
Ein<?php system( "cat /etc/shadow" ); ?>hat mir doch tatsächlich eine hübsche lange Liste mit einigen Hundert Paßwort-Hashes gebracht.Dann ließ ich 'John the Ripper' mal ein paar Tage laufen und als ich schließlich über 100 Paßwörter gefunden hatte, wollte ich dem Hoster diese per Mail schicken.
Als ich dann aber morgens in die Agentur kam, teilte mir mein Chef mit, daß unsere Sites nicht mehr laufen würden und das ich einen Blick drauf werfen sollte.
Wie ich schnell feststellte, wurde der Server gehackt und fast alle Sites defaced.
Hat mich wirklich sehr enttäuscht... Ich hatte mich schon so darauf gefreut, den Hoster mit meiner Paßwortliste überraschen zu können... ;o)
Aber jemand war schneller...Okay, das war eigene Dummheit des Hosters...
Aber es zeigt, daß man möglichst auch Niemandem Zugang zu den PW-Hashes gewähren sollte.Schöner Gruß,
rob
-
