Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Umfrageergebnis anzeigen: Soll das Klamm-Passwort in der Datenbank verschlüsselt werden?
Ja, unbedingt. 55 64,71%
Nein, braucht es nicht. 24 28,24%
Ist mir egal, ich kenn mich mit Datenbanken nicht so aus. 6 7,06%
Teilnehmer: 85. Sie dürfen bei dieser Umfrage nicht abstimmen

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 15.05.2007, 22:33:14   #31 (permalink)
notorisch abwesend
Benutzerbild von atwo

ID: 195558
Lose-Remote
Abwesend

atwo eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 2.427
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
man hat keinen zugriff.
manman ...

bis heute mittag hatte man auch "zugriff" auf alle VB boards durch eine neu entdeckte sicherheitslücke. die wurde eben geschlossen ... hat auch keiner gemeckert.
Laut des anderen Threads ja schon, und ehrlich gesagt erwarte ich von so einem großen Portal schon, dass gewisse Sicherheitsaspekte eingehalten werden. Für Sicherheitslücken im Forum kannst du ja nichts und davon rede ich auch gar nicht.

@ Renommeeheini: Doch, hab ich xD

Bist du auch bei twitter?
atwo ist offline   Mit Zitat antworten
Alt 15.05.2007, 22:38:03   #32 (permalink)
Erfahrener Benutzer
Benutzerbild von anddie

ID: 171
Lose-Remote

Reg: 03.05.2006
Beiträge: 1.914
Standard

Zitat:
Zitat von No5251 Beitrag anzeigen
und wir alle haben schicke
blaue klamm.de-Passwortgeneratoren in den Taschen.
Da gibt es schönere tokenbasierte Lösungen, aber die sind dann schweineteuer. So ein nettes Ding von RSA macht viel mehr her

Zum Thema verschlüsselte Passwörter:
Dann gibt es garantiert einen Deppen, der eine Loseseite eröffnet, somit die IDs und Emailadressen besitzt und dann lustig den Leuten neue Passwörter zuschickt. Und ich wäre arg begeistert, wenn ich mal ausm Urlaub zurückkomme und ich habe zu dem Thema 300 Emails.
Und die Form, wo in der Email nur ein kurzfristig gültiger Link enthalten ist, mit dem man sich ein neues PW generieren kann, die ist von vielen Internetusern nicht gerne gesehen.

anddie
Jeder schließt von sich auf andere und berücksichtigt nicht, dass es auch noch anständige Menschen gibt (Heinrich Zille)
anddie ist offline   Mit Zitat antworten
Alt 15.05.2007, 22:38:12   #33 (permalink)
Administratorin
Benutzerbild von Mone

ID: 969
Lose-Remote

Reg: 20.04.2006
Beiträge: 26.545
Standard

Zitat:
Zitat von back4ever Beitrag anzeigen
nicht auszudenken wenn ein Hacker sich dort mal Zugriff verschafft
das kann dann verdammt teuer werden.
Definiere "dort" ... wer Zugang zur Datenbank bekommt, hat damit Zugang zu allen Daten, inklusive Realname, Adresse, Bankdaten (sofern man schon ausgezahlt hat), SMS-Kontakte etc.

Was hackt ihr bloß alle auf dem Passwort rum ? Wenn ich Zugang zur DB habe, interessieren mich die PWs höchstens nur deshalb, weil genügend User Universalpassworte benutzen. Das liegt dann aber an der Blödheit der User, die sowas machen und deshalb "gehackt" werden.

Insgesamt wären die vorher genannten Daten (Name, Adresse, ...) viel spannender, und die kann (sollte ) man möglichst nicht verschlüsseln.
.
Mone ist offline   Mit Zitat antworten
Alt 15.05.2007, 22:43:28   #34 (permalink)
abgemeldet

Reg: 02.07.2006
Beiträge: 6.522
Standard

Zitat:
Zitat von Mone Beitrag anzeigen

Was hackt hier bloß alle auf dem Passwort rum ? Wenn ich Zugang zu einer DB habe, interessieren mich die PWs höchstens nur deshalb, weil genügend User Universalpassworte benutzen. Das liegt dann aber an der Blödheit der User, die sowas machen und deshalb "gehackt" werden.
ich würde eher sagen.. der betreiber sollte so viel wir möglich daten seiner user versuchen zu schützen..
alle verstehen hier ja auch, das man name usw nich verschlüsseln kann.. deswegen schreibt ja auch keiner was dazu

aber: ein passwort kann man verschlüsseln.. und für den User ist es doch gleichzeitig wenigstens eine kleine sicherheit mehr.. besonders wenn der user universalpws nutzt,...

ps: ich nutze für klamm und klamm forum ein anderen pw also für sämtliche lose seiten.. und wiederum ein anderes für mail acc und wiederum ein anderes für icq.. und wiederum ein anderes für pc und wiederumein anderes für laptop und wiederum ein anders für logins zu datenbanken und wiederum ein anderes für confixx usw..
LG
 
Benutzer-6744 ist offline   Mit Zitat antworten
Alt 15.05.2007, 22:53:52   #35 (permalink)
abgemeldet

Reg: 20.04.2006
Beiträge: 2.737
Standard

Hm.. eine Entschlüsselung sollte es bei Einweg-Verschlüsselung afaik nicht geben. Aber es gibt halt so tolle Dinge wie Rainbow-Tables (wurde hier oder "drüben" schon mal erwähnt) wo mittlerweile mit Sicherheit sämtliche Passwörter drin sind. Und wenn nicht gibt's immer noch einen großen Teil mit dem das prima funktionieren wird.

Edit: argh.. das sollte eine Antwort sein.. dooferweise hat's bei mir grad immer nur die erste Seite geladen. -__-

Zitat:
Zitat von Drrichardfahrer Beitrag anzeigen
OK, ich kenn mich da auch net wirklich aus, aber kann man zur Zeit MD5 schon erfolgreich zu 100% entschlüsseln (und zwar in absehbarer Zeit)??
 
tedlemegba ist offline   Mit Zitat antworten
Alt 15.05.2007, 22:55:59   #36 (permalink)
notorisch abwesend
Benutzerbild von atwo

ID: 195558
Lose-Remote
Abwesend

atwo eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 2.427
Standard

Zitat:
Zitat von happymaster Beitrag anzeigen
Hm.. eine Entschlüsselung sollte es bei Einweg-Verschlüsselung afaik nicht geben. Aber es gibt halt so tolle Dinge wie Rainbow-Tables (wurde hier oder "drüben" schon mal erwähnt) wo mittlerweile mit Sicherheit sämtliche Passwörter drin sind. Und wenn nicht gibt's immer noch einen großen Teil mit dem das prima funktionieren wird.
Dann macht man einfach md5(sha(crc32(md5($pw))))

Bist du auch bei twitter?
atwo ist offline   Mit Zitat antworten
Alt 15.05.2007, 22:57:08   #37 (permalink)
abgemeldet

Reg: 20.04.2006
Beiträge: 2.737
Standard

Zitat:
Zitat von atwo Beitrag anzeigen
Dann macht man einfach md5(sha(crc32(md5($pw))))
Das tolle daran ist, dass du die Möglichkeiten für die Passwort-Hashes damit auf ein Minimum reduzierst!
 
tedlemegba ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:02:00   #38 (permalink)
notorisch abwesend
Benutzerbild von atwo

ID: 195558
Lose-Remote
Abwesend

atwo eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 2.427
Standard

Zitat:
Zitat von happymaster Beitrag anzeigen
Das tolle daran ist, dass du die Möglichkeiten für die Passwort-Hashes damit auf ein Minimum reduzierst!
Wenn ich das logisch betrachte, dann erhöhe ich doch damit die Anzahl der Hashes, oder?

Bist du auch bei twitter?
atwo ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:04:13   #39 (permalink)
▪ flash! ▪
Benutzerbild von flashas

ID: 111
Lose-Remote

Reg: 04.05.2006
Beiträge: 1.363
Standard

Zitat:
Zitat von atwo Beitrag anzeigen
Wenn ich das logisch betrachte, dann erhöhe ich doch damit die Anzahl der Hashes, oder?
nää
flashas ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:04:45   #40 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Dass viele hier gar nicht merken, was sie für einen Kinderzirkus veranstalten

Ich hab für "Nein, braucht es nicht." gestimmt.

Die Sicherheitslücken (man beachte, es waren 2 - in Worten: zwei - Stück, die sofort geschlossen wurden) sind hier nur der sinnlose Aufhänger. Wenn wirklich einer DB-Zugriff hat, wird er wohl keine Plaintext-Passwörter ausspionieren, wenn er eh an alle Account-Daten kann. Warum EF-Passwort klauen, wenn ich die Lose einfach gutschreiben kann ?
Naja, das Thema is ja jetzt eh gegessen.

Plaintext macht man nicht ? Wieso ?
Stellt euch doch mal die Frage, wie viele von allen jemals gehackten klamm-Accounts durch ein, aus der DB ausspioniertes Plaintext-Passwort, durch Dritte benutzt wurden.
Ich behaupte mal, es war kein einziger

Die größste Sicherheitslücke ist nunmal der Mensch, der vor der Kiste hockt und auf x verschiedenen Seiten dasselbe Passwort angibt. Nicht: Dass das Passwort irgendwo in einer Datenbank unverschlüsselt abgespeichert is.

P.S.
Zum Thema Passwort und Account-Sicherheit mal wieder der alte Link auf das Wort zum Sonntag ;-)
Passwort-Verwaltungsprogramm? - oder: Wie mache ich meinen Account sicherer?
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:06:01   #41 (permalink)
Erfahrener Benutzer
Benutzerbild von Drrichardfahrer

ID: 207405
Lose-Remote

Reg: 20.04.2006
Beiträge: 7.088
Standard

Da ich diesen Thread eröffnet habe, möchte ich auch noch was dazu sagen:

1) Ich dramatisiere hier gar nichts. Klamm.de ist höchstwahrscheinlich sehr gut abgesichert. Sonst würde das Werkl hier net schon nahezu 8 Jahre laufen...darum geht es doch gar nicht. Es geht mir bei dieser Umfrage hier (genauso wie bei "Wie seid ihr zu klamm.de gekommen?") nur darum, dass Klamm und wir alle eine (vl. nicht zu 100% repräsentative, aber immerhin eine) Zahl sehen, wer wofür bzw. wogegen ist. Und das ist ja auch der Sinn an den Umfragen hier.

2) Ich persönlich fühle mich nicht verunsichert, es gab bei mir Gott sei Dank auch nie Probleme mit meinem Klamm-Account. Ich habe nur immer gelernt und lese in einigen Büchern und Tutorials, dass man Passwörter verschlüsselt abspeichern soll...und bisher hab ich mich darauf berufen...

3) Da ein anonymer "Rotpopler" ausgesprochen hat, was vl. auch andere denken, möchte ich mit diesem Gerücht aufräumen: Ich brauche weder bei Klamm zu schleimen, noch hab ich was davon. Ich versuche einfach nur so objektiv wie möglich zu denken/handeln/schreiben. Und wenn Klamm von mehreren Usern gleich mal von vorneherein angeprangert wird, dann kann ich mir vorstellen, dass er noch mehr auf stur schaltet. Jedenfalls würde ich das tun. Und deshalb hab ich halt vorher erwähnt, dass ich weder Klamm-Fan noch Klamm-Feind bin, sondern einfach die Tatsache, dass das Passwort nicht verschlüsselt ist, mir nicht gefällt.

Liebe Grüße und schönen Abend noch allen

Drrichardfahrer
99% RB für alle, die sich anmelden - tolle Seite mit losespuckenden Slots und vielen Aktionen!
Drrichardfahrer ist offline Threadstarter   Mit Zitat antworten
Alt 15.05.2007, 23:14:51   #42 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Drrichardfahrer Beitrag anzeigen
[...] Ich habe nur immer gelernt [...], dass man Passwörter verschlüsselt abspeichern soll...und bisher hab ich mich darauf berufen...

[...]sondern einfach die Tatsache, dass das Passwort nicht verschlüsselt ist, mir nicht gefällt.
Eine Sache, die man hier vielleicht klarstellen sollte:
Eine Verschlüsselung ist, solange eine entsprechende bijektive Abbildung existiert, immer noch unsicher, da man diese ja auch knacken könnte.

Erst durch das Hashen (Einweg-Verschlüsselung) geht die Injektivität verloren, d.h. mit dem verschlüsselten Passwort kann nicht mehr eindeutig das ursprüngliche Passwort berechnet werden.

Mal dumm gefragt:
Ob jetzt in der Datenbank "098f6bcd4621d373cade4e832627b4f6" als MD5-Hash von meinem Passwort "test" drinsteht oder ob ich als Passwort wirklich "098f6bcd4621d373cade4e832627b4f6" benutze und das Plaintext is.... doch egal
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:37:56   #43 (permalink)
Alter Benutzer

ID: 10149
Lose-Remote

bartman eine Nachricht über ICQ schicken
Reg: 07.05.2006
Beiträge: 501
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Ob jetzt in der Datenbank "098f6bcd4621d373cade4e832627b4f6" als MD5-Hash von meinem Passwort "test" drinsteht oder ob ich als Passwort wirklich "098f6bcd4621d373cade4e832627b4f6" benutze und das Plaintext is.... doch egal
Noe, wenn ich dein Plaintext PW habe kann ich mich mit deinen Logindaten einloggen, wenn ich nur ein (sicheres) Hash habe, kann ich nichts machen.
bartman ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:41:44   #44 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Zitat:
Zitat von Drrichardfahrer Beitrag anzeigen
Und wenn Klamm von mehreren Usern gleich mal von vorneherein angeprangert wird, dann kann ich mir vorstellen, dass er noch mehr auf stur schaltet. Jedenfalls würde ich das tun.
Tu ich auch (teilweise).
Wenn man am Tag 20 Sachen als "Tatsachen" vorgesetzt bekommt, was man man selbst getan haben soll ... und dies nicht im entferntesten der Wahrheit entspricht (es aber auch keinen Sinn hat gegenzuargumentieren), dann bekommt man mit der Zeit schon eine Art Leckmich-Haltung. Und ich bin nicht der Typ, der dann zum Anwalt rennt wegen Verleumndung....

Genau das ist der Grund weshalb ich mich etwas aus der Community zurückgezogen hatte. Ich schau, dass alles hinter den Kulissen läuft ... und gut. Man siehts schön am Losepreis. Steigt er >> Ruhe. Friede, Freude Eierkuchen. Fällt er >> Panikmache sondergleichen und Luki = Böse. Naja. N8.
 
klamm ist offline   Mit Zitat antworten
Alt 16.05.2007, 00:06:51   #45 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Mensch Luke, das ist aber auch keine Lösung. Damit bestrafst du auch die guten besser wäre doch wenn du es einfach ignorierst aber weiter an der Community teilnimmst
 
27o8 ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige
Günstig werben auf klamm.de!!


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
klamm passwort honey-lips Ich bin neu hier und habe eine Frage! 6 28.10.2006 22:28:11
Klamm-Passwort <-> Tresor-Passwort *abgelehnt* 27o8 Verbesserungsvorschläge 28 03.06.2006 07:50:39


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:24:19 Uhr.