Sicherheit des Forums / Umgang mit Passwörtern [erledigt]

  • Hi!


    Warum zur Hölle wird mir mein selbst generiertes PW das ich auch noch 2x eingegeben habe, damit es auch ja das Richtige ist, extra nochmal per eMail zugesendet? Schön im Klartext, unverschlüsselt...
    Sonderlich sicher ist das ja nicht... und noch dazu vollkommen unnötig.
    Ausserdem kennt somit das System irgendwann mal mein PW im Klartext, eigentlich sollte mein PW das System ja nur verschlüsselt erreichen.


    Grüße Daniel

  • Zunächst sei gesagt, dass es nicht meine Erfindung als Admin ist, dass das Passwort versendet wird. Es ist vielmehr eine Funktion des originalen Forensystems phpBB - aber auch andere Forensysteme machen dies bei der Registrierung.


    Das Passwort wird im Klartext zugesendet - korrekt. Dies dient eben den Anwendern (und die gibt es), die sich ihr Passwort nicht behalten können. Natürlich könnte sich jeder, der erst nachdenkt, sein Passwort sofort auch auf Papier oder sonst wo zuhause aufschreiben, damit man es nicht im Klartext durchs Internet schicken muss - aber auch das wäre sicher nicht immer der Fall.


    In der Datenbank des Forensystems wird nur der MD5-Hash des Passworts gespeichert - sonst nichts. Damit kann niemand auf das Passwort zurückschließen, auch wenn die DB gehackt wird.
    Wenn man möchte, kann man jederzeit nachträglich sein Passwort nochmals ändern - dabei wird es meines Wissens nicht nochmals per E-Mail zugesendet.


    Gruß
    Thunder

  • Also, vielleicht um mal keine Paranoia aufkommen zu lassen. Wahrlich wichtige und geheime Dinger sollten überhaupt nicht über allgemein öffentliche Foren laufen. Diese Foren sind als Spass, Zeitvertreib, einfache und schwierige Hilfestellungen konzipiert, aber nicht als Austausch von vertraulichen Daten. Wir sollten uns selbst wirklich nicht immer allzu wichtig nehmen.


    Unter diesem Gesichtspunkt sind viele Vorsichtsmassnahmen in vielen Foren bereits viel zu raffiniert, unnütz und eigentlich sinnlos.


    Unter dem Gesichtspunkt der Spamvermeidung brauchts allerdings gewisse Einschränkungen, sonst geht es wie in vielen Foren, die die meisten Teilnehmer verloren haben, weil sie der Spamflut nicht mehr Herr wurden.


    Und dass diese Passwörter ja praktisch nicht im Klartext abgespeichert werden, merkt man ja daran, dass bei der Anforderung eines neuen Passwortes bei den meisten Foren ein neues PW geliefert wird, das dann den eigenen Bedürfnissen angepasst werden kann.


    Ich habe in praktisch allen Foren den gleichen Nick und das gleiche Passwort. Wechseln tue ich bei den Bankkonti, bei den Steuer- und Mehrwert-Steuer-Behörden, bei PayPal, etc.


    Eigentlich immer dort, wo es ums Geld geht.

  • Zitat von "Kenny"


    Warum zur Hölle ...


    Hallo Daniel,


    calm down! :cool: Das Passwort ist jederzeit im *Persönlichen Bereich* unter
    Registrierungs-Details ändern neu wählbar!


    greetings ... Viktor

  • Jaja, das es eigentlich unwichtig ist was wir hier verzapfen is mir klar ;)
    Wäre auch sicherlich nicht sonderlich schlimm, wenn mal echt einer nen Zugang hier hackt..


    Aber es is halt einfach eigentlich unnötig des PW zu verschicken, wenn es sich jemand nich aufgeschrieben hat, was er da gerade selbst für ein PW eingegeben hat, dann soll er halt die 'PW vergessen' funktion nutzen, selbst schuld würd ich sagen.


    Zitat von "Thunder"

    Zunächst sei gesagt, dass es nicht meine Erfindung als Admin ist, dass das Passwort versendet wird. Es ist vielmehr eine Funktion des originalen Forensystems phpBB - aber auch andere Forensysteme machen dies bei der Registrierung.


    Das Passwort wird im Klartext zugesendet - korrekt...

    In der Datenbank des Forensystems wird nur der MD5-Hash des Passworts gespeichert - sonst nichts.


    Naja, wenn das das phpBB einfach so macht, dann sei dir verziehen ;)


    Aber wenn das System mir mein PW im Klartext zusendet, dann muss es es an irgendeiner Stelle mal kennen. Ob es dann nicht doch irgendwo geheim gespeichert wird, kann ich ja nicht überprüfen. Ich wollte damit ja auch nur sagen, dass es die Glaubwürdigkeit des Systems etwas herabsetzt.
    Aber keine Angst, ich kritisiere gern, und bin eigentlich gar nicht sooo verpienzt ;) Ausserdem kenn ich phpBB ja, und ich käme eigentlich gar nicht auf die Idee mir Sorgen zu machen, dass mein PW irgendwo im Klartext steht. Was würdest du auch damit wollen.

  • Zitat von "Kenny"

    Aber wenn das System mir mein PW im Klartext zusendet, dann muss es es an irgendeiner Stelle mal kennen.


    Als erstes schickst DU Dein Passwort im Klartext (da kein https hier auf der Website) quer durchs Internet an "meinen" Server, wo in der Tat Dein Passwort anfangs noch im Klartext verarbeitet wird - nur eben letztlich nicht in der DB gespeichert wird.


    Theoretisch, um das mal zu Ende zu spinnen, müsste also jeder User selbst zuhause den MD5-Hash errechnen lassen und den dann an "meine" DB senden. Womöglich benutzt er zum Erstellen des MD5-Hash dann aber ein Onine-Tool...

  • hihi, sorry das ich dich grad so viel Zeit koste ;)
    Ich hoffe du fandest es wenigstens auch etwas amüstant.


    Ich bin Informatik Student, und hab vor mich stark in richtung Security zu spezialisieren.
    Ich weiss also durchaus was hier vorgeht,...


    Es war einzig und allein der Denkanstoss warum man unbedingt eine Sicherheitslücke mehr schaffen muss, die ohne großen Aufwand zu beheben wäre.


    Schlimm ist das sicherlich nicht, die größere Bedrohung stellen ganz andere Angriffe dar.
    Du darfst den Thread also hier gerne zu machen.

  • Zitat von "Kenny"


    Ich bin Informatik Student, und hab vor mich stark in richtung Security zu spezialisieren.
    Ich weiss also durchaus was hier vorgeht,...


    :flehan: