Klamm-Passwort in Datenbank verschlüsseln

Soll das Klamm-Passwort in der Datenbank verschlüsselt werden?

  • Ja, unbedingt.

    Stimmen: 55 64,7%

  • Nein, braucht es nicht.

    Stimmen: 24 28,2%

  • Ist mir egal, ich kenn mich mit Datenbanken nicht so aus.

    Stimmen: 6 7,1%
  • Umfrageteilnehmer
    85
  • Umfrage geschlossen .
theHacker schrieb:
Stell dir vor, jede Webseite würde mir beim Aufrufen erstmal sagen (nur mal so rein zum Vorstellen, praktisch geht das ja nicht), dass ich Windows-Update deaktiviert habe und potentielle Sicherheitslücken in meinem Betriebssystem vorhanden sind, mein Virenscanner schon 2 Wochen kein Update mehr gemacht hat, keine Firewall vorhanden ist. Beim Einloggen meldet mir mein Browser, dass ich dasselbe Passwort in den letzten 3 Monaten schon auf 172 anderen Seiten benutzt hab.
Also ich will das nicht 8O
Zum Vergrößern anklicken....
Mit Verlaub gesagt ist dieser Beitrag der größte bs den ich seit LANGEM gelesen habe.
Es geht hier nicht darum das man den User komplett an die Hand nimmt - wohl aber darum das man das Vertrauen des Users in dem Sinne stützt die Passwörter mit einem geeigneten Algorhythmus zu verschlüsseln - also spar dir derartige polemik für irgendwelche andere Zwecke (Stammtisch oder so...) auf.
 
So, obwohl ich keine Ahnung von dem ganzen Kram habe, habe ich mir den Thread nun mal zu Gemüte geführt.
Mir stellt sich aber nach wie vor die Frage: Was ist für mich als 08/15-Nutzer einer Webseite der Unterschied, wie meine Passwörter gespeichert werden?
 
Maastaaa schrieb:
So, obwohl ich keine Ahnung von dem ganzen Kram habe, habe ich mir den Thread nun mal zu Gemüte geführt.
Mir stellt sich aber nach wie vor die Frage: Was ist für mich als 08/15-Nutzer einer Webseite der Unterschied, wie meine Passwörter gespeichert werden?
Zum Vergrößern anklicken....

Für dich direkt? Im Falle das dir dein Passwort entfallen sollte kannst du dir dieses nicht mehr zusenden lassen sondern nur noch ein neues Passwort per Mail zusenden lassen - sowie eine erhöhte Sicherheit das im Falle einer Kompromittierung der Datenbank dein Passwort nicht von jedem Script-Kiddy augelesen werden kann.
 
Aber wenn man an die DB kommt ist doch das letzte was mich interessiert das Passwort. :doh:

Na gut, vielleicht sehe ich das anders. Muss nun los, tschüss bis Freitag.
 
@theHacker ;)

Worauf ich hinaus wollte, ich brauche doch gar nicht das original PW, sondern nur ein PW, das den gleichen HASH erzeugt oder etwa nicht?

Gut kümmer dich nicht um das was er auf anderen Seiten tut, aber kümmer dich trotzdem drum, das seine daten Sicher sind und wenn man das PW ohne großen Aufwand nun schützen kann, sollte man das nicht machen?

Du sagst doch jetzt auch nich, komm ihr dürft mehr oder weniger alle Daten aus meiner Db sehen, der User gibt sie ja auch auf Seite xyz frei an...
Du schütz diese Daten doch trotzdem vor zugriffen (jetzt mal abegsehen das du es wegen dem BSDG machst).

Es geht doch nicht darum, dass du etwas gesagt bekommst, von der Verschlüsselung bekommst du doch gar nicht mit!

Es geht nicht hier darum den User darauf hinzuweisen welche Sicherheitslücken er hat, dafür ist Windows selber, der Browser selber etc. PP verantwortlich und macht es auch, sofern du e nciht deaktiviert hast!

Es geht ganz allein um diese Seite.

das leute gleich übertreiben müssen und es auf anderes beziehen müssen...:evil:
 
Bububoomt schrieb:
Worauf ich hinaus wollte, ich brauche doch gar nicht das original PW, sondern nur ein PW, das den gleichen HASH erzeugt oder etwa nicht?
Zum Vergrößern anklicken....
Ja, stimmt. Ein einziges dieser theoretisch unendlich vielen Passwörter reicht aus, um trotzdem in den Account zu kommen.
(Man könnte jetzt behaupten, dass ein Hashen z.B. mit MD5 die Anzahl der möglichen Passwörter von 224[sup]50[/sup] auf 16[sup]32[/sup] einschränkt, also um den Faktor 9,562⋅10[sup]78[/sup], aber das will ich jetzt gar nicht mal weiter ausführen)
Bububoomt schrieb:
das leute gleich übertreiben müssen und es auf anderes beziehen müssen...:evil:
Zum Vergrößern anklicken....
Mit einer beispielhaften Übertreibung kann man sich manchmal mehr vorstellen, als großes Theorie-Gewäsch, drum mach ich das gerne mal.
Bububoomt schrieb:
Es geht doch nicht darum, dass du etwas gesagt bekommst, von der Verschlüsselung bekommst du doch gar nicht mit!
Zum Vergrößern anklicken....
Was mir an der ganzen Thematik nicht gefällt, was ich auch schon in meinem Eingangsposting angedeutet hab (Zitat: "Dass viele hier gar nicht merken, was sie für einen Kinderzirkus veranstalten :roll:"), dass es hier nur ums Passwort geht.
Im Endeffekt betrifft das "Sicherheitsproblem" doch alle Daten und ehrlich gesagt habe ich noch keine Seite gesehen - ich hab als Programmierer schon an vielen Webseiten hinter den Kulissen gearbeitet -, die komplett alle personenbezogenen Daten verschlüsselt. Name, Anschrift und so weiter will man ja nicht hashen, weil man die im Klartext braucht.

Würde Lukas jetzt posten, dass ab sofort alle Passwörter "verschlüsselt" (keine weiteren Aussagen über den verwendeten Algorithmus) gespeichert werden, wäre hier denn dann Ruhe ?
 
theHacker schrieb:
Würde Lukas jetzt posten, dass ab sofort alle Passwörter "verschlüsselt" (keine weiteren Aussagen über den verwendeten Algorithmus) gespeichert werden, wäre hier denn dann Ruhe ?
Zum Vergrößern anklicken....

Wahrscheinlich ja, wenn man ihm glaubt...ein paar, die herummeckern gibt es immer...aber ich versteh wirklich nicht, warum dann auf den meisten Seiten die PW verschlüsselt sind, wenn es eh nix bringt...das hat mir irgendwie noch niemand erklärt...
 
Drrichardfahrer schrieb:
[...] aber ich versteh wirklich nicht, warum dann auf den meisten Seiten die PW verschlüsselt sind, wenn es eh nix bringt...das hat mir irgendwie noch niemand erklärt...
Zum Vergrößern anklicken....
Ich kann nur für mich sprechen: Ein Passwort ist halt sicherer, wenn es verschlüsselt ist. Klar.

Ich, als Programmierer, würde schon rein deshalb die Passwörter verschlüsseln, dass ich sie nicht seh, wenn ich in der Datenbank rumhantiere. Allerdings sehe ich kein Problem darin, dass Passwort in einer Form zu speichern, die man wieder zurückrechnen kann, falls man den Klartext einmal braucht. z.B. um zu kurze/unsichere ("1234", "qwertz", ...) Passwörter zu finden oder dem User sein Passwort nochmals zuschicken zu können.

Wichtig finde ich es nur, die Passwörter vor mir, dem, der in der Datenbank arbeitet, zu schützen und dazu genügt es schon, wenn ich mal eben base64-codiere, damit ich als Mensch es nicht mehr lesen kann.

Das ist zumindest meine Meinung zum Thema Verschlüsselung von Daten.

Ich hatte es schon angesprochen, Maastaaa vorhin wiederholt:
Maastaaa schrieb:
Aber wenn man an die DB kommt ist doch das letzte was mich interessiert das Passwort. :doh:
Zum Vergrößern anklicken....
Wenn ich an der Datenbank bin, mach ich eh was anderes.
Wenn ich nicht an die Datenbank komm, isses mir auch egal, wie das Passwort gespeichert is.
 
theHacker schrieb:
Ich kann nur für mich sprechen: Ein Passwort ist halt sicherer, wenn es verschlüsselt ist. Klar.

Ich, als Programmierer, würde schon rein deshalb die Passwörter verschlüsseln, dass ich sie nicht seh, wenn ich in der Datenbank rumhantiere. Allerdings sehe ich kein Problem darin, dass Passwort in einer Form zu speichern, die man wieder zurückrechnen kann, falls man den Klartext einmal braucht. z.B. um zu kurze/unsichere ("1234", "qwertz", ...) Passwörter zu finden oder dem User sein Passwort nochmals zuschicken zu können.

Wichtig finde ich es nur, die Passwörter vor mir, dem, der in der Datenbank arbeitet, zu schützen und dazu genügt es schon, wenn ich mal eben base64-codiere, damit ich als Mensch es nicht mehr lesen kann.
Zum Vergrößern anklicken....

Irgendwie schaffst du es als Einziger mich mit deinen Argumenten zu überzeugen...du bringst es anscheinend auf den Punkt und ich persönlich wäre mit dieser Lösung zufrieden.
 
theHacker schrieb:
Ich hatte es schon angesprochen, Maastaaa vorhin wiederholt: Wenn ich an der Datenbank bin, mach ich eh was anderes.
Wenn ich nicht an die Datenbank komm, isses mir auch egal, wie das Passwort gespeichert is.
Zum Vergrößern anklicken....

Nun du bist aber niemand, der sich unerlaubt zugang zu fremden datenbanken verschafft oder? Meinst du die denken so wie du?


Es geht hier doch auch nciht darum wie verschlüsselt wird, sondern nur das überhaupt. Wie ja schon festgestellt wurde, solange man ja nicht weiß wie verschlüsselt wird (und das würde man ja nur mit zugriff auf ne Datei herausfinden), kann man ja nicht aufs Passwort kommen, da müßte man dann noch die Verschlüsselung wissen...

Um mehr gehts doch nicht...
 
Drrichardfahrer schrieb:
Irgendwie schaffst du es als Einziger mich mit deinen Argumenten zu überzeugen...du bringst es anscheinend auf den Punkt und ich persönlich wäre mit dieser Lösung zufrieden.
Zum Vergrößern anklicken....
Ich sehe diesen Thread hier nur als - auch wenn er objektiv mit Umfrage verpackt is - Panikmache für User an, die von der ganzen Technik hinter ihrem Startportal absolut keine Ahnung haben. Und ich finde, dass man das halt nicht so stehenlassen darf und versuche deshalb, das Problem weiter zu zerpflücken.
Bububoomt schrieb:
Nun du bist aber niemand, der sich unerlaubt zugang zu fremden datenbanken verschafft oder? Meinst du die denken so wie du?
Zum Vergrößern anklicken....
Ne, eigentlich ned :ugly:
Die einzig andere Möglichkeit, die noch offen bleibt ist, dass jemand nur deshalb an die Datenbank geht, um Passwörter auszuspähen, um sie auf anderen Seiten einzusetzen. Und hier verweise ich wieder auf oben.
Bububoomt schrieb:
Es geht hier doch auch nciht darum wie verschlüsselt wird, sondern nur das überhaupt. [...]
Um mehr gehts doch nicht...
Zum Vergrößern anklicken....
Wäre ich an Lukas' Stelle, würde ich jetzt einfach schnell n Base64 über die Passwörter werfen und den Thread mit den Worten "So, alle Passwörter sind jetzt verschlüsselt gespeichert. Alle zufrieden. Closed." schließen.
Wie gesagt, wäre ich an seiner Stelle... :mrgreen:
 
theHacker schrieb:
Ich sehe diesen Thread hier nur als - auch wenn er objektiv mit Umfrage verpackt is - Panikmache für User an, die von der ganzen Technik hinter ihrem Startportal absolut keine Ahnung haben.
Zum Vergrößern anklicken....

Das war, wie du sicher weißt, nicht meine Intention, aber es freut mich, dass dir meine Objektivität aufgefallen ist *g* Lukas hat diesbezüglich eh eine PM erhalten...
 
Ich möchte das mal wieder ansprechen zumal es bald Funktionen wie password_hash und password_verify gibt, die man aber auch jetzt schon nutzen kann.

Wer sich weiter über das Thema informieren will:

Beitrag auf heise
https://www.heise.de/security/meldung/PHP-5-5-soll-Passwort-Schlamperei-eindaemmen-1707355.html

Code auf Github
https://github.com/ircmaxell/password_compat

Erklärung auf php.net
https://wiki.php.net/rfc/password_hash


Der Aufwand die Passwörter zu verschlüsseln ist innerhalb weniger Minuten erledigt.
 
Aradiv schrieb:
Der Aufwand die Passwörter zu verschlüsseln ist innerhalb weniger Minuten erledigt.
Zum Vergrößern anklicken....
Uns ohne die neue API hätte es Stunden gedauert? (Laien, die jetzt keine Ahnung vom Thema haben und den Sarkasmus deshalb nicht verstehen: nein, es wäre halt eine Codezeile mehr gewesen; Aufwand einige wenige Sekunden)
 
ice-breaker schrieb:
Nein, es interessiert Lukas einfach nicht das geringste bisschen.
Zum Vergrößern anklicken....

Warum auch?

Es bringt kein Geld, macht Arbeit, potentielle Fehlerquelle (Implementationsfehler) und erfordert mehr Systemleistung (ver-/ entschlüsseln, Generierung von Passwort-Reset-Mails, zusätzliche Logik zur Erzeugung neuer Passwörter, etc) und SSL-abgesicherte Loginseiten ohne Fremdwerbung, wenn man es richtig machen will.

Also für Lukas viel Aufwand und Einnahme-Verlust.

Aber da es Lukas sowieso egal ist, durch Einbindung von Facebook-Buttons und -Connect, wer die Daten der User bekommt is es eh egal.

jiw
 
jiw schrieb:
Aber da es Lukas sowieso egal ist, durch Einbindung von Facebook-Buttons und -Connect, wer die Daten der User bekommt is es eh egal.

jiw
Zum Vergrößern anklicken....

Mach mal bitte halblang und unterlasse solche Unterstellungen. FB bekommt überhaupt keine Daten von klamm, ausschließlich in die andere Richtung. Und ob ich PW mittlerweile bijektiv verschlüssele weiß hier überhaupt niemand. :roll:
 
klamm schrieb:
Mach mal bitte halblang und unterlasse solche Unterstellungen. FB bekommt überhaupt keine Daten von klamm, ausschließlich in die andere Richtung. Und ob ich PW mittlerweile bijektiv verschlüssele weiß hier überhaupt niemand. :roll:
Zum Vergrößern anklicken....

Oh, eine Wortmeldung. :)

Ohm wg. Facbook-Buttons: Lies doch die entsprechenden Berichte, was von Facebook abgefragt wird, wenn deren Facebook-Like-Buttons(-Skripte) eingebunden werden, egal ob man angemeldet wird oder nicht.

Bzgl. des Facebook-Connect-Buttons: Würde mich wundern wenn dieser nicht durch ein entsprechendes Script von FB geliefert wird, auch wenn ich Ihn nicht verwende, werden auch hier Daten abgefragt.

Und da Du ja wie Du schreibst, ja keine Stellung zur Art und Weise der Passwort-Verschlüsselung bzw. der Art und Weise wie Du einem das "vergessene" Passwort wieder schicken kannst, nehmen willst, bleiben einem nur Vermutungen und ja Unterstellungen, da dieser Thread ja mittlerweile auch schon über 5 Jahre alt ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Olli
    • Like
    • Haha
25 Jahre Klamm
2
Antworten
24
Aufrufe
2K
Wolverine
Wolverine
theHacker
Wie viel Zeit verbringt ihr täglich auf klamm.de?
Antworten
7
Aufrufe
2K
domino
domino
Konnan
Klamm.de 2.0: Die Wiederbelebung unserer Digitalwährung auf der Binance Smart Chain
Antworten
0
Aufrufe
2K
Konnan
Konnan
marc
klamm.de/down
Antworten
8
Aufrufe
2K
marc
marc
klamm
    • Like
  • Gesperrt
  • Angeheftet
klamm.de Newsletter
Antworten
3
Aufrufe
5K
klamm
klamm
Zurück
Oben