Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Passwörter werden unverschlüsselt gespeichert

Rund um die beliebteste Geocaching-Website

Moderator: nightjar

rikman
Geocacher
Beiträge: 15
Registriert: Mi 20. Dez 2006, 17:49
Wohnort: B E R L I N
Kontaktdaten:

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von rikman »

Teddy-Teufel hat geschrieben:
Die Schatzjäger hat geschrieben:Kurzum:

gc.com schickt mir mein Passwort unverschlüsselt per Mail, ...
Thomas, was ist los? Wenn ich ein Passwort zugewiesen bekomme, dann ändere ich es sofort.

Ausserdem sollte man zu gegebenr Zeit seine Passwörter ändern.
Das hilft beides nichts, denn

1. bekommt man kein Password von Groundspeak zugewiesen, sondern sie schicken dir _dein_ Password zu und
2. auch das geaenderte Password wird bei Groundspeak wieder Plaintext abgespeichert ;)
Die Schatzjäger
Geomaster
Beiträge: 955
Registriert: So 2. Okt 2005, 12:59

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von Die Schatzjäger »

@Teddy:

Es ging darum, dass gc.com mir mein aktuelles Passwort bei Mail schicken kann. Sie also das Passwort (wie auch immer es bei denen in der Datenbank steht) entschlüsseln können. Und dann schicken Sie es auch noch über die öffentlichste Verbindung überhaupt - E-Mail :-)

Kurzum: Schön ist das nicht, und ich bin sehr beruhigt dass mein gc-Passwort absolut nichts mit meinen anderen Passwörtern gemein hat. Ärgern tut mich das aber schon.

Thomas
Bild
Benutzeravatar
moenk
Geoadmin
Beiträge: 13342
Registriert: Fr 8. Aug 2003, 19:20
Wohnort: 12161 Berlin
Kontaktdaten:

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von moenk »

Suchst Du noch oder loggst Du schon?
greiol
Geoguru
Beiträge: 4905
Registriert: Di 22. Nov 2005, 10:26

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von greiol »

rikman hat geschrieben:1. bekommt man kein Password von Groundspeak zugewiesen, sondern sie schicken dir _dein_ Password zu und
2. auch das geaenderte Password wird bei Groundspeak wieder Plaintext abgespeichert ;)
du überträgst es ja auch bei jedem login unverschlüsselt an groundspeak. dann können sie es auch in einem mail stecken. das macht keinen grossen unterschied.

die halbherzige SSL implementierung die die seite anbietet, dürften wohl die wenigsten nutzen.
rikman
Geocacher
Beiträge: 15
Registriert: Mi 20. Dez 2006, 17:49
Wohnort: B E R L I N
Kontaktdaten:

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von rikman »

greiol hat geschrieben:
rikman hat geschrieben:1. bekommt man kein Password von Groundspeak zugewiesen, sondern sie schicken dir _dein_ Password zu und
2. auch das geaenderte Password wird bei Groundspeak wieder Plaintext abgespeichert ;)
du überträgst es ja auch bei jedem login unverschlüsselt an groundspeak. dann können sie es auch in einem mail stecken. das macht keinen grossen unterschied.

die halbherzige SSL implementierung die die seite anbietet, dürften wohl die wenigsten nutzen.
Da hast du natuerlich vollkommen recht. Aber nur weil an einer Stelle Mist gebaut wird (kein HTTPS*), soll das ja kein Freibrief fuer alle anderen Stellen (Plaintext Password-Store) sein.

* Wenn man wirklich sicher gehen moechte, muss man den kompletten Traffic durch einen SSL-Tunnel schicken. Ein Auth-Cookie ist ja sonst auch schnell abgefangen ;)
greiol
Geoguru
Beiträge: 4905
Registriert: Di 22. Nov 2005, 10:26

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von greiol »

rikman hat geschrieben:Da hast du natuerlich vollkommen recht. Aber nur weil an einer Stelle Mist gebaut wird (kein HTTPS*), soll das ja kein Freibrief fuer alle anderen Stellen (Plaintext Password-Store) sein.
sicherlich muss man nicht mehr schaden machen als notwendig, aber es nützt nicht einbruchhemmende fenster einzubauen, solange keine haustür da ist ;)
rikman
Geocacher
Beiträge: 15
Registriert: Mi 20. Dez 2006, 17:49
Wohnort: B E R L I N
Kontaktdaten:

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von rikman »

greiol hat geschrieben:
rikman hat geschrieben:Da hast du natuerlich vollkommen recht. Aber nur weil an einer Stelle Mist gebaut wird (kein HTTPS*), soll das ja kein Freibrief fuer alle anderen Stellen (Plaintext Password-Store) sein.
sicherlich muss man nicht mehr schaden machen als notwendig, aber es nützt nicht einbruchhemmende fenster einzubauen, solange keine haustür da ist ;)
Naja, in dem einen Fall wird nur die Sicherheit des einen kompromittiert (ich kann nicht beliebig viele Verbindungen abhoeren, es sei denn ich sitze direkt am Switch vor dem Server). Im anderen Fall sind _alle_ User betroffen, ob sie wollen oder nicht. So gesehen ist das sehr wohl hilfreich erst mal einbruchhemmende Fenster einzubauen.
Benutzeravatar
radioscout
Geoking
Beiträge: 24528
Registriert: Mo 1. Mär 2004, 00:05
Wohnort: Aachen

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von radioscout »

Die älteren User erinnern sich:
Damals, als Computer noch teuer waren und man die Verbindung zur Mailbox mit dem Akustikkoppler herstellte, wurden gerne Mailbox-Rechner gestohlen.
Damals wurde jedem User dringend empfohlen, für jede Mailbox ein anderes Passwort zu benutzen damit der Dieb mit den Passwörtern nichts anfangen kann.
Bild
Wir hätten nie uns getraut doofe Dosen anzumelden schon aus Respekt vor diesem geheimnisvollen Spiel (Dosenfischer, Die goldenen Jahre)
stonewood
Geowizard
Beiträge: 1062
Registriert: Mo 3. Apr 2006, 10:15
Kontaktdaten:

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von stonewood »

schliessdruide hat geschrieben:wie gut, das niemand mit asymmetrischen schlüsseln arbeitet.......
Wieso? MD5-Crypt ist einweg, da ist nichts mit zwei Schlüsseln.

Und für alle die's noch nicht gemerkt haben, so funktioniert das auch auf richtigen Betriebssystemen:
- Paßwort ist verschlüsselt gespeichert
- User gibt sein Paßwort ein, das wird auf die gleiche Weise verschlüsselt und erst _dann_ verglichen. Wenn der Crypt gleich ist war's das richtige Paßwort
- und sehr wesentlich: Die crypt-Funktion hat keinen Rückweg, selbst der Admin der Maschine kann damit Dein Paßwort nicht kennen. Daher auch die Diskussion MD5 vs. SHA-1 - bei MD5 gibt es mittlerweile Methoden den Rückweg etwas einfacher zu machen.
(ach ja, salt &co. hab ich da erst mal rausgelassen - das gleiche Paßwort wird in der Regel nicht den selben crypt bei unterschiedlichen Usern ergeben ..)

Warum gc.com nicht mal die einfachste Methode für die Paßwortsicherung verwendet ist mir echt schleierhaft. Das OS bringt das sicherlich mit, die Datenbank auch ... :kopfwand:
DerTonLebt
Geomaster
Beiträge: 451
Registriert: Mo 21. Jul 2008, 18:34

Re: Passwörter werden unverschlüsselt gespeichert

Beitrag von DerTonLebt »

Ich bewege mich kaum im blauen Forum.

Daher die Frage:
Hat das eigentlich schon mal jemand dort diese Erkenntnisse zur Diskussion gestellt?
Dort sollte das doch ein größeres Publikum inkl. der Admins erreichen und eine entsprechende Welle schlagen, oder?

Denn mittlerweile wird hier nur wiederholt das Offensichtliche fest und wieder in Frage gestellt.

Grüße
DTL
Abseilen und aufseilen ist nicht klettern!
Antworten