Re: [Neo] Kritik an der Passwortspeicherung der Mailinglistenabbos

2011-06-21 Diskussionsfäden Michael Gattinger

Am 20.06.2011 07:46, schrieb Florian Janßen:

Darauf wird beim Anmelden ja hingewiesen:
„Sie können weiter unten ein Passwort eingeben. Dieses Passwort bietet
nur eine geringe Sicherheit, sollte aber verhindern, dass andere Ihr
Abonnement manipulieren. *Verwenden Sie kein wertvolles Passwort*, da es
ab und zu im Klartext an Sie geschickt wird!“
Nun wenn ich ehrlich bin: Bei der Informationsflut bei der Anmeldung 
ließt sich das doch keiner durch ^^
Ich hab das garnicht gelesen. Für mich sind da einfach nur 5 Felder die 
Ausgefüllt werden wollen und ein Abonnieren-Button.




Re: [Neo] Kritik an der Passwortspeicherung der Mailinglistenabbos

2011-06-21 Diskussionsfäden Michael Gattinger

Am 20.06.2011 20:54, schrieb Michael Ostermeier:

Ob die Datenbank oder die Passwörter darin verschlüsselt sind oder
nicht, kann man daraus nicht sicher sagen. Aber eine automatische Ver-
und Entschlüsselung auf dem Server würde keinen Sicherheitsgewinn
bedeuten.

Darauf wollte ich auch nicht raus ;-P

Normalerweise speichert man nur die Hashwerte von Passwörtern.

Darauf wollte ich raus ;-P

Es wäre prinzipiell nicht schlecht, dies zu tun. Aber es würde nur den
Abonnenten nutzen, die ihre Passwörter mehrfach verwenden (so wie
vermutlich auch Du). Das Wiederverwenden von Passwörtern ist eine
Angewohnheit, die generell ein größeres Sicherheitsrisiko darstellt.¹
Ich habe 2 unsichere Passwörter für unwichtige Sachen wie Forenaccounts. 
Ferner ein sicheres Passwort für finanzielle Sachen oder wichtige Accounts.




Re: [Neo] Kritik an der Passwortspeicherung der Mailinglistenabbos

2011-06-20 Diskussionsfäden Michael Ostermeier
Hallo,

Michael Gattinger schrieb:
 Am 18.06.2011 19:07, schrieb Michael Gattinger:
 ich habe festgestellt, dass man beim Abbonieren der Mailingliste als 
 Begrüßung eine E-Mail zugesendet bekommt, in welcher das Passwort zur 
 Anmeldung im Klartext angezeigt wird.
 Meinem Wissen nach bedeutet dies, dass das Passwort in einer Datenbank 
 als Klartext gespeichert wird und nicht verschlüsselt.

Ob die Datenbank oder die Passwörter darin verschlüsselt sind oder
nicht, kann man daraus nicht sicher sagen. Aber eine automatische Ver-
und Entschlüsselung auf dem Server würde keinen Sicherheitsgewinn
bedeuten. Normalerweise speichert man nur die Hashwerte von Passwörtern.

 Dies bedeutet, dass
 a) Angreifer, Hacker etc. eine schöne Passwortliste zusammen mit 
 E-Mail-Adressen und Namen klauen können.
 b) Administratoren die Passwörter der Listenabbonenten ansehen können.

 Ich finde das nicht schön.
 Es wäre toll, wenn man das ändern könnte und würde.

Es wäre prinzipiell nicht schlecht, dies zu tun. Aber es würde nur den
Abonnenten nutzen, die ihre Passwörter mehrfach verwenden (so wie
vermutlich auch Du). Das Wiederverwenden von Passwörtern ist eine
Angewohnheit, die generell ein größeres Sicherheitsrisiko darstellt.¹

Gruß

Miche

¹ Comicstrip zum Thema: http://xkcd.com/792/



Re: [Neo] Kritik an der Passwortspeicherung der Mailinglistenabbos

2011-06-19 Diskussionsfäden Michael Gattinger

Am 18.06.2011 19:07, schrieb Michael Gattinger:

Guten Abend,

ich habe festgestellt, dass man beim Abbonieren der Mailingliste als 
Begrüßung eine E-Mail zugesendet bekommt, in welcher das Passwort zur 
Anmeldung im Klartext angezeigt wird.
Meinem Wissen nach bedeutet dies, dass das Passwort in einer Datenbank 
als Klartext gespeichert wird und nicht verschlüsselt.

Dies bedeutet, dass
a) Angreifer, Hacker etc. eine schöne Passwortliste zusammen mit 
E-Mail-Adressen und Namen klauen können.

b) Administratoren die Passwörter der Listenabbonenten ansehen können.

Ich finde das nicht schön.
Es wäre toll, wenn man das ändern könnte und würde.

Die Funktion zum zusenden seines Passwortes müsste dann natürlich so 
geändert werden, dass es ein neues Passwort generiert.


Mit freundlichen Grüßen

Michael Gattinger