Klamm-Passwort in Datenbank verschlüsseln

Soll das Klamm-Passwort in der Datenbank verschlüsselt werden?

  • Ja, unbedingt.

    Stimmen: 55 64,7%

  • Nein, braucht es nicht.

    Stimmen: 24 28,2%

  • Ist mir egal, ich kenn mich mit Datenbanken nicht so aus.

    Stimmen: 6 7,1%
  • Umfrageteilnehmer
    85
  • Umfrage geschlossen .
Drrichardfahrer schrieb:
Ja, davon hab ich eh auch gehört, aber ich hab widerum auch gehört, dass es trotzdem mehrere Jahrzehnte dauern soll bis die BruteForce-Attacke greift ;)
Zum Vergrößern anklicken....
Das ist bei SHA1 noch der Fall.
Wobei hier das Wort "knacken" eh fehl am Platz ist.
Es wird nämlich nur ein Text generiert der den selben Hash-Wert hat ...
daher auch Kollision und nicht Bruch. ;)
 
back4ever schrieb:
ist kein Witz frag mal mone nach deinem Losepasswort
dann weisst du es :ugly:
Zum Vergrößern anklicken....
Ausloggen und unterhalb der Login-Maske bei "Daten vergessen"
die eigene E-Mail-Adresse angeben, Button klicken, abwarten,
Mail lesen ... beweist das selbe - ohne Admin-Penetration. ;)


Edit: Ich hab des Rätsels Lösung für alle paranoiden unter euch:
OPIE (One-time Passwords In Everything) !!! :ugly:
klamm.de generiert nur noch Challenges und wir alle haben schicke
blaue klamm.de-Passwortgeneratoren in den Taschen. :biggrin:
 
No5251 schrieb:
Ausloggen und unterhalb der Login-Maske bei "Daten vergessen"
die eigene E-Mail-Adresse angeben, Button klicken, abwarten,
Mail lesen ... beweist das selbe - ohne Admin-Penetration. ;)
Zum Vergrößern anklicken....

genau das stimmt
ich sagte das aber aus dem Grund
weil ich vorgestern nicht zu hause war
und mal meine daten im ICQ brauchte
problemlos und schnell
 
Hinweis noch zu den Banken und die Speicherung bei denen.

Es gibt einige, die lassen Passwörter länger 6 Zeichen zu, schneiden diese aber dann auf 6 Zeichen. Sprich Kunden wählt sein sichers Passwort "erfg12()--32dc" beim einloggen würde ich aber auch "erfg12" reichen.

Ich werde hier jetzt keine Banken nennen, bei denen es der Fall ist (auch nicht auf Anfrage), aber es ist bei einigen ganz großen der Fall.

Grüßle
Stefan
 
Ach Leute, warum brauchen wir denn jetzt zwei Threads zu diesem Hickhack?

Lukas wird sich so oder so nicht von irgendeiner Umfrage beeinflussen lassen. Er hat diese Seite aufgebaut und entscheidet auch wie damit zu verfahren ist. Es ist ja schließlich nicht so, dass hier jeder Noob sämtliche Passwörter sehen kann. :roll:
Man kann die Sache auch wirklich dramatisieren.
 
atwo schrieb:
Wenn eine Seite mit 250.000 Mitgliedern die Passwörter nicht verschlüsselt und man scheinbar doch Zugriff hat, dann kann man das Thema gar nicht ernst genug nehmen.
Zum Vergrößern anklicken....
man hat keinen zugriff.
manman ...

bis heute mittag hatte man auch "zugriff" auf alle VB boards durch eine neu entdeckte sicherheitslücke. die wurde eben geschlossen ... hat auch keiner gemeckert.
 
atwo schrieb:
Wenn eine Seite mit 250.000 Mitgliedern die Passwörter nicht verschlüsselt und man scheinbar doch Zugriff hat, dann kann man das Thema gar nicht ernst genug nehmen.
Zum Vergrößern anklicken....

doch .. wenn die seite 250.001 mitglieder hätte.. müsste man es nochmal um 1/250.000 (ein zweihundertfünfzigtausendstel) ernster nehmen :ugly:

ich versteh gar nich, wieso es immer noch leute, gibt die lukas vorgehensweise hier verteidigen.. wenn man ein wenig coden kann und sich mit sicherheit von scripten beschäftigt hat, dann sollte man wissen, das das nen no-go ist..( also das unverschlüsselte speichern).. es sei mal dahingestellt, ob mans jetzt trotzdem knacken kann oder nich.. sogesehen wirds nie sicher sein.. ich bin mir sicher, wenn ich jetzt einen neuen Verschlüsselngsmechanismus entwickle, wird der in 100 jahren spätestens auch geknackt sein :LOL:

LG


edit : sry witti hatte was gegen meine kommentare :(
 
Zuletzt bearbeitet:
klamm schrieb:
man hat keinen zugriff.
manman ...

bis heute mittag hatte man auch "zugriff" auf alle VB boards durch eine neu entdeckte sicherheitslücke. die wurde eben geschlossen ... hat auch keiner gemeckert.
Zum Vergrößern anklicken....
Laut des anderen Threads ja schon, und ehrlich gesagt erwarte ich von so einem großen Portal schon, dass gewisse Sicherheitsaspekte eingehalten werden. Für Sicherheitslücken im Forum kannst du ja nichts und davon rede ich auch gar nicht.

@ Renommeeheini: Doch, hab ich xD
 
No5251 schrieb:
und wir alle haben schicke
blaue klamm.de-Passwortgeneratoren in den Taschen. :biggrin:
Zum Vergrößern anklicken....
Da gibt es schönere tokenbasierte Lösungen, aber die sind dann schweineteuer. So ein nettes Ding von RSA macht viel mehr her ;)

Zum Thema verschlüsselte Passwörter:
Dann gibt es garantiert einen Deppen, der eine Loseseite eröffnet, somit die IDs und Emailadressen besitzt und dann lustig den Leuten neue Passwörter zuschickt. Und ich wäre arg begeistert, wenn ich mal ausm Urlaub zurückkomme und ich habe zu dem Thema 300 Emails.
Und die Form, wo in der Email nur ein kurzfristig gültiger Link enthalten ist, mit dem man sich ein neues PW generieren kann, die ist von vielen Internetusern nicht gerne gesehen.

anddie
 
back4ever schrieb:
nicht auszudenken wenn ein Hacker sich dort mal Zugriff verschafft
das kann dann verdammt teuer werden.
Zum Vergrößern anklicken....
Definiere "dort" ... wer Zugang zur Datenbank bekommt, hat damit Zugang zu allen Daten, inklusive Realname, Adresse, Bankdaten (sofern man schon ausgezahlt hat), SMS-Kontakte etc.

Was hackt ihr bloß alle auf dem Passwort rum :hö: ? Wenn ich Zugang zur DB habe, interessieren mich die PWs höchstens nur deshalb, weil genügend User Universalpassworte benutzen. Das liegt dann aber an der Blödheit der User, die sowas machen und deshalb "gehackt" werden.

Insgesamt wären die vorher genannten Daten (Name, Adresse, ...) viel spannender, und die kann (sollte :roll: ) man möglichst nicht verschlüsseln.
 
Mone schrieb:
Was hackt hier bloß alle auf dem Passwort rum :hö: ? Wenn ich Zugang zu einer DB habe, interessieren mich die PWs höchstens nur deshalb, weil genügend User Universalpassworte benutzen. Das liegt dann aber an der Blödheit der User, die sowas machen und deshalb "gehackt" werden.
Zum Vergrößern anklicken....

ich würde eher sagen.. der betreiber sollte so viel wir möglich daten seiner user versuchen zu schützen..
alle verstehen hier ja auch, das man name usw nich verschlüsseln kann.. deswegen schreibt ja auch keiner was dazu :ugly:

aber: ein passwort kann man verschlüsseln.. und für den User ist es doch gleichzeitig wenigstens eine kleine sicherheit mehr.. besonders wenn der user universalpws nutzt,...

ps: ich nutze für klamm und klamm forum ein anderen pw also für sämtliche lose seiten.. und wiederum ein anderes für mail acc und wiederum ein anderes für icq.. und wiederum ein anderes für pc und wiederumein anderes für laptop und wiederum ein anders für logins zu datenbanken und wiederum ein anderes für confixx usw..
LG
 
Hm.. eine Entschlüsselung sollte es bei Einweg-Verschlüsselung afaik nicht geben. Aber es gibt halt so tolle Dinge wie Rainbow-Tables (wurde hier oder "drüben" schon mal erwähnt) wo mittlerweile mit Sicherheit sämtliche Passwörter drin sind. Und wenn nicht gibt's immer noch einen großen Teil mit dem das prima funktionieren wird.

Edit: argh.. das sollte eine Antwort sein.. dooferweise hat's bei mir grad immer nur die erste Seite geladen. -__-

Drrichardfahrer schrieb:
OK, ich kenn mich da auch net wirklich aus, aber kann man zur Zeit MD5 schon erfolgreich zu 100% entschlüsseln (und zwar in absehbarer Zeit)??
Zum Vergrößern anklicken....
 
happymaster schrieb:
Hm.. eine Entschlüsselung sollte es bei Einweg-Verschlüsselung afaik nicht geben. Aber es gibt halt so tolle Dinge wie Rainbow-Tables (wurde hier oder "drüben" schon mal erwähnt) wo mittlerweile mit Sicherheit sämtliche Passwörter drin sind. Und wenn nicht gibt's immer noch einen großen Teil mit dem das prima funktionieren wird.
Zum Vergrößern anklicken....

Dann macht man einfach md5(sha(crc32(md5($pw)))) :ugly:
 
Dass viele hier gar nicht merken, was sie für einen Kinderzirkus veranstalten :roll:

Ich hab für "Nein, braucht es nicht." gestimmt.

Die Sicherheitslücken (man beachte, es waren 2 - in Worten: zwei - Stück, die sofort geschlossen wurden) sind hier nur der sinnlose Aufhänger. Wenn wirklich einer DB-Zugriff hat, wird er wohl keine Plaintext-Passwörter ausspionieren, wenn er eh an alle Account-Daten kann. Warum EF-Passwort klauen, wenn ich die Lose einfach gutschreiben kann ? :ugly:
Naja, das Thema is ja jetzt eh gegessen.

Plaintext macht man nicht ? Wieso ?
Stellt euch doch mal die Frage, wie viele von allen jemals gehackten klamm-Accounts durch ein, aus der DB ausspioniertes Plaintext-Passwort, durch Dritte benutzt wurden.
Ich behaupte mal, es war kein einziger 8)

Die größste Sicherheitslücke ist nunmal der Mensch, der vor der Kiste hockt und auf x verschiedenen Seiten dasselbe Passwort angibt. Nicht: Dass das Passwort irgendwo in einer Datenbank unverschlüsselt abgespeichert is.

P.S.
Zum Thema Passwort und Account-Sicherheit mal wieder der alte Link auf das Wort zum Sonntag ;-)
https://www.klamm.de/forum/showthread.php?t=31542
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Olli
    • Like
    • Haha
25 Jahre Klamm
2
Antworten
20
Aufrufe
2K
dalewilson
dalewilson
theHacker
Wie viel Zeit verbringt ihr täglich auf klamm.de?
Antworten
7
Aufrufe
2K
domino
domino
Konnan
Klamm.de 2.0: Die Wiederbelebung unserer Digitalwährung auf der Binance Smart Chain
Antworten
0
Aufrufe
2K
Konnan
Konnan
marc
klamm.de/down
Antworten
8
Aufrufe
2K
marc
marc
klamm
    • Like
  • Gesperrt
  • Angeheftet
klamm.de Newsletter
Antworten
3
Aufrufe
5K
klamm
klamm
Zurück
Oben