Hallo,

Michael Gattinger schrieb:
> Am 18.06.2011 19:07, schrieb Michael Gattinger:
>> ich habe festgestellt, dass man beim Abbonieren der Mailingliste als 
>> Begrüßung eine E-Mail zugesendet bekommt, in welcher das Passwort zur 
>> Anmeldung im Klartext angezeigt wird.
>> Meinem Wissen nach bedeutet dies, dass das Passwort in einer Datenbank 
>> als Klartext gespeichert wird und nicht verschlüsselt.

Ob die Datenbank oder die Passwörter darin verschlüsselt sind oder
nicht, kann man daraus nicht sicher sagen. Aber eine automatische Ver-
und Entschlüsselung auf dem Server würde keinen Sicherheitsgewinn
bedeuten. Normalerweise speichert man nur die Hashwerte von Passwörtern.

>> Dies bedeutet, dass
>> a) Angreifer, Hacker etc. eine schöne Passwortliste zusammen mit 
>> E-Mail-Adressen und Namen klauen können.
>> b) Administratoren die Passwörter der Listenabbonenten ansehen können.
>>
>> Ich finde das nicht schön.
>> Es wäre toll, wenn man das ändern könnte und würde.

Es wäre prinzipiell nicht schlecht, dies zu tun. Aber es würde nur den
Abonnenten nutzen, die ihre Passwörter mehrfach verwenden (so wie
vermutlich auch Du). Das Wiederverwenden von Passwörtern ist eine
Angewohnheit, die generell ein größeres Sicherheitsrisiko darstellt.¹

Gruß

Miche

¹ Comicstrip zum Thema: <http://xkcd.com/792/>

Antwort per Email an