Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Umfrageergebnis anzeigen: Soll das Klamm-Passwort in der Datenbank verschlüsselt werden?
Ja, unbedingt. 55 64,71%
Nein, braucht es nicht. 24 28,24%
Ist mir egal, ich kenn mich mit Datenbanken nicht so aus. 6 7,06%
Teilnehmer: 85. Sie dürfen bei dieser Umfrage nicht abstimmen

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 16.05.2007, 18:41:19   #61 (permalink)
!$@!$

ID: 271423
Lose-Remote

the13th eine Nachricht über ICQ schicken the13th eine Nachricht über Skype™ schicken
Reg: 17.01.2007
Beiträge: 151
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Stell dir vor, jede Webseite würde mir beim Aufrufen erstmal sagen (nur mal so rein zum Vorstellen, praktisch geht das ja nicht), dass ich Windows-Update deaktiviert habe und potentielle Sicherheitslücken in meinem Betriebssystem vorhanden sind, mein Virenscanner schon 2 Wochen kein Update mehr gemacht hat, keine Firewall vorhanden ist. Beim Einloggen meldet mir mein Browser, dass ich dasselbe Passwort in den letzten 3 Monaten schon auf 172 anderen Seiten benutzt hab.
Also ich will das nicht
Mit Verlaub gesagt ist dieser Beitrag der größte bs den ich seit LANGEM gelesen habe.
Es geht hier nicht darum das man den User komplett an die Hand nimmt - wohl aber darum das man das Vertrauen des Users in dem Sinne stützt die Passwörter mit einem geeigneten Algorhythmus zu verschlüsseln - also spar dir derartige polemik für irgendwelche andere Zwecke (Stammtisch oder so...) auf.
the13th ist offline   Mit Zitat antworten
Alt 16.05.2007, 18:46:04   #62 (permalink)
Troddl
Benutzerbild von Maastaaa

ID: 22745
Lose-Remote
Reallife

Maastaaa eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 8.528
Standard

So, obwohl ich keine Ahnung von dem ganzen Kram habe, habe ich mir den Thread nun mal zu Gemüte geführt.
Mir stellt sich aber nach wie vor die Frage: Was ist für mich als 08/15-Nutzer einer Webseite der Unterschied, wie meine Passwörter gespeichert werden?
 
Maastaaa ist offline   Mit Zitat antworten
Alt 16.05.2007, 18:49:05   #63 (permalink)
!$@!$

ID: 271423
Lose-Remote

the13th eine Nachricht über ICQ schicken the13th eine Nachricht über Skype™ schicken
Reg: 17.01.2007
Beiträge: 151
Standard

Zitat:
Zitat von Maastaaa Beitrag anzeigen
So, obwohl ich keine Ahnung von dem ganzen Kram habe, habe ich mir den Thread nun mal zu Gemüte geführt.
Mir stellt sich aber nach wie vor die Frage: Was ist für mich als 08/15-Nutzer einer Webseite der Unterschied, wie meine Passwörter gespeichert werden?
Für dich direkt? Im Falle das dir dein Passwort entfallen sollte kannst du dir dieses nicht mehr zusenden lassen sondern nur noch ein neues Passwort per Mail zusenden lassen - sowie eine erhöhte Sicherheit das im Falle einer Kompromittierung der Datenbank dein Passwort nicht von jedem Script-Kiddy augelesen werden kann.
the13th ist offline   Mit Zitat antworten
Alt 16.05.2007, 19:06:35   #64 (permalink)
Troddl
Benutzerbild von Maastaaa

ID: 22745
Lose-Remote
Reallife

Maastaaa eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 8.528
Standard

Aber wenn man an die DB kommt ist doch das letzte was mich interessiert das Passwort.

Na gut, vielleicht sehe ich das anders. Muss nun los, tschüss bis Freitag.
 
Maastaaa ist offline   Mit Zitat antworten
Alt 16.05.2007, 19:14:03   #65 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

@theHacker

Worauf ich hinaus wollte, ich brauche doch gar nicht das original PW, sondern nur ein PW, das den gleichen HASH erzeugt oder etwa nicht?

Gut kümmer dich nicht um das was er auf anderen Seiten tut, aber kümmer dich trotzdem drum, das seine daten Sicher sind und wenn man das PW ohne großen Aufwand nun schützen kann, sollte man das nicht machen?

Du sagst doch jetzt auch nich, komm ihr dürft mehr oder weniger alle Daten aus meiner Db sehen, der User gibt sie ja auch auf Seite xyz frei an...
Du schütz diese Daten doch trotzdem vor zugriffen (jetzt mal abegsehen das du es wegen dem BSDG machst).

Es geht doch nicht darum, dass du etwas gesagt bekommst, von der Verschlüsselung bekommst du doch gar nicht mit!

Es geht nicht hier darum den User darauf hinzuweisen welche Sicherheitslücken er hat, dafür ist Windows selber, der Browser selber etc. PP verantwortlich und macht es auch, sofern du e nciht deaktiviert hast!

Es geht ganz allein um diese Seite.

das leute gleich übertreiben müssen und es auf anderes beziehen müssen...
Bububoomt ist offline   Mit Zitat antworten
Alt 16.05.2007, 19:45:29   #66 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Worauf ich hinaus wollte, ich brauche doch gar nicht das original PW, sondern nur ein PW, das den gleichen HASH erzeugt oder etwa nicht?
Ja, stimmt. Ein einziges dieser theoretisch unendlich vielen Passwörter reicht aus, um trotzdem in den Account zu kommen.
(Man könnte jetzt behaupten, dass ein Hashen z.B. mit MD5 die Anzahl der möglichen Passwörter von 22450 auf 1632 einschränkt, also um den Faktor 9,562⋅1078, aber das will ich jetzt gar nicht mal weiter ausführen)
Zitat:
Zitat von Bububoomt Beitrag anzeigen
das leute gleich übertreiben müssen und es auf anderes beziehen müssen...
Mit einer beispielhaften Übertreibung kann man sich manchmal mehr vorstellen, als großes Theorie-Gewäsch, drum mach ich das gerne mal.
Zitat:
Zitat von Bububoomt Beitrag anzeigen
Es geht doch nicht darum, dass du etwas gesagt bekommst, von der Verschlüsselung bekommst du doch gar nicht mit!
Was mir an der ganzen Thematik nicht gefällt, was ich auch schon in meinem Eingangsposting angedeutet hab (Zitat: "Dass viele hier gar nicht merken, was sie für einen Kinderzirkus veranstalten "), dass es hier nur ums Passwort geht.
Im Endeffekt betrifft das "Sicherheitsproblem" doch alle Daten und ehrlich gesagt habe ich noch keine Seite gesehen - ich hab als Programmierer schon an vielen Webseiten hinter den Kulissen gearbeitet -, die komplett alle personenbezogenen Daten verschlüsselt. Name, Anschrift und so weiter will man ja nicht hashen, weil man die im Klartext braucht.

Würde Lukas jetzt posten, dass ab sofort alle Passwörter "verschlüsselt" (keine weiteren Aussagen über den verwendeten Algorithmus) gespeichert werden, wäre hier denn dann Ruhe ?
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 16.05.2007, 19:54:18   #67 (permalink)
Erfahrener Benutzer
Benutzerbild von Drrichardfahrer

ID: 207405
Lose-Remote

Reg: 20.04.2006
Beiträge: 7.088
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Würde Lukas jetzt posten, dass ab sofort alle Passwörter "verschlüsselt" (keine weiteren Aussagen über den verwendeten Algorithmus) gespeichert werden, wäre hier denn dann Ruhe ?
Wahrscheinlich ja, wenn man ihm glaubt...ein paar, die herummeckern gibt es immer...aber ich versteh wirklich nicht, warum dann auf den meisten Seiten die PW verschlüsselt sind, wenn es eh nix bringt...das hat mir irgendwie noch niemand erklärt...
99% RB für alle, die sich anmelden - tolle Seite mit losespuckenden Slots und vielen Aktionen!
Drrichardfahrer ist offline Threadstarter   Mit Zitat antworten
Alt 16.05.2007, 20:04:10   #68 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Drrichardfahrer Beitrag anzeigen
[...] aber ich versteh wirklich nicht, warum dann auf den meisten Seiten die PW verschlüsselt sind, wenn es eh nix bringt...das hat mir irgendwie noch niemand erklärt...
Ich kann nur für mich sprechen: Ein Passwort ist halt sicherer, wenn es verschlüsselt ist. Klar.

Ich, als Programmierer, würde schon rein deshalb die Passwörter verschlüsseln, dass ich sie nicht seh, wenn ich in der Datenbank rumhantiere. Allerdings sehe ich kein Problem darin, dass Passwort in einer Form zu speichern, die man wieder zurückrechnen kann, falls man den Klartext einmal braucht. z.B. um zu kurze/unsichere ("1234", "qwertz", ...) Passwörter zu finden oder dem User sein Passwort nochmals zuschicken zu können.

Wichtig finde ich es nur, die Passwörter vor mir, dem, der in der Datenbank arbeitet, zu schützen und dazu genügt es schon, wenn ich mal eben base64-codiere, damit ich als Mensch es nicht mehr lesen kann.

Das ist zumindest meine Meinung zum Thema Verschlüsselung von Daten.

Ich hatte es schon angesprochen, Maastaaa vorhin wiederholt:
Zitat:
Zitat von Maastaaa Beitrag anzeigen
Aber wenn man an die DB kommt ist doch das letzte was mich interessiert das Passwort.
Wenn ich an der Datenbank bin, mach ich eh was anderes.
Wenn ich nicht an die Datenbank komm, isses mir auch egal, wie das Passwort gespeichert is.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 16.05.2007, 20:09:09   #69 (permalink)
Erfahrener Benutzer
Benutzerbild von Drrichardfahrer

ID: 207405
Lose-Remote

Reg: 20.04.2006
Beiträge: 7.088
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Ich kann nur für mich sprechen: Ein Passwort ist halt sicherer, wenn es verschlüsselt ist. Klar.

Ich, als Programmierer, würde schon rein deshalb die Passwörter verschlüsseln, dass ich sie nicht seh, wenn ich in der Datenbank rumhantiere. Allerdings sehe ich kein Problem darin, dass Passwort in einer Form zu speichern, die man wieder zurückrechnen kann, falls man den Klartext einmal braucht. z.B. um zu kurze/unsichere ("1234", "qwertz", ...) Passwörter zu finden oder dem User sein Passwort nochmals zuschicken zu können.

Wichtig finde ich es nur, die Passwörter vor mir, dem, der in der Datenbank arbeitet, zu schützen und dazu genügt es schon, wenn ich mal eben base64-codiere, damit ich als Mensch es nicht mehr lesen kann.
Irgendwie schaffst du es als Einziger mich mit deinen Argumenten zu überzeugen...du bringst es anscheinend auf den Punkt und ich persönlich wäre mit dieser Lösung zufrieden.
99% RB für alle, die sich anmelden - tolle Seite mit losespuckenden Slots und vielen Aktionen!
Drrichardfahrer ist offline Threadstarter   Mit Zitat antworten
Alt 16.05.2007, 20:11:57   #70 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Ich hatte es schon angesprochen, Maastaaa vorhin wiederholt: Wenn ich an der Datenbank bin, mach ich eh was anderes.
Wenn ich nicht an die Datenbank komm, isses mir auch egal, wie das Passwort gespeichert is.
Nun du bist aber niemand, der sich unerlaubt zugang zu fremden datenbanken verschafft oder? Meinst du die denken so wie du?


Es geht hier doch auch nciht darum wie verschlüsselt wird, sondern nur das überhaupt. Wie ja schon festgestellt wurde, solange man ja nicht weiß wie verschlüsselt wird (und das würde man ja nur mit zugriff auf ne Datei herausfinden), kann man ja nicht aufs Passwort kommen, da müßte man dann noch die Verschlüsselung wissen...

Um mehr gehts doch nicht...
Bububoomt ist offline   Mit Zitat antworten
Alt 16.05.2007, 20:20:57   #71 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Drrichardfahrer Beitrag anzeigen
Irgendwie schaffst du es als Einziger mich mit deinen Argumenten zu überzeugen...du bringst es anscheinend auf den Punkt und ich persönlich wäre mit dieser Lösung zufrieden.
Ich sehe diesen Thread hier nur als - auch wenn er objektiv mit Umfrage verpackt is - Panikmache für User an, die von der ganzen Technik hinter ihrem Startportal absolut keine Ahnung haben. Und ich finde, dass man das halt nicht so stehenlassen darf und versuche deshalb, das Problem weiter zu zerpflücken.
Zitat:
Zitat von Bububoomt Beitrag anzeigen
Nun du bist aber niemand, der sich unerlaubt zugang zu fremden datenbanken verschafft oder? Meinst du die denken so wie du?
Ne, eigentlich ned
Die einzig andere Möglichkeit, die noch offen bleibt ist, dass jemand nur deshalb an die Datenbank geht, um Passwörter auszuspähen, um sie auf anderen Seiten einzusetzen. Und hier verweise ich wieder auf oben.
Zitat:
Zitat von Bububoomt Beitrag anzeigen
Es geht hier doch auch nciht darum wie verschlüsselt wird, sondern nur das überhaupt. [...]
Um mehr gehts doch nicht...
Wäre ich an Lukas' Stelle, würde ich jetzt einfach schnell n Base64 über die Passwörter werfen und den Thread mit den Worten "So, alle Passwörter sind jetzt verschlüsselt gespeichert. Alle zufrieden. Closed." schließen.
Wie gesagt, wäre ich an seiner Stelle...
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 16.05.2007, 22:17:46   #72 (permalink)
Erfahrener Benutzer
Benutzerbild von Drrichardfahrer

ID: 207405
Lose-Remote

Reg: 20.04.2006
Beiträge: 7.088
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Ich sehe diesen Thread hier nur als - auch wenn er objektiv mit Umfrage verpackt is - Panikmache für User an, die von der ganzen Technik hinter ihrem Startportal absolut keine Ahnung haben.
Das war, wie du sicher weißt, nicht meine Intention, aber es freut mich, dass dir meine Objektivität aufgefallen ist *g* Lukas hat diesbezüglich eh eine PM erhalten...
99% RB für alle, die sich anmelden - tolle Seite mit losespuckenden Slots und vielen Aktionen!
Drrichardfahrer ist offline Threadstarter   Mit Zitat antworten
Alt 16.05.2007, 22:20:30   #73 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Drrichardfahrer Beitrag anzeigen
Das war, wie du sicher weißt, nicht meine Intention, aber es freut mich, dass dir meine Objektivität aufgefallen ist *g*
Du hattest es an irgendeiner Stelle im Thread besonders betont gehabt.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 30.09.2012, 18:42:47   #74 (permalink)
Erfahrener Benutzer

ID: 217591
Lose-Remote

Aradiv eine Nachricht über ICQ schicken Aradiv eine Nachricht über MSN schicken
Reg: 20.04.2006
Beiträge: 1.683
Standard

Ich möchte das mal wieder ansprechen zumal es bald Funktionen wie password_hash und password_verify gibt, die man aber auch jetzt schon nutzen kann.

Wer sich weiter über das Thema informieren will:

Beitrag auf heise
http://www.heise.de/security/meldung...n-1707355.html

Code auf Github
https://github.com/ircmaxell/password_compat

Erklärung auf php.net
https://wiki.php.net/rfc/password_hash


Der Aufwand die Passwörter zu verschlüsseln ist innerhalb weniger Minuten erledigt.
 
Aradiv ist offline   Mit Zitat antworten
Alt 30.09.2012, 20:28:20   #75 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Aradiv Beitrag anzeigen
Der Aufwand die Passwörter zu verschlüsseln ist innerhalb weniger Minuten erledigt.
Uns ohne die neue API hätte es Stunden gedauert? (Laien, die jetzt keine Ahnung vom Thema haben und den Sarkasmus deshalb nicht verstehen: nein, es wäre halt eine Codezeile mehr gewesen; Aufwand einige wenige Sekunden)
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
klamm passwort honey-lips Ich bin neu hier und habe eine Frage! 6 28.10.2006 22:28:11
Klamm-Passwort <-> Tresor-Passwort *abgelehnt* 27o8 Verbesserungsvorschläge 28 03.06.2006 07:50:39


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:22:01 Uhr.