• Willkommen im Geoclub - dem größten deutschsprachigen Geocaching-Forum. Registriere dich kostenlos, um alle Inhalte zu sehen und neue Beiträge zu erstellen.

Passwörter werden unverschlüsselt gespeichert

L

los golfos de berlin

Geocacher
To whom it may concern:

Habe grade festgestellt, dass bei gc.com die Passwörter unverschlüsselt in der Datenbank abgelegt werden.
Das ist insofern blöd, als das die meisten Menschen wohl nur ein oder zwei Passwörter für alle ihre Accounts haben.
Wenn nun denen jemand die Datenbank klaut, braucht der nicht mal die Passwörter zurückrechnen, um bei Ebay und Amazon shoppen zu gehen.

Nebenbei ist noch rausgekommen, dass das Passwort keine Sonderzeichen haben darf, damit das Forumslogin funktioniert.
Annie von Groundspeak schrieb:
Thank you for writing in. Does your new password contain characters such as !@#$%^&*()_+ by chance? If so, characters like these can sometimes 'break' the forum login. If this is the case, try using an alphanumeric password.
Zum Vergrößern anklicken....
Das ist alles so Web 0.5
 
X

xtb

Geomaster
Passwortmanager und automatische Passwortgenerierung sind Dein Freund.

Ich nutze für jeden Dienst ein eigenes Passwort, das zwischen 10 und 20 Zeichen lang ist ... kann nur jedem das selbe empfehlen.
 
ElliPirelli

ElliPirelli

Geoguru
Wer nutzt schon für Amazon und eBay die gleichen Passwörter wie für GC? :???:

Soviel Dusseligkeit muß ja bestraft werden...
 
OP
L

los golfos de berlin

Geocacher
@xtb
sehe ich genau so, aber wehe da sind diese bösen sonderzeichen drin ;-)

@schliessdruide
1. kristallkugel. 2. blaues forum
nein im ernst: wenn du auf passwort vergessen drückst bei gc.com bekommst du eine email mit deinem nutzernamen/passwort.
d.h. sie werden es wohl unverschlüsselt bei sich ablegen.
 
schliessdruide

schliessdruide

Geocacher
@los golf

was würde es dir bringen, wenn du das pw verschlüsselt bekommen würdest? ist doch bei allen anmeldeseiten so....... :???:

und wie sollte gs arbeiten, wenn sie den schlüssel nicht mal selbst haben....... :hilfe:

die pw-mail ist für mich alles andere als ein beweis :lachtot:
 
moenk

moenk

Administrator
Teammitglied
Stimmt schon, wenn sie es zumailen können, werden sie es auch so abgelegt haben. Schon peinlich, andere machen sich Gedanken ob MD5 noch reicht und da wird Klartext abgelegt :irre:
 
D

Die Schatzjäger

Geomaster
Also das find ich jetzt eigentlich schon auch recht derb ...

Jedes billige kostenlos Forum legt die Passwörter verschlüsselt ab (einfach als Dienst am Kunden !) und die machen das unverschlüsselt. WOZU ???

Wenn der Kunde sein PW vergessen hat, so kann er es zurücksetzen lassen - da muss ich sein Passwort ned unverschlüsselt speichern !
 
S

schuhhirsch

Geocacher
schliessdruide schrieb:
@los golf

was würde es dir bringen, wenn du das pw verschlüsselt bekommen würdest? ist doch bei allen anmeldeseiten so....... :???:

und wie sollte gs arbeiten, wenn sie den schlüssel nicht mal selbst haben....... :hilfe:

die pw-mail ist für mich alles andere als ein beweis :lachtot:
Zum Vergrößern anklicken....

Oft bekommst du dein vergessenes Passwort nicht zugeschickt, sondern es wird dir ein zufälliges gesetzt und zugeschickt, dass dann geändert werden muss (soll). In dem Fall kennt der Provider selbst dein Passwort nicht.
 
R

rikman

Geocacher
:motz:
schliessdruide schrieb:
@los golf

was würde es dir bringen, wenn du das pw verschlüsselt bekommen würdest? ist doch bei allen anmeldeseiten so....... :???:

und wie sollte gs arbeiten, wenn sie den schlüssel nicht mal selbst haben....... :hilfe:

die pw-mail ist für mich alles andere als ein beweis :lachtot:
Zum Vergrößern anklicken....

1. Nein.

2. Es ist weithin Konsens, dass User-Passwords prinzipiell mindestens gehasht (besser vorher noch mit Salt versehen) gespeichert werden duerfen, wenn man wenigstens die Mindeststandards von Security befolgen moechte. Ein gespeicherter salted Hash ist defacto nicht umkehrbar, sofern man die Sachen vernuenftig implementiert hat. Ein Diensteanbieter wird dein eingebenes Password beim Login einfach wieder hashen und kann dich authentifizieren, indem er einfach den errechneten mit dem gespeicherten Hash vergleicht. Dass Klartext-Password wird also nur im Moment des Logins benoetigt, danach waehrend der gesamten Session nicht mehr.

3. Wenn dir ein Dienst dein Password im Klartext zuschickt, dann hat er es auch exakt so gespeichert. Das kann zu einem riesigen Problem fuer den Anbieter werden. Datenbanken kommen abhanden. Das war immer so und das wird immer so bleiben.
 
R

rikman

Geocacher
schliessdruide schrieb:
wie gut, das niemand mit asymmetrischen schlüsseln arbeitet.......

pgp kennt dann wohl auch keiner........
Zum Vergrößern anklicken....

Soll der Webmaster jedesmal sein GPG-Mantra eingeben, wenn sich jemand einloggt? ;)

Wenn du den Private Key ohne Mantra auf dem Server ablegst, kannst du auch gleich Plaintext speichern.
 
Teddy-Teufel

Teddy-Teufel

Geoguru
los golfos de berlin schrieb:
... als das die meisten Menschen wohl nur ein oder zwei Passwörter für alle ihre Accounts haben.
Wenn nun denen jemand die Datenbank klaut, braucht der nicht mal die Passwörter zurückrechnen, um bei Ebay und Amazon shoppen zu gehen.
Zum Vergrößern anklicken....
:irre: Ich habe für alle Seiten, wo man ein Passwort braucht, verschiedene Passwörter und das sind schon eine ganze Menge. Bis jetzt bin ich auch noch nicht zu alt um mir die Dinger zu merken. Auf meinen PC's oder sonstwo werde ich auch niemals ein Passwort speichern.
Bei einer bestimmten Anwendung wird sogar automatisch jeden Tag ein neues PW generiert, da muß ich selbst schon mal überlegen, wie denn da meine Gedankengänge waren, nach dreimal falsch wird dort nämlich die ganze Datenbank gelöscht. :p

Übrigens, für alle die Schwierigkeiten bei der PIN-Eingabe am Bankautomat haben:
Die Ziffern beim Eintippen laut vor sich her sagen, soll helfen. :lachtot:
 
D

Die Schatzjäger

Geomaster
Kurzum:

gc.com schickt mir mein Passwort unverschlüsselt per Mail, das bedeutet
a) Sie können es im Klartext erzeugen, das will ich als User nicht, weil ich für andere Seiten eventuell das gleiche Passwort verwende, und
b) Das Passwort wird im Klartext per Mail verschickt. Das ist in etwa so öffentlich, als wenn ich es auf eine Postkarte schreiben würd, die Mail kann theoretisch jeder lesen (einzig und alleine die Masse an Mails verhindert das meißt ...)

Mir doch eigentlich völlig Wuppe mit welchen Mitteln die ihre Passwörter speichern und verwalten, aber ich möchte weder a, noch b haben.

Das sind einfach erhebliche Sicherheitsrisiken.

Thomas
 
B

bsterix

Geowizard
rikman schrieb:
...

3. Wenn dir ein Dienst dein Password im Klartext zuschickt, dann hat er es auch exakt so gespeichert. Das kann zu einem riesigen Problem fuer den Anbieter werden. Datenbanken kommen abhanden. Das war immer so und das wird immer so bleiben.
Zum Vergrößern anklicken....

Was ist das für eine unsinnige Schlussfolgerung???
Analog könnte oich schliesen:
Die dateisystemverschlüsselung unter Windows (oder wo auch immer) arbeitet nicht korrekt. Die Datei die ich auf einem Verschlüsselten Volume ablege sieht nach dem Öfnnen noch genau gleich aus, wie vor dem Speichern. Also MUSS sie unverschlüsselt auf der Platte liegen :hilfe:
Wie kannst du erkennen, dass die PW bei GC.com nicht verschlüsselt gespeichert sind, und erst bei bedarf (PW-Mail z.B.) entschlüsselt werden?

ich geb dir schon recht, dass normalerweise das PW nur als Hash gespeichert werden sollte, und der Anbieter der Klartext des PW besser garnicht kennen sollte. Aber zu schliesen, dass die dort unverschlüsselt gespeichert sind, kann ICH z.Z. noch nicht.
 
schliessdruide

schliessdruide

Geocacher
es gibt nicht den gc-server - es ist eine serverfarm......

nicht immer von einfacher opensourcesoftware und userservern auf komplexe websysteme schliessen......

@bsterix ;)

p.s.
einfache verschlüsselung bietet ja sogar schon php..........
 
R

rikman

Geocacher
bsterix schrieb:
rikman schrieb:
...

3. Wenn dir ein Dienst dein Password im Klartext zuschickt, dann hat er es auch exakt so gespeichert. Das kann zu einem riesigen Problem fuer den Anbieter werden. Datenbanken kommen abhanden. Das war immer so und das wird immer so bleiben.
Zum Vergrößern anklicken....

Was ist das für eine unsinnige Schlussfolgerung???
Zum Vergrößern anklicken....

Was ist daran bitte unsinnig?

Wie kannst du erkennen, dass die PW bei GC.com nicht verschlüsselt gespeichert sind, und erst bei bedarf (PW-Mail z.B.) entschlüsselt werden?
Zum Vergrößern anklicken....

Ganz einfach: Ich halte es fuer abwegig, dass bei jedem Password-Reset-Request ein Admin den Schluessel zum Decrypten der verschluesselten Passwords freischaltet. Anders kannst du es nicht halbwegs sicher implementieren.
 
Teddy-Teufel

Teddy-Teufel

Geoguru
Die Schatzjäger schrieb:
Kurzum:

gc.com schickt mir mein Passwort unverschlüsselt per Mail, ...
Zum Vergrößern anklicken....

Thomas, was ist los? Wenn ich ein Passwort zugewiesen bekomme, dann ändere ich es sofort. Das eigentliche Problem, welches hier rauskommt ist doch bloß, daß viele Leute sich nicht ihre eigenen Passwörter merken können. Ich gebe zu, irgendwo tief versteckt habe ich auch meine Liste, schon allein, wenn mal was böses passiert, sollen dann meine Frau oder Kinder nicht wie blöd dastehen. Jeder weiß ja auch eigentlich, daß Geburtstage, Haustiernamen oder gar die von einer Freundin viel zu unsicher sind, gemacht wird es aber dennoch. Dann sind da noch die Leute, die aus reiner Faulheit ihre Passwörter auf ihrem PC speichern und dann sagen, wer soll hier schon rangehen, ich sitze immer allein davor. Ist es denn so kompliziert sich ein Prinzip zu zulegen, wo man Ziffern und Buchstaben in Groß- und Kleinschreibweise zu verschiedenen Passwörtern zusammenstellt ohne sie wieder zu vergessen?

Ausserdem sollte man zu gegebener Zeit seine Passwörter ändern.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben