Zurück   klamm-Forum > klamm.de > klamm talk

Like Tree1Likes

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 19.05.2014, 15:56:00   #1 (permalink)
PrimusMarkt.de
Benutzerbild von noname86

ID: 148412
Lose-Remote

Reg: 25.04.2006
Beiträge: 3.239
Standard Verschlüsselte Passwort-Speicherung bei Klamm

Ich habe es schon so oft mir gedacht, aber diesmal auch ein Thread...

Warum werden die Passwörter bei klamm.de nicht verschlüsselt gespeichert?

(man erkennt es ja daran, dass das PW bei PW-Vergessen wieder versendet wird)
Im Übrigen kam in der letzten EF-News (mit der Verifikation) auch der EF-Login im Klartext mit.

Selbstverständlich habe ich unique pw bei klamm und im Email Account, dennoch ist eine verschlüsselte PW Speicherung seit Jahren Standard und sollte auch bei klamm.de so gemacht werden! Zudem sollten PW nicht unaufgefordert in einem Newsletter mitgeteilt werden!
♥ PrimusGames.de ♥
9 exklusive Games mit Klammlosen zocken viele Rallies
95% Quote garantiert  100% cachefree  99% Ausschüttung

Geändert von noname86 (20.05.2014 um 08:40:03 Uhr)
noname86 ist offline   Mit Zitat antworten
Alt 19.05.2014, 16:02:33   #2 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Zitat:
Zitat von noname86 Beitrag anzeigen
Warum werden die Passwörter bei klamm.de nicht verschlüsselt gespeichert?
Sie werden verschlüsselt gespeichert.
Aber eben 2-way, d.h. mit dem Schlüssel entschlüsselbar.
Daher können sie auch wieder versendet werden.

Zitat:
Im Übrigen kam in der letzten EF-News (mit der Verifikation) auch das PW im Klartext mit.
Das stimmt nicht.
In Newslettern stehen keine Passwörter drin.
Da stand lediglich Dein EF-Login/ID.
 
klamm ist offline   Mit Zitat antworten
Alt 19.05.2014, 16:40:00   #3 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Ist aber nicht standart das man nicht entschlüsseln kann? Durch nutzung von Verschl. Die nicht rückkehrbar sind wie md5 etc.? Und durch nutzung von Salt!?
Bububoomt ist offline   Mit Zitat antworten
Alt 19.05.2014, 16:56:17   #4 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

MD5 und so sind keine Verschlüsselungen, sondern Hash-Methoden. Bei ersterem kann man einfach den Originaltext wieder entschlüsseln, bei letzterem nicht.

Die Frage wäre also höchstens "wieso werden Passwörter nicht gehasht"…
 
DelphiKing ist offline   Mit Zitat antworten
Alt 19.05.2014, 16:57:37   #5 (permalink)
Erfahrener Benutzer
Benutzerbild von M3Y3R

ID: 336361
Lose-Remote

Reg: 08.05.2006
Beiträge: 1.610
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Daher können sie auch wieder versendet werden.
Hmmm... ein sehr heikles Thema!

@Lukas:
Wie unterbindest du denn "Man-in-the-Middle"-Angriffe?
Beispielsweise dann, wenn ich mein Passwort anfordere und es im Klartext an mich gesendet wird, könnte sich sofern jemand die E-Mail abgreift sich dieser mit meinen Daten einloggen....

:
Ich denke sicherer wird es nur, wenn man eine Art "Sicherheitsabfrage" im Profil hinterlegen kann, welche dann beantwortet werden muss, sofern das Passwort neu angefordert wird. Ich stelle mir das so vor, dass dann einfach ein Hash generiert wird, welcher eine gültigkeit von 5 Minuten hat. Über eine Unterseite muss dann die Sicherheitsabfrage beantwortet werden und NUR wenn diese richtig ist, kann der User ein neues Passwort vergeben...

Mir ist klar, dass es keine 100%ige Sicherheit geben wird, aber diese Variante halte ich dennoch für sicher. Zudem kann so, dass Passwort verschlüsselt und mit einem eigenen Salt-Wert in der Datenbank abgespeichert werden.
 
M3Y3R ist offline   Mit Zitat antworten
Alt 19.05.2014, 17:08:27   #6 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Zitat:
Zitat von DelphiKing Beitrag anzeigen
MD5 und so sind keine Verschlüsselungen, sondern Hash-Methoden. Bei ersterem kann man einfach den Originaltext wieder entschlüsseln, bei letzterem nicht.

Die Frage wäre also höchstens "wieso werden Passwörter nicht gehasht"…
Wollte nicht Fachsimpeln und es so schreiben, dass es auch jeder versteht, oder meinst jeder weiß was hashen ist?
Bububoomt ist offline   Mit Zitat antworten
Alt 19.05.2014, 17:28:21   #7 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Natürlich könnte man auch one-way verschlüsseln. Dann verliert man halt das Feature, sich das PW zusenden lassen zu können, ohne dass ein Neues fällig wird.

Zum Thema Sicherheitsfrage:
Wann willst Du die stellen? Im Prinzip müsste das beim Login geschehen.
Weil wenn jemand schon drin ist, kann er Dein Konto auch einfach löschen etc.

Ich dachte da eher an (optional) 2-stufiges Einloggen via SMS-Tan. Also immer wenn von einem neuen Gerät aus eingeloggt wird, bekommt man eine TAN auf sein Handy. Danach wird dieses Gerät als "vetrauenswürdig" gespeichert - so wie es Google z.B. auch macht.

Zum Email-Abfangen:
Wer Deine Emails abfangen kann, der hat sowieso Zugriff auf alles. Er kann sich neue PW damit machen, Dein Konto löschen - alles. Und nicht nur hier, sondern überall wo Du das Email-Konto verwendest. Das Email-Konto ist somit als höchstes Instanz zu sehen und entsprechend abzusichern.
 
klamm ist offline   Mit Zitat antworten
Alt 19.05.2014, 17:30:31   #8 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Angabe von zwei Emailadressen!? Nur mit beiden kann das PW angefordert/geändert werden
Bububoomt ist offline   Mit Zitat antworten
Alt 19.05.2014, 17:40:34   #9 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Und danach? 3,4,5 Email-Konten?
Sinnvoller wäre meiner Meinung nach ein Internet/Computer/-unabhängiges Verfahren.

Daher die Idee mit dem Handy.
Dann kann nämlich noch so viel infiziert sein und abgefangen werden.
Das Gerät hast nur Du hardwaremäßig bei Dir.
 
klamm ist offline   Mit Zitat antworten
Alt 19.05.2014, 18:03:28   #10 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

vor gut 10 Jahren hätte ich das auch noch gesagt, aber heute nicht mehr, finde es auch bedenklich das banken sagen Onlinebanking darf man nicht vom selben Gerät machen wo man die SMS Emprängt (also du drafst nicht vom Handyüberweisen wo du auch die SMS bekommst), aber man schließt nicht gleich mit aus, das das gerät auch nicht im gleichen Netzwerk sein darf...

lange Rede kurzer Sinn, heute sind auch oft genug Smartphones befallen Dann schon eher Anruf auf dem Festnetz der einen Code durch gibt
Bububoomt ist offline   Mit Zitat antworten
Alt 19.05.2014, 18:42:17   #11 (permalink)
Erfahrener Benutzer
Benutzerbild von M3Y3R

ID: 336361
Lose-Remote

Reg: 08.05.2006
Beiträge: 1.610
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Zum Thema Sicherheitsfrage:
Wann willst Du die stellen?
Nur wenn ein neues Passwort angefordert wird. Dann sollte die Abfrage beantwortet werden. Sofern diese richtig ist, wird ein neues PW generiert und an die E-Mailadresse geschickt oder man kann direkt ein eigenes wählen.

Zitat:
Zitat von klamm Beitrag anzeigen
Ich dachte da eher an (optional) 2-stufiges Einloggen via SMS-Tan.
Es geht hier ja nicht um das einloggen selbst, sondern um die Speicherung des Passwortes und das damit verbundene Anfordern eines neuen Passworts...

Zitat:
Zitat von klamm Beitrag anzeigen
Also immer wenn von einem neuen Gerät aus eingeloggt wird, bekommt man eine TAN auf sein Handy. Danach wird dieses Gerät als "vetrauenswürdig" gespeichert - so wie es Google z.B. auch macht.
Klingt natürlich auch nicht schlecht, setzt aber vorraus, dass die Handynummer als Pflichtangabe im Profil hinterlegt wird und diese auch aktuell gehalten wird. Denke es wird einige User geben, welche keine aktuelle Handynummer hinterlegt haben oder einfach eine "falsche/andere" Handynummer eintragen. Zudem gibt es ja auch Dienste, welche die SMS empfangen können... Wie willst du denn damit umgehen?

Zitat:
Zitat von klamm Beitrag anzeigen
Zum Email-Abfangen:
Wer Deine Emails abfangen kann, der hat sowieso Zugriff auf alles.
Das ist nicht richtig, denn er steht zwar in der Mitte (also zwischen dem Dienst und mir) hat aber keinen direkten Zugriff auf mein E-Mail-Postfach. Ich lasse mich aber gerne eines besseren belehren...
 
M3Y3R ist offline   Mit Zitat antworten
Alt 19.05.2014, 18:52:38   #12 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Zitat:
Zitat von M3Y3R Beitrag anzeigen
Nur wenn ein neues Passwort angefordert wird. Dann sollte die Abfrage beantwortet werden. Sofern diese richtig ist, wird ein neues PW generiert und an die E-Mailadresse geschickt oder man kann direkt ein eigenes wählen.
Ah, jetzt weiß ich wie Du meinst. Dann geht aber das neue PW wieder auf Reisen - zu der Email - und kann Deiner Theorie nach genauso abgefangen werden wie das normale Erinnerungs-PW. Einziger Unterschied: Der Hacker kann den Versand nicht triggern.

Dennoch würde ich die ganzen Sicherheitsmechanismen aufs Einloggen konzentrieren. Es wäre ja auch denkbar, dass die Sicherheitsfrage analog zu meinem Handy-Vorschlag immer dann kommt, wenn man sich von einem neuen Browser/Gerät aus anmeldet.

Zitat:
dass die Handynummer als Pflichtangabe im Profil hinterlegt wird und diese auch aktuell gehalten wird
Ja ok, das wäre ja ein optionales Feature. Und wer so auf Sicherheit bedacht ist, der muss (und wird) dann auch dafür sorgen, dass die Nummer immer aktuell ist. Eine Fake-Nummer eintragen kann der Hacker ja nur, wenn er schon im Account drin ist, was das ganze obsolet macht.

Zitat:
denn er steht zwar in der Mitte (also zwischen dem Dienst und mir) hat aber keinen direkten Zugriff auf mein E-Mail-Postfach.
Schon klar, aber das bedeutet, dass entweder klamm oder Dein Email-Provider irgendeine Angriffsfläche dafür bietet. Unsere Server kommunizieren ja direkt miteinander. Und irgendeinem Dienst musst Du letzten Endes doch vertrauen.
 
klamm ist offline   Mit Zitat antworten
Alt 19.05.2014, 19:30:38   #13 (permalink)
Erfahrener Benutzer
Benutzerbild von M3Y3R

ID: 336361
Lose-Remote

Reg: 08.05.2006
Beiträge: 1.610
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Dann geht aber das neue PW wieder auf Reisen.
Dies würde nur geschehen, wenn das neue Passwort automatisch generiert wird. Wenn der Benutzer selbst eines wählen kann, würde kein neues PW versendet werden Die Gefahr ist natürlich groß, dass der Hacker auch hier die Sicherheitsabfrage beantworten kann. Erst recht, wenn diese zu einfach gestaltet bzw. auch beantwortet wurde oder gar mehrfach auf unterschiedlichen Seiten verwendet wurden...

Zitat:
Zitat von klamm Beitrag anzeigen
Dennoch würde ich die ganzen Sicherheitsmechanismen aufs Einloggen konzentrieren.
Ist wahrscheinlich auch das sicherste... Sofern man sich von einem neuen Gerät einloggt, TAN-SMS an Handynummer... Wie aber trackst du, ob man sich vom selben Gerät einloggt oder ob es ein neues Gerät ist. An Hand der IP dürfte dies doch nicht gehen, da sich diese ja auch ändern kann...

Zitat:
Zitat von klamm Beitrag anzeigen
Eine Fake-Nummer eintragen kann der Hacker ja nur, wenn er schon im Account drin ist.
Die Fake-Nummer bezog sich auch nicht direkt aufs Hacken, sondern wolle damit eigentlich nur sagen, dass es evtl. User gibt, die hier solche Dienste nutzen. Ein Beispiel ist hier smskaufen.de.

Zitat:
Zitat von klamm Beitrag anzeigen
Schon klar, aber das bedeutet, dass entweder klamm oder Dein Email-Provider irgendeine Angriffsfläche dafür bietet. Unsere Server kommunizieren ja direkt miteinander.
Das ist teilweise richtig, die beiden Server kommunizieren zwar miteinander, jedoch müssen sie ja auch Daten austauschen. Die Daten gehen dann über mehrere verschiedene Hops zum Empfänger, welcher die Daten dann auswertet. Irgendwo dazwischen könnte ja nun der Man in the Middle sein. Dies würde bedeuten, das weder Klamm, noch der E-Mail-Provider eine Angriffsfläche geboten hat (oder irre ich mich da?)...

Zitat:
Zitat von klamm Beitrag anzeigen
Und irgendeinem Dienst musst Du letzten Endes doch vertrauen.
Letztend Endes muss man beiden vertrauen
 
M3Y3R ist offline   Mit Zitat antworten
Alt 19.05.2014, 19:48:27   #14 (permalink)
Neuer Benutzer

ID: 255290
Lose-Remote

Reg: 02.09.2006
Beiträge: 1
Standard Passwortverschlüsselungen

Guten Tag zusammen - Leute, ich meine schon dass unsere Passwörter sicher sein sollen und dies auch im Rahmen des zu gewährleistenden Personendatenschutzes - NUR, wenn ich in eine Community mich einlogge, verwechsle ich dies nicht mit meinem Bankaccount - oder? Letztlich verursachen hochsichere Systeme dementsprechende Kosten - halten wir diese wenigstens hier so gering wie möglich. Danke
 
masu112 ist offline   Mit Zitat antworten
Alt 19.05.2014, 20:24:46   #15 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Natürlich könnte man auch one-way verschlüsseln. Dann verliert man halt das Feature, sich das PW zusenden lassen zu können, ohne dass ein Neues fällig wird.
Das is aber Standard heutzutage. Passwort liegt gesalzen und gehasht in der Datenbank. Da komm ich als Benutzer nicht ran, der Admin kommt nicht ran und - noch wichtiger - der Cracker, der die Datenbank runtergeladen hat. Damit haben die Leute zwar andere Sorgen, aber somit sind wenigstens andere Accounts, die das selbe Passwort nutzen () nicht zusätzlich kompromitiert.

Anders betrachtet: Hab ich mein Passwort vergessen, so ists doch eh egal, ob ich das alte (was ich eh nimmer weiß ) wiederkrieg oder ein neues
Zitat:
Zitat von M3Y3R Beitrag anzeigen
Ich denke sicherer wird es nur, wenn man eine Art "Sicherheitsabfrage" im Profil hinterlegen kann, welche dann beantwortet werden muss, sofern das Passwort neu angefordert wird.
Vorsicht vor diesen Sicherheitsabfragen. Ich hab mal n Artikel gelesen (sry, Link nicht mehr zu Hand), dass diese Dinger viel mehr Schaden anrichten, als sie nützen (sollen).

Die meisten dieser Fragen kann ich beantworten, indem ich Tante Google frag oder heutzutage noch besser im Gesichtsbuch aufpass. Alle privaten Sachen, die früher mal privat waren und in solchen Fragen verwendet werden, sind doch längst nicht mehr privat.
Bei den meisten Webseiten, die dieses Feature benutzen, gibts auch nur <10 fix vorgegebene Fragen.

Ich z.B. hab mir hier angewöhnt, das Feld einfach als ein Sekundärpasswort-Feld zu missbrauchen. Mein erstes Haustier hieß "\»<|µU¥,ÖÛjÛ0=Q>hþöD!I%Öèj±VËƹ1".

Mein Vorschlag, wenn "Sicherheitsabfrage", dann auch so in dem Stil, dass es wie ein zweites Passwort zu handhaben is und nicht suggiert, man solle Klartext eingeben, der am besten noch bereits im Internet steht.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Verschlüsselte Seiten laden nicht mehr resoucer Software/Windows 3 03.08.2008 14:35:26
Klamm Passwort mmps Ich bin neu hier und habe eine Frage! 5 20.02.2007 13:23:10
Klamm-Passwort <-> Tresor-Passwort *abgelehnt* 27o8 Verbesserungsvorschläge 28 03.06.2006 07:50:39


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:18:55 Uhr.