Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Umfrageergebnis anzeigen: Soll das Klamm-Passwort in der Datenbank verschlüsselt werden?
Ja, unbedingt. 55 64,71%
Nein, braucht es nicht. 24 28,24%
Ist mir egal, ich kenn mich mit Datenbanken nicht so aus. 6 7,06%
Teilnehmer: 85. Sie dürfen bei dieser Umfrage nicht abstimmen

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 16.05.2007, 00:45:13   #46 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Man siehts schön am Losepreis. Steigt er >> Ruhe. Friede, Freude Eierkuchen. Fällt er >> Panikmache sondergleichen und Luki = Böse. Naja. N8.
Hmm, dass würde es aber ja net geben, wenn du mal Klartext reden würdest!
Wenn du sagst es sind unter 100 Mrd. und es werden immer weniger, aber der Preis komischerweise dennoch immer weiter fällt, na wem soll man dann sonst die Schuld geben??

Sorry für ot...


Zitat:
Eine Sache, die man hier vielleicht klarstellen sollte:
Eine Verschlüsselung ist, solange eine entsprechende bijektive Abbildung existiert, immer noch unsicher, da man diese ja auch knacken könnte.

Erst durch das Hashen (Einweg-Verschlüsselung) geht die Injektivität verloren, d.h. mit dem verschlüsselten Passwort kann nicht mehr eindeutig das ursprüngliche Passwort berechnet werden.
@Thehacker

naja so wie ich es versteh ist ja egal ob ich das ursprüngliche dann habe oder nciht. Geht dann ja nur noch darum, das ich eins habe, der den gleichen Hash erzeugt oder!?

Naja also die Verschlüsselung bringt halt wirklich nur was gegen den Misbrauch auf anderen Seiten. Es ist nun mal so das die meisten es öfters benutzen (ich benutze auch immer anderes).

Aber ist es nicht so das man immer Vom DAU ausgehen muß, und davon ausgehen, das man halt nicht 100% sicher ist?

Hat man nicht doch irgendwo eine kleine Verantwortung gegenüber den Usern, auch wenns im Grunde selber Schuld ist, wenn aus irgend einem Grund doch ma jemand an die PWs kommt und er dies auf ner anderen seite nutzen könnte!?

Sollte man den User nicht trotzdem davor schützen?
Bububoomt ist offline   Mit Zitat antworten
Alt 16.05.2007, 01:01:59   #47 (permalink)
img69.de
Benutzerbild von Canadian

ID: 100238
Lose-Remote

Reg: 29.04.2006
Beiträge: 818
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
man hat keinen zugriff.
manman ...
Wie auch? Man kommt ja per Internet nich dran :P
Jedenfalls nicht so wie es hier heisst, nae?


Dazu gab es auch schonmal nen Thread im alten Forum oder im Uralten :P

Was hier fuer eine Panikmache gemacht wird, ist unglaublich.

Zitat:
Hmm, dass würde es aber ja net geben, wenn du mal Klartext reden würdest!
Wenn du sagst es sind unter 100 Mrd. und es werden immer weniger, aber der Preis komischerweise dennoch immer weiter fällt, na wem soll man dann sonst die Schuld geben??
solange die leute glauben das ihre lose fuer 1€ pro Mio oder sonst was nicht gekauft werden und sie dadurch Panik haben sie ueberhaupt los zu werden und den Preis dadurch immer weider druecken wird der Preis auch nicht steigen sondern fallen.
Es ist im Grunde schnurzegal wie viele Lose es gibt.
Wenn alle Verkaeufer 1€ pro Mio verlangen dann ist der Preis 1€ pro Mio. fertig.
Ob nun 100Mio oder 100Mrd angeboten werden ist dadurch voellig hinfaellig.
klar soweit?

Das entspricht zwar nicht der gaenigen Marktwirtschaft, aber danach muss es sich nicht immer richten
kopfzoo ; kostenloser DateiUpload img69.de
"Meinst du, dass sie die Gedanken genommen haben, die wir gedacht haben und wollen, dass unsere Gedanken, die wir gedacht haben, die Gedanken sind, die wir jetzt denken? Denkst du das?"
Bannerplaetze auf Dateihoster zu verkaufen

Geändert von Canadian (16.05.2007 um 01:11:02 Uhr)
Canadian ist offline   Mit Zitat antworten
Alt 16.05.2007, 02:13:03   #48 (permalink)
Ausgetreten
Benutzerbild von Norby51

Reg: 21.04.2006
Beiträge: 4.744
Ausrufezeichen

Leute, macht ihr eigentlich auch Umfragen " Sol ich meine Haustür mit 20 oder 40 Schlössern abschliessen?"

Es ist doch der entscheidende Punkt: Will ich was klauen (0,1%) oder will ich nichts klauen (99,9%)!

Wenn sich hier 16-25 Jährige (Programmierer?) Gedanken über ungelegte Eier machen ist das ungefähr so als wenn sich 3 Stammtischbrüder ausmalen wie sie die Deutsche Bank überfallen.

Derjenige der sich durch kriminelle Handlungen auf Kosten anderer bereichern will macht das, da halten ihn weder 20 noch 40 Schlösser auf, der geht durchs Fenster!
Und diejenigen die hier Ihre Kenntnisse in Verschlüsselungstechniken rausgrölen haben nicht einen Funken kriminelle Energie, aber sie liefern denen mit der Energie die Gebrauchsanweisung oder den Weg dahin (bei Klamm.de = Zutritt zum Serverraum, Platte sprich Db kopieren und gut ist).

Sollte es andere Wege geben sollte der Weg gesichert sein, nicht das Objekt!

Und ich finde mit dem ganzen "Umgefrage" setzt ihr halb- oder unwissenden Usern nur Flausen in den Kopf. Macht das in PNs unter Euch aus, oder diskutiert in einem "Hackerforum" und dann bitte mit "geschwärzten Datenbanknamen" damit wirklich keiner von den 0,1% Nutzen aus Euren "Erkenntnissen" gewinnt (wenn sie denn so wichtig sind!)

Und da Lukas seine Meinung (Entscheidung!) kund getan hat könnte dieses Thema geschlossen werden finde ich, irgendwie will sich hier nur einer oder zwei profilieren!

Schönen Abend noch

Norbert
Diese Signatur war zu groß ~ edit by Totte ~
~Wäre nett wenn man seine falsche Signatur mit einem Hinweis was falsch ist als PN bekommen hätte...
Norby51 ist offline   Mit Zitat antworten
Alt 16.05.2007, 05:49:10   #49 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Nee die Frage ist nicht ob 20 oder 40 Schlösser, sondern eher Ob du deine Tür abschließt, oder ob du sie auf läßt!
Bububoomt ist offline   Mit Zitat antworten
Alt 16.05.2007, 08:10:52   #50 (permalink)
Erfahrener Benutzer
Benutzerbild von Drrichardfahrer

ID: 207405
Lose-Remote

Reg: 20.04.2006
Beiträge: 7.088
Standard

Zitat:
Zitat von Norby51 Beitrag anzeigen
Und da Lukas seine Meinung (Entscheidung!) kund getan hat könnte dieses Thema geschlossen werden finde ich, irgendwie will sich hier nur einer oder zwei profilieren!

Schönen Abend noch

Norbert
Von mir aus kann das Thema geschlossen werden, aber ICH will mich sicherlich nicht profilieren. Ich hab Lukas gestern eine private Message geschrieben ohne hier den Thread vollzuspammen.

Bei der Umfrage geht es mir lediglich um eine Veranschaulichung der Gedanken der Wünsche - und ich sags nochmal, dazu sind die Umfragen da...

Ich hab auch bewusst die Antworten so gewählt, dass man keinerlei Präferenzen von mir rausliest (oder steht da wo "Nein, brauchen wir nicht, lassen wir alle die Passwörter lesen"????) - falls du mich eh nicht mit dem profilieren gemeint hast, dann betrachte den Text als hinfällig...
99% RB für alle, die sich anmelden - tolle Seite mit losespuckenden Slots und vielen Aktionen!
Drrichardfahrer ist offline Threadstarter   Mit Zitat antworten
Alt 16.05.2007, 13:20:37   #51 (permalink)
MiD
macht munter
Benutzerbild von MiD

ID: 217060
Lose-Remote

MiD eine Nachricht über ICQ schicken
Reg: 21.04.2006
Beiträge: 4.396
Standard

Wo sind die Vor-/Nachteile an der Verschlüsselung?
Liebe Grüße
MiD ist offline   Mit Zitat antworten
Alt 16.05.2007, 13:23:30   #52 (permalink)
abgemeldet

Reg: 20.04.2006
Beiträge: 2.737
Standard

Zitat:
Zitat von MiD Beitrag anzeigen
Wo sind die Vor-/Nachteile an der Verschlüsselung?
Der Verschlüsselung? Welcher? Verschlüsselung allgemein? Einweg-Verschlüsselung? md5-Hashes?
 
tedlemegba ist offline   Mit Zitat antworten
Alt 16.05.2007, 13:44:04   #53 (permalink)
MiD
macht munter
Benutzerbild von MiD

ID: 217060
Lose-Remote

MiD eine Nachricht über ICQ schicken
Reg: 21.04.2006
Beiträge: 4.396
Standard

Worüber die Umfrage geht
Liebe Grüße
MiD ist offline   Mit Zitat antworten
Alt 16.05.2007, 13:58:27   #54 (permalink)
Spy
Ray Magini
Benutzerbild von Spy

ID: 65650
Lose-Remote

Reg: 20.04.2006
Beiträge: 219
Standard

Ich versuch mich mal im einfachen Erklären der Vorteile von Verschlüsselungen:
Gesetz dem (zugegeben unwahrscheinlichen aber dennoch nicht ausgeschloßenen) Fall, dass sich jemand Zugang zur Datenbank verschafft würde er dort eine Tabelle mit allen Interessanten Userinformationen vorfinden. Das Passwort wäre dabei im Klartest, sprich für jeden lesbar. Eine Verschlüsselung würde diese Zeichenkette, also den Klartext so Modifizieren, dass er auf den ersten Blick nurnoch Buchstaben- und Zahlensalat enthält. Mit diesen Informationen kann man auf den ersten Blick nichts anfangen, da sie erst entschlüsselt werden müssen, wie das geht und warum es wie nicht geht möcht ich hier aber nicht weiter erklären, das würde mir jetzt zu lange dauern

Nachteile an der Verschlüsselung selbst gibt es erstmal nicht, man kann aber zwischen verschiedenen Verschlüsselungstechnologien Unterschiede und dementsprechend Vor- bzw. Nachteile feststellen. Weitere Nachteile sind eher Nutzerabhängig, so kann man sich kein verschlüsseltes Passwort zuschicken lassen, wenn man es vergessen hat, sondern muss ein neues generieren lassen.

PS: Habe den ganzen Verschlüssellungskram mal auf das nötigste und einfachste begrenzt, ich denke das sollte reichen, um zu verstehen, worum es geht.
 
Spy ist offline   Mit Zitat antworten
Alt 16.05.2007, 15:14:35   #55 (permalink)
return void
Benutzerbild von ice-breaker

ID: 93995
Lose-Remote

ice-breaker eine Nachricht über ICQ schicken
Reg: 27.04.2006
Beiträge: 6.271
Standard

Zitat:
Zitat von raven Beitrag anzeigen
Ich habe für "Ja" gestimmt, aber nicht mit MD5.
Dieser Hashalgorithmus ist einfach zu unsicher, und bringt (nahezu) nichts. Wenn, dann sollte man etwas anständiges benutzen. SHA1 ist auch bereits geknackt, meiner Meinung nach aber aufgrund des benötigten Rechenaufwands immernoch mehr als ausreichend.
ne verkettung des md5-passwortes und sha-passwortes wieder mit sha und gut ist, das hat sicherlich keine raindow-table, und selbst wenn, ist es immernoch net das pw, und man weiß net was man damit machen sol
"Die Wahrheit entgeht dem, der nicht mit beiden Augen sieht." -Orici

www.internet-dsl-flatrate.de
ice-breaker ist offline   Mit Zitat antworten
Alt 16.05.2007, 15:18:14   #56 (permalink)
abgemeldet

Reg: 20.04.2006
Beiträge: 2.737
Standard

Zitat:
Zitat von ice-breaker Beitrag anzeigen
ne verkettung des md5-passwortes und sha-passwortes wieder mit sha und gut ist, das hat sicherlich keine raindow-table, und selbst wenn, ist es immernoch net das pw, und man weiß net was man damit machen sol
Das lässt sich dann aber leichter knacken.
Klamm-Passwort in Datenbank verschlüsseln

Man denke daran, dass für eine Stelle im Hash nur noch 16 Möglichkeiten [0-9a-f] bestehen und für den gesamten Hash dann 16^n (mit der Länge n). Also bei md5 hat man bei einer Hash-Länge von 16 Bytes: 16^16=1,84*10^19 Möglichkeiten. Wenn man dann md5(md5(...)) macht braucht man nur eine Rainbow-Table mit dieser Anzahl von Einträgen und die ist imo relativ schnell gemacht.
 
tedlemegba ist offline   Mit Zitat antworten
Alt 16.05.2007, 15:23:14   #57 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

@happymaster,

wenn aber ein Verknüpfung vorhanden ist, dann müßte der Hacker erstmal wissen welche.

Wenn der Hacker nun aus welchem Grund auch immer in die Db gelangt, sieht er da ja nur Zahlen und Buchstaben, aus diesen kann er ja aber nicht deuten welche Verschlüsselung gewählt wurde.

Wenn ich dir nun "e7e7e7" gebe, kannst du nie und nimmer auf ein Passwort kommen, wenn ich dir nicht sage, bzw. du nicht herausbekommst, inwiefern ich das verschlüsselt habe.


D.h. er müßte also nicht nur Zugriff zur DB haben sondern auch zu der Login oder Registrierungsdatei, wo ja die Verschlüsselung erfolgt....
Bububoomt ist offline   Mit Zitat antworten
Alt 16.05.2007, 15:34:48   #58 (permalink)
return void
Benutzerbild von ice-breaker

ID: 93995
Lose-Remote

ice-breaker eine Nachricht über ICQ schicken
Reg: 27.04.2006
Beiträge: 6.271
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
wenn aber ein Verknüpfung vorhanden ist, dann müßte der Hacker erstmal wissen welche.
genau darauf wollte ich hinaus, man kann rainbow-tables erstellen super, wenn man aber nicht die art der verkettung bringt es rein gar nix, man könnte ja auch dinge mit substr() und allem möglichen verwenden, da gibt es dutzende möglichkeiten
"Die Wahrheit entgeht dem, der nicht mit beiden Augen sieht." -Orici

www.internet-dsl-flatrate.de
ice-breaker ist offline   Mit Zitat antworten
Alt 16.05.2007, 17:30:54   #59 (permalink)
abgemeldet

Reg: 25.06.2006
Beiträge: 2.190
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Nee die Frage ist nicht ob 20 oder 40 Schlösser, sondern eher Ob du deine Tür abschließt, oder ob du sie auf läßt!
ja genau die frage stellt sich!
 
PC-Doktor ist offline   Mit Zitat antworten
Alt 16.05.2007, 18:07:01   #60 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
@Thehacker
Großes 'H', kleines 't'
Zitat:
Zitat von Bububoomt Beitrag anzeigen
naja so wie ich es versteh ist ja egal ob ich das ursprüngliche dann habe oder nciht. Geht dann ja nur noch darum, das ich eins habe, der den gleichen Hash erzeugt oder!?
Wenn ich nur in der Datenbank lesen kann, macht das schon n Unterschied.
Beispiel: Ich verrate dir den MD5-Hash meines Passwortes. Du erhältst also den Hash und die Verschlüsselung. Dennoch bringt dir das erstmal nichts, weil du erst per BruteForce rückrechnen musst und auch dann gibt es noch unendlich viele Möglichkeiten, weil die Entschlüsselung eines Hashes nicht injektiv ist.
Zitat:
Zitat von Bububoomt Beitrag anzeigen
Naja also die Verschlüsselung bringt halt wirklich nur was gegen den Misbrauch auf anderen Seiten. Es ist nun mal so das die meisten es öfters benutzen (ich benutze auch immer anderes).
Wenn ich eine Seite programmiere, kümmere ich mich nicht darum, was der User auf anderen Seiten macht.
Zitat:
Zitat von Bububoomt Beitrag anzeigen
Hat man nicht doch irgendwo eine kleine Verantwortung gegenüber den Usern, auch wenns im Grunde selber Schuld ist, wenn aus irgend einem Grund doch ma jemand an die PWs kommt und er dies auf ner anderen seite nutzen könnte!?

Sollte man den User nicht trotzdem davor schützen?
Ehrlich gesagt: Nein und nein !

Stell dir vor, jede Webseite würde mir beim Aufrufen erstmal sagen (nur mal so rein zum Vorstellen, praktisch geht das ja nicht), dass ich Windows-Update deaktiviert habe und potentielle Sicherheitslücken in meinem Betriebssystem vorhanden sind, mein Virenscanner schon 2 Wochen kein Update mehr gemacht hat, keine Firewall vorhanden ist. Beim Einloggen meldet mir mein Browser, dass ich dasselbe Passwort in den letzten 3 Monaten schon auf 172 anderen Seiten benutzt hab.
Also ich will das nicht

Wenn ich auf meine Sicherheit aufpassen will, dann tu ich das. Aber ich will keine Webseite bzw. einen Webmaster, der mir sagt, wie ich mein System sicher halte.
Zitat:
Zitat von Spy Beitrag anzeigen
Weitere Nachteile sind eher Nutzerabhängig, so kann man sich kein verschlüsseltes Passwort zuschicken lassen, wenn man es vergessen hat, sondern muss ein neues generieren lassen.

PS: Habe den ganzen Verschlüssellungskram mal auf das nötigste und einfachste begrenzt, ich denke das sollte reichen, um zu verstehen, worum es geht.
Zur Korrektur - oder hast du das nur zur Vereinfachung unterschlagen ? -:
Wenn das Passwort nicht einweg-verschlüsselt ist, kann man es freilich entschlüsseln und dem Benutzer zurückschicken.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
klamm passwort honey-lips Ich bin neu hier und habe eine Frage! 6 28.10.2006 22:28:11
Klamm-Passwort <-> Tresor-Passwort *abgelehnt* 27o8 Verbesserungsvorschläge 28 03.06.2006 07:50:39


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:43:04 Uhr.