Klamm-Passwort in Datenbank verschlüsseln

Soll das Klamm-Passwort in der Datenbank verschlüsselt werden?

  • Ja, unbedingt.

    Stimmen: 55 64,7%
  • Nein, braucht es nicht.

    Stimmen: 24 28,2%
  • Ist mir egal, ich kenn mich mit Datenbanken nicht so aus.

    Stimmen: 6 7,1%

  • Umfrageteilnehmer
    85
  • Umfrage geschlossen .
Da ich diesen Thread eröffnet habe, möchte ich auch noch was dazu sagen:

1) Ich dramatisiere hier gar nichts. Klamm.de ist höchstwahrscheinlich sehr gut abgesichert. Sonst würde das Werkl hier net schon nahezu 8 Jahre laufen...darum geht es doch gar nicht. Es geht mir bei dieser Umfrage hier (genauso wie bei "Wie seid ihr zu klamm.de gekommen?") nur darum, dass Klamm und wir alle eine (vl. nicht zu 100% repräsentative, aber immerhin eine) Zahl sehen, wer wofür bzw. wogegen ist. Und das ist ja auch der Sinn an den Umfragen hier.

2) Ich persönlich fühle mich nicht verunsichert, es gab bei mir Gott sei Dank auch nie Probleme mit meinem Klamm-Account. Ich habe nur immer gelernt und lese in einigen Büchern und Tutorials, dass man Passwörter verschlüsselt abspeichern soll...und bisher hab ich mich darauf berufen...

3) Da ein anonymer "Rotpopler" ausgesprochen hat, was vl. auch andere denken, möchte ich mit diesem Gerücht aufräumen: Ich brauche weder bei Klamm zu schleimen, noch hab ich was davon. Ich versuche einfach nur so objektiv wie möglich zu denken/handeln/schreiben. Und wenn Klamm von mehreren Usern gleich mal von vorneherein angeprangert wird, dann kann ich mir vorstellen, dass er noch mehr auf stur schaltet. Jedenfalls würde ich das tun. Und deshalb hab ich halt vorher erwähnt, dass ich weder Klamm-Fan noch Klamm-Feind bin, sondern einfach die Tatsache, dass das Passwort nicht verschlüsselt ist, mir nicht gefällt.

Liebe Grüße und schönen Abend noch allen :)

Drrichardfahrer
 
[...] Ich habe nur immer gelernt [...], dass man Passwörter verschlüsselt abspeichern soll...und bisher hab ich mich darauf berufen...

[...]sondern einfach die Tatsache, dass das Passwort nicht verschlüsselt ist, mir nicht gefällt.
Eine Sache, die man hier vielleicht klarstellen sollte:
Eine Verschlüsselung ist, solange eine entsprechende bijektive Abbildung existiert, immer noch unsicher, da man diese ja auch knacken könnte.

Erst durch das Hashen (Einweg-Verschlüsselung) geht die Injektivität verloren, d.h. mit dem verschlüsselten Passwort kann nicht mehr eindeutig das ursprüngliche Passwort berechnet werden.

Mal dumm gefragt:
Ob jetzt in der Datenbank "098f6bcd4621d373cade4e832627b4f6" als MD5-Hash von meinem Passwort "test" drinsteht oder ob ich als Passwort wirklich "098f6bcd4621d373cade4e832627b4f6" benutze und das Plaintext is.... doch egal :ugly:
 
Ob jetzt in der Datenbank "098f6bcd4621d373cade4e832627b4f6" als MD5-Hash von meinem Passwort "test" drinsteht oder ob ich als Passwort wirklich "098f6bcd4621d373cade4e832627b4f6" benutze und das Plaintext is.... doch egal :ugly:

Noe, wenn ich dein Plaintext PW habe kann ich mich mit deinen Logindaten einloggen, wenn ich nur ein (sicheres) Hash habe, kann ich nichts machen.
 
Und wenn Klamm von mehreren Usern gleich mal von vorneherein angeprangert wird, dann kann ich mir vorstellen, dass er noch mehr auf stur schaltet. Jedenfalls würde ich das tun.
Tu ich auch (teilweise).
Wenn man am Tag 20 Sachen als "Tatsachen" vorgesetzt bekommt, was man man selbst getan haben soll ... und dies nicht im entferntesten der Wahrheit entspricht (es aber auch keinen Sinn hat gegenzuargumentieren), dann bekommt man mit der Zeit schon eine Art Leckmich-Haltung. Und ich bin nicht der Typ, der dann zum Anwalt rennt wegen Verleumndung....

Genau das ist der Grund weshalb ich mich etwas aus der Community zurückgezogen hatte. Ich schau, dass alles hinter den Kulissen läuft ... und gut. Man siehts schön am Losepreis. Steigt er >> Ruhe. Friede, Freude Eierkuchen. Fällt er >> Panikmache sondergleichen und Luki = Böse. Naja. N8.
 
Mensch Luke, das ist aber auch keine Lösung. Damit bestrafst du auch die guten ;) besser wäre doch wenn du es einfach ignorierst aber weiter an der Community teilnimmst :)
 
Man siehts schön am Losepreis. Steigt er >> Ruhe. Friede, Freude Eierkuchen. Fällt er >> Panikmache sondergleichen und Luki = Böse. Naja. N8.

Hmm, dass würde es aber ja net geben, wenn du mal Klartext reden würdest!
Wenn du sagst es sind unter 100 Mrd. und es werden immer weniger, aber der Preis komischerweise dennoch immer weiter fällt, na wem soll man dann sonst die Schuld geben??

Sorry für ot...


Eine Sache, die man hier vielleicht klarstellen sollte:
Eine Verschlüsselung ist, solange eine entsprechende bijektive Abbildung existiert, immer noch unsicher, da man diese ja auch knacken könnte.

Erst durch das Hashen (Einweg-Verschlüsselung) geht die Injektivität verloren, d.h. mit dem verschlüsselten Passwort kann nicht mehr eindeutig das ursprüngliche Passwort berechnet werden.

@Thehacker

naja so wie ich es versteh ist ja egal ob ich das ursprüngliche dann habe oder nciht. Geht dann ja nur noch darum, das ich eins habe, der den gleichen Hash erzeugt oder!?

Naja also die Verschlüsselung bringt halt wirklich nur was gegen den Misbrauch auf anderen Seiten. Es ist nun mal so das die meisten es öfters benutzen (ich benutze auch immer anderes).

Aber ist es nicht so das man immer Vom DAU ausgehen muß, und davon ausgehen, das man halt nicht 100% sicher ist?

Hat man nicht doch irgendwo eine kleine Verantwortung gegenüber den Usern, auch wenns im Grunde selber Schuld ist, wenn aus irgend einem Grund doch ma jemand an die PWs kommt und er dies auf ner anderen seite nutzen könnte!?

Sollte man den User nicht trotzdem davor schützen?
 
man hat keinen zugriff.
manman ...
Wie auch? Man kommt ja per Internet nich dran :p
Jedenfalls nicht so wie es hier heisst, nae?


Dazu gab es auch schonmal nen Thread im alten Forum oder im Uralten :p

Was hier fuer eine Panikmache gemacht wird, ist unglaublich.

Hmm, dass würde es aber ja net geben, wenn du mal Klartext reden würdest!
Wenn du sagst es sind unter 100 Mrd. und es werden immer weniger, aber der Preis komischerweise dennoch immer weiter fällt, na wem soll man dann sonst die Schuld geben??

solange die leute glauben das ihre lose fuer 1€ pro Mio oder sonst was nicht gekauft werden und sie dadurch Panik haben sie ueberhaupt los zu werden und den Preis dadurch immer weider druecken wird der Preis auch nicht steigen sondern fallen.
Es ist im Grunde schnurzegal wie viele Lose es gibt.
Wenn alle Verkaeufer 1€ pro Mio verlangen dann ist der Preis 1€ pro Mio. fertig.
Ob nun 100Mio oder 100Mrd angeboten werden ist dadurch voellig hinfaellig.
klar soweit?

Das entspricht zwar nicht der gaenigen Marktwirtschaft, aber danach muss es sich nicht immer richten :)
 
Zuletzt bearbeitet:
Leute, macht ihr eigentlich auch Umfragen " Sol ich meine Haustür mit 20 oder 40 Schlössern abschliessen?"

Es ist doch der entscheidende Punkt: Will ich was klauen (0,1%) oder will ich nichts klauen (99,9%)!

Wenn sich hier 16-25 Jährige (Programmierer?) Gedanken über ungelegte Eier machen ist das ungefähr so als wenn sich 3 Stammtischbrüder ausmalen wie sie die Deutsche Bank überfallen.

Derjenige der sich durch kriminelle Handlungen auf Kosten anderer bereichern will macht das, da halten ihn weder 20 noch 40 Schlösser auf, der geht durchs Fenster!
Und diejenigen die hier Ihre Kenntnisse in Verschlüsselungstechniken rausgrölen haben nicht einen Funken kriminelle Energie, aber sie liefern denen mit der Energie die Gebrauchsanweisung oder den Weg dahin (bei Klamm.de = Zutritt zum Serverraum, Platte sprich Db kopieren und gut ist).

Sollte es andere Wege geben sollte der Weg gesichert sein, nicht das Objekt!

Und ich finde mit dem ganzen "Umgefrage" setzt ihr halb- oder unwissenden Usern nur Flausen in den Kopf. Macht das in PNs unter Euch aus, oder diskutiert in einem "Hackerforum" und dann bitte mit "geschwärzten Datenbanknamen" damit wirklich keiner von den 0,1% Nutzen aus Euren "Erkenntnissen" gewinnt (wenn sie denn so wichtig sind!)

Und da Lukas seine Meinung (Entscheidung!) kund getan hat könnte dieses Thema geschlossen werden finde ich, irgendwie will sich hier nur einer oder zwei profilieren!

Schönen Abend noch

Norbert
 
Nee die Frage ist nicht ob 20 oder 40 Schlösser, sondern eher Ob du deine Tür abschließt, oder ob du sie auf läßt!
 
Und da Lukas seine Meinung (Entscheidung!) kund getan hat könnte dieses Thema geschlossen werden finde ich, irgendwie will sich hier nur einer oder zwei profilieren!

Schönen Abend noch

Norbert

Von mir aus kann das Thema geschlossen werden, aber ICH will mich sicherlich nicht profilieren. Ich hab Lukas gestern eine private Message geschrieben ohne hier den Thread vollzuspammen.

Bei der Umfrage geht es mir lediglich um eine Veranschaulichung der Gedanken der Wünsche - und ich sags nochmal, dazu sind die Umfragen da...

Ich hab auch bewusst die Antworten so gewählt, dass man keinerlei Präferenzen von mir rausliest (oder steht da wo "Nein, brauchen wir nicht, lassen wir alle die Passwörter lesen"????) - falls du mich eh nicht mit dem profilieren gemeint hast, dann betrachte den Text als hinfällig...
 
Ich versuch mich mal im einfachen Erklären der Vorteile von Verschlüsselungen:
Gesetz dem (zugegeben unwahrscheinlichen aber dennoch nicht ausgeschloßenen) Fall, dass sich jemand Zugang zur Datenbank verschafft würde er dort eine Tabelle mit allen Interessanten Userinformationen vorfinden. Das Passwort wäre dabei im Klartest, sprich für jeden lesbar. Eine Verschlüsselung würde diese Zeichenkette, also den Klartext so Modifizieren, dass er auf den ersten Blick nurnoch Buchstaben- und Zahlensalat enthält. Mit diesen Informationen kann man auf den ersten Blick nichts anfangen, da sie erst entschlüsselt werden müssen, wie das geht und warum es wie nicht geht möcht ich hier aber nicht weiter erklären, das würde mir jetzt zu lange dauern ;)

Nachteile an der Verschlüsselung selbst gibt es erstmal nicht, man kann aber zwischen verschiedenen Verschlüsselungstechnologien Unterschiede und dementsprechend Vor- bzw. Nachteile feststellen. Weitere Nachteile sind eher Nutzerabhängig, so kann man sich kein verschlüsseltes Passwort zuschicken lassen, wenn man es vergessen hat, sondern muss ein neues generieren lassen.

PS: Habe den ganzen Verschlüssellungskram mal auf das nötigste und einfachste begrenzt, ich denke das sollte reichen, um zu verstehen, worum es geht.
 
Ich habe für "Ja" gestimmt, aber nicht mit MD5.
Dieser Hashalgorithmus ist einfach zu unsicher, und bringt (nahezu) nichts. Wenn, dann sollte man etwas anständiges benutzen. SHA1 ist auch bereits geknackt, meiner Meinung nach aber aufgrund des benötigten Rechenaufwands immernoch mehr als ausreichend. ;)

ne verkettung des md5-passwortes und sha-passwortes wieder mit sha und gut ist, das hat sicherlich keine raindow-table, und selbst wenn, ist es immernoch net das pw, und man weiß net was man damit machen sol
 
ne verkettung des md5-passwortes und sha-passwortes wieder mit sha und gut ist, das hat sicherlich keine raindow-table, und selbst wenn, ist es immernoch net das pw, und man weiß net was man damit machen sol
Das lässt sich dann aber leichter knacken.
https://www.klamm.de/forum/showpost.php?p=1557459&postcount=37

Man denke daran, dass für eine Stelle im Hash nur noch 16 Möglichkeiten [0-9a-f] bestehen und für den gesamten Hash dann 16^n (mit der Länge n). Also bei md5 hat man bei einer Hash-Länge von 16 Bytes: 16^16=1,84*10^19 Möglichkeiten. Wenn man dann md5(md5(...)) macht braucht man nur eine Rainbow-Table mit dieser Anzahl von Einträgen und die ist imo relativ schnell gemacht.
 
@happymaster,

wenn aber ein Verknüpfung vorhanden ist, dann müßte der Hacker erstmal wissen welche.

Wenn der Hacker nun aus welchem Grund auch immer in die Db gelangt, sieht er da ja nur Zahlen und Buchstaben, aus diesen kann er ja aber nicht deuten welche Verschlüsselung gewählt wurde.

Wenn ich dir nun "e7e7e7" gebe, kannst du nie und nimmer auf ein Passwort kommen, wenn ich dir nicht sage, bzw. du nicht herausbekommst, inwiefern ich das verschlüsselt habe.


D.h. er müßte also nicht nur Zugriff zur DB haben sondern auch zu der Login oder Registrierungsdatei, wo ja die Verschlüsselung erfolgt....
 
wenn aber ein Verknüpfung vorhanden ist, dann müßte der Hacker erstmal wissen welche.

genau darauf wollte ich hinaus, man kann rainbow-tables erstellen super, wenn man aber nicht die art der verkettung bringt es rein gar nix, man könnte ja auch dinge mit substr() und allem möglichen verwenden, da gibt es dutzende möglichkeiten
 
Großes 'H', kleines 't' ;)
naja so wie ich es versteh ist ja egal ob ich das ursprüngliche dann habe oder nciht. Geht dann ja nur noch darum, das ich eins habe, der den gleichen Hash erzeugt oder!?
Wenn ich nur in der Datenbank lesen kann, macht das schon n Unterschied.
Beispiel: Ich verrate dir den MD5-Hash meines Passwortes. Du erhältst also den Hash und die Verschlüsselung. Dennoch bringt dir das erstmal nichts, weil du erst per BruteForce rückrechnen musst und auch dann gibt es noch unendlich viele Möglichkeiten, weil die Entschlüsselung eines Hashes nicht injektiv ist.
Naja also die Verschlüsselung bringt halt wirklich nur was gegen den Misbrauch auf anderen Seiten. Es ist nun mal so das die meisten es öfters benutzen (ich benutze auch immer anderes).
Wenn ich eine Seite programmiere, kümmere ich mich nicht darum, was der User auf anderen Seiten macht.
Hat man nicht doch irgendwo eine kleine Verantwortung gegenüber den Usern, auch wenns im Grunde selber Schuld ist, wenn aus irgend einem Grund doch ma jemand an die PWs kommt und er dies auf ner anderen seite nutzen könnte!?

Sollte man den User nicht trotzdem davor schützen?
Ehrlich gesagt: Nein und nein !

Stell dir vor, jede Webseite würde mir beim Aufrufen erstmal sagen (nur mal so rein zum Vorstellen, praktisch geht das ja nicht), dass ich Windows-Update deaktiviert habe und potentielle Sicherheitslücken in meinem Betriebssystem vorhanden sind, mein Virenscanner schon 2 Wochen kein Update mehr gemacht hat, keine Firewall vorhanden ist. Beim Einloggen meldet mir mein Browser, dass ich dasselbe Passwort in den letzten 3 Monaten schon auf 172 anderen Seiten benutzt hab.
Also ich will das nicht 8O

Wenn ich auf meine Sicherheit aufpassen will, dann tu ich das. Aber ich will keine Webseite bzw. einen Webmaster, der mir sagt, wie ich mein System sicher halte.
Weitere Nachteile sind eher Nutzerabhängig, so kann man sich kein verschlüsseltes Passwort zuschicken lassen, wenn man es vergessen hat, sondern muss ein neues generieren lassen.

PS: Habe den ganzen Verschlüssellungskram mal auf das nötigste und einfachste begrenzt, ich denke das sollte reichen, um zu verstehen, worum es geht.
Zur Korrektur - oder hast du das nur zur Vereinfachung unterschlagen ? -:
Wenn das Passwort nicht einweg-verschlüsselt ist, kann man es freilich entschlüsseln und dem Benutzer zurückschicken.