[Unsicher] Passwort-Vergessen-Funktion

Re(4): [Unsicher] Passwort-Vergessen-Funktion

user96106 — Sun, 12 Feb 2012 20:17:54 GMT

Dagegen können wir nicht sinnvoll schützen, das muss man auch verstehen - und
wenn wir uns dafür engagieren wollten, wäre die sinnvollste Maßnahme, einmal
pro Monat alle Passwörter zu ändern und die neuen zu mailen...

jo und am besten noch die letzten 10 verwendeten PWs nicht zu lassen. ist wohl auch sowas wie die defaultpolicy bei microsoft. wennst mit so einem *PIEP* kommst, dann möcht ich einen 2038er ausfassen.

Re(4): [Unsicher] Passwort-Vergessen-Funktion

user96106 — Sun, 12 Feb 2012 20:17:54 GMT

Dagegen können wir nicht sinnvoll schützen, das muss man auch verstehen - und
wenn wir uns dafür engagieren wollten, wäre die sinnvollste Maßnahme, einmal
pro Monat alle Passwörter zu ändern und die neuen zu mailen...

jo und am besten noch die letzten 10 verwendeten PWs nicht zulassen und nur 1 PW änderung pro 24 stunden zulassen. ist wohl auch sowas wie die defaultpolicy bei microsoft. wennst mit so einem *PIEP* kommst, dann möcht ich einen 2038er ausfassen.

Re(3): [Unsicher] Passwort-Vergessen-Funktion

mjy@geizhals.at — Sun, 12 Feb 2012 20:14:45 GMT

Immer die selbe Leier. Das Gegenstück zum script-Kiddie ist wohl der "Admin", der seine Empfehlungen aus den Medien bezieht.

Für die Sicherheit unserer Server sind wir verantwortlich. Wenn es einen breach gibt, dann ist es aus unserer Sicht nicht relevant, ob die Daten nun verschlüsselt waren oder nicht (nachdem wir keine Kreditkartendaten o.ä. speichern). Die sensibelsten Informationen sind da noch die Mailadressen und die können wir nicht wirklich gut gehasht speichern, da wir sie auch verwenden müssen.

Für die Sicherheit ihrer sensiblen Accounts (anderswo) sind jedoch die User verantwortlich und wer seine credentials mehrfach verwendet, kommt früher oder später zum Handkuss, nicht notwendigerweise durch solche "hacks", sondern z.B. auch durch Websites mit fragwürdigen Betreibern (die können immer auf die plaintext-Passwörter zugreifen), oder durch Malware am eigenen Computer. Dagegen können wir nicht sinnvoll schützen, das muss man auch verstehen - und wenn wir uns dafür engagieren wollten, wäre die sinnvollste Maßnahme, einmal pro Monat alle Passwörter zu ändern und die neuen zu mailen...

Aber ja, darüber kann man endlos streiten, früher oder später werden wir vielleicht so eine snake-oil-Maßnahme wie auch am Datenbankserver nur mehr gehashte Passwörter umsetzen (der exponiertere Webserver hat auf die plaintext-Passwörter keinen Zugriff mehr, könnte sie aber beim Login abfangen) um das hysterische Geplapper zu vermeiden.

Re(2): [Unsicher] Passwort-Vergessen-Funktion

user96106 — Sun, 12 Feb 2012 19:57:02 GMT

steam waren ja auch die loser, die jedesmal meinten irgendwelche kreditkarten würden missbraucht werden.

Re(2): [Unsicher] Passwort-Vergessen-Funktion

SoaR — Sun, 12 Feb 2012 19:17:35 GMT

Danke für die brisante Info, dass die Passwörter plain in der DB stehen. Ich hatte geizhals eigentlich immer als _sehr_ professionell angesehen. Gewisse Mindeststandards sollte man schon an den Tag legen.
Schade auch, dass diese fehlende Funktion von einem GH Admin auch noch verteidigt wird, so lange wie drüber gelabert wurde, könnte die Funktion auch schon eingebaut sein. Oder bei entsprechender DB einfach konfiguriert, Stichwort TDE.
Bevor jetzt wieder groß dagegen gewettert wird, es geht nicht um den Regelfall sondern um die Versicherung falls irgendwer Zugriff auf die DB kriegt...

Re(6): [Unsicher] Passwort-Vergessen-Funktion

tha_haze — Sun, 12 Feb 2012 16:54:52 GMT

Davon gibts auch Online-JavaScript Versionen für unterwegs

Aber für die Dienste die man immer wieder selbst eingeben muss, muss man sich halt eben ein eigenes Passwort merken.

Ich nutze auch KeePass mit Firefox-Addon, der speichert mir die Passwörter direkt in KeePass und ruft sie auch von dort wieder ab.

Re: [Unsicher] Passwort-Vergessen-Funktion

mjy@geizhals.at — Sun, 12 Feb 2012 16:41:06 GMT

Wir finden das komfortabler und für den hier benötigten Sicherheitsgrad ausreichend.

Wie Steam gezeigt hat, sind jedenfalls besonders umständliche Methoden und zusätzliche Abfragen im Grunde auch kein Schutz.

Re(13): [Unsicher] Passwort-Vergessen-Funktion

nixnick — Sun, 12 Feb 2012 16:19:06 GMT

was ich damit meinte: SHA-512 + salt.
-> dann machen rainbowtables auch keinen sinn mehr.

Re(12): [Unsicher] Passwort-Vergessen-Funktion

lsr2 — Sun, 12 Feb 2012 16:02:26 GMT

...

"Ok."

Re(11): [Unsicher] Passwort-Vergessen-Funktion

hellbringer — Sun, 12 Feb 2012 15:15:15 GMT

Davon stand nix im Posting, auf das ich replyd hab...

Weils selbstverständlich sein sollte.

Re(10): [Unsicher] Passwort-Vergessen-Funktion

lsr2 — Sun, 12 Feb 2012 14:28:15 GMT

Davon stand nix im Posting, auf das ich replyd hab...

Re(10): [Unsicher] Passwort-Vergessen-Funktion

nixnick — Sun, 12 Feb 2012 12:50:07 GMT

noch ein Stichwort:
SHA-512

Re(9): [Unsicher] Passwort-Vergessen-Funktion

hellbringer — Sun, 12 Feb 2012 12:44:59 GMT

Ein Stichwort: Rainbowtables.

Noch ein Stichwort: Salt.

Re(6): [Unsicher] Passwort-Vergessen-Funktion

m3t4tr0n — Sun, 12 Feb 2012 12:36:41 GMT

Es ist nicht klug, immer gegen die Evolution zu arbeiten.

Hierzu auch bitte folgenden Thread lesen

lsr2 — Sun, 12 Feb 2012 12:29:17 GMT

http://forum.geizhals.at/t714917.html

Das wurde schon ad nauseam abgehandelt.

Re(8): [Unsicher] Passwort-Vergessen-Funktion

lsr2 — Sun, 12 Feb 2012 12:25:58 GMT

Ein Stichwort: Rainbowtables.

Danke.

Re: [Unsicher] Passwort-Vergessen-Funktion

RoHS — Sun, 12 Feb 2012 10:44:44 GMT

b) wenn mir zufällig jemand über die Schulter schaut, sieht er mein Passwort.

öhhhm? ist das jetzt dein ernst?

a) jeder mit etwas Know-how kann emails mitlesen, da sie im klartext
übertragen werden.

Also ich habe "etwas know how" würdest du bitte mein passwort knacken?!

Re: [Unsicher] Passwort-Vergessen-Funktion

RoHS — Sun, 12 Feb 2012 10:44:44 GMT

b) wenn mir zufällig jemand über die Schulter schaut, sieht er mein Passwort.

öhhhm? ist das jetzt dein ernst?

a) jeder mit etwas Know-how kann emails mitlesen, da sie im klartext
übertragen werden.

Also ich habe "etwas know how" und hab keine achnung wie ich das machen soll.

würdest du es mit bitte zeigen und mein passwort knacken?!

Re(5): [Unsicher] Passwort-Vergessen-Funktion

kaufinator1 — Sun, 12 Feb 2012 10:20:26 GMT

An sich eine sehr gute Sache, nur leider nicht so komfortabel. Am iPad und iPhone, hilft mir ein Firefox addon nämlich nicht viel

Re(5): [Unsicher] Passwort-Vergessen-Funktion

kaufinator1 — Sun, 12 Feb 2012 10:16:26 GMT

Seitdem ich weiß wie es hier mit der Sicherheit ausschaut verwende ich eh ein eigenes Passwort für Geizhals, das ich mir leicht merken kann

Für Leute die darauf Vertrauen, dass hier die üblichen Sicherheitsstandards eingehalten werden ist es halt blöd...

Re(4): [Unsicher] Passwort-Vergessen-Funktion

user96106 — Sun, 12 Feb 2012 10:11:32 GMT

naja das GHF pw würd ich jetzt ned unbedingt für online banking oder mastercard securecode verwenden

Re: [Unsicher] Passwort-Vergessen-Funktion

user96106 — Sun, 12 Feb 2012 10:08:34 GMT

a) jeder mit etwas Know-how kann emails mitlesen, da sie im klartext
übertragen werden.

und die können einen passwort reset link auch mitlesen und sich dann selbst ein passwort setzen. wenn du per http anstatt https im forum arbeitest, wird das passwort wohl auch beim login in klartext übermittelt. bei einem spassforum ist mir das eigentlich *PIEP*gal.

b) wenn mir zufällig jemand über die Schulter schaut, sieht er mein Passwort.

wenn dir jemand beim passwort ändern über die schulter schaut hat er auch das neue passwort. so what?

Re(4): [Unsicher] Passwort-Vergessen-Funktion

tha_haze — Sun, 12 Feb 2012 10:08:22 GMT

Darum verwende ich jetzt immer den Password Hasher, funktioniert soweit ganz gut und seeehr einfach.

Re(3): [Unsicher] Passwort-Vergessen-Funktion

kaufinator1 — Sun, 12 Feb 2012 10:04:44 GMT

Aber dann sind ja sowieso diejenigen Schuld dir ihr Passwort mehrfach verwenden (Ironie)

Re(2): [Unsicher] Passwort-Vergessen-Funktion

tha_haze — Sun, 12 Feb 2012 09:52:49 GMT

Die Einsicht kommt immer erst dann wenn es zu spät ist, und die DB bereits auf PasteBin oder sonstwo zum Abruf bereit steht...

Re: [Unsicher] Passwort-Vergessen-Funktion

kaufinator1 — Sun, 12 Feb 2012 08:54:00 GMT

Wurde hier schon öfter diskutiert und es hat sich nichts geändert. Es war schon schwierig genug die Verantwortlichen dazu zu überreden die Passwörter nicht im Klartext in die Cookies zu schreiben. Jetzt sind sie aber immer noch im Klartext in der Datenbank.

Re(2): [Unsicher] Passwort-Vergessen-Funktion

hellbringer — Sun, 12 Feb 2012 08:07:06 GMT

Das GHF ist ja kein Online-Banking Selbst wenn jemand das Passwort
"phischt" was kann er damit schon großartig machen

Ein kluger Mensch wird im Forum kein Passwort verwenden, dass er noch an anderer Stelle verwendet. Aber es sind eben nicht alle gscheit und perfekt. Man könnte jetzt natürlich sagen: Selbst Schuld. Aber IMHO gehört es zu einem professionellen Auftreten, dass Passwörter _nicht_ lesbar gespeichert werden, unabhängig davon was der User macht.

Re(8): [Unsicher] Passwort-Vergessen-Funktion

Robert Craven — Sun, 12 Feb 2012 07:59:29 GMT

Ist mir klar, aber solche Details sind hier wohl eher nebensächlich und verwirren nur noch mehr.

Re: [Unsicher] Passwort-Vergessen-Funktion

mthsff — Sun, 12 Feb 2012 07:57:57 GMT

Das GHF ist ja kein Online-Banking
Selbst wenn jemand das Passwort "phischt" was kann er damit schon großartig machen

Re(7): [Unsicher] Passwort-Vergessen-Funktion

hellbringer — Sun, 12 Feb 2012 07:13:13 GMT

Dann könnte GH das Passwort aber nicht mehr verschicken...

Verschlüsselte Passwörte können wieder entschlüsselt werden. Der Sinn einer Verschlüsselung ist, dass Daten auch wieder entschlüsselt werden können.

Du meinst wohl eine Hash-Funktion.

Re(7): [Unsicher] Passwort-Vergessen-Funktion

hellbringer — Sun, 12 Feb 2012 07:13:13 GMT

Dann könnte GH das Passwort aber nicht mehr verschicken...

Verschlüsselte Passwörte können wieder entschlüsselt werden. Der Sinn einer Verschlüsselung ist, dass Daten auch wieder entschlüsselt werden können.

Du meinst wohl eine Hash-Funktion. Diese ist nämlich nicht umkehrbar.

Re(7): [Unsicher] Passwort-Vergessen-Funktion

hellbringer — Sun, 12 Feb 2012 07:13:13 GMT

Dann könnte GH das Passwort aber nicht mehr verschicken...

Verschlüsselte Passwörte können wieder entschlüsselt werden. Der Sinn einer Verschlüsselung ist, dass Daten auch wieder entschlüsselt werden können.

Re(6): [Unsicher] Passwort-Vergessen-Funktion

hellbringer — Sun, 12 Feb 2012 07:12:19 GMT

sind sie jetzt aber doch auch bei GH

Offenbar wird hier eine Verschlüsselung mit einer Hash-Funktion verwechselt. Er meint vermutlich einen Hash-Wert.

Re(3): [Unsicher] Passwort-Vergessen-Funktion

hellbringer — Sun, 12 Feb 2012 07:09:58 GMT

achso, nochwas gefällt mir nicht daran: warum passwörter nicht als hashes
speichern?

Muahaha, darüber gabs schon einige hitzige Diskussionen mit Herrn Geizhals, der leider nicht besonders einsichtig ist.

Immerhin wurde erreicht, dass das Passwort nicht mehr als Klartext im Cookie gespeichert wird.

Re(3): [Unsicher] Passwort-Vergessen-Funktion

hellbringer — Sun, 12 Feb 2012 07:09:58 GMT

achso, nochwas gefällt mir nicht daran: warum passwörter nicht als hashes
speichern?

Muahaha, darüber gabs schon einige hitzige Diskussionen mit Herrn Geizhals, der leider nicht besonders einsichtig ist.

Re(7): [Unsicher] Passwort-Vergessen-Funktion

AVS_reloaded — Sat, 11 Feb 2012 22:29:25 GMT

wos waß i

Re(6): [Unsicher] Passwort-Vergessen-Funktion

Robert Craven — Sat, 11 Feb 2012 22:28:25 GMT

Dann könnte GH das Passwort aber nicht mehr verschicken...

http://de.wikipedia.org/wiki/Hashfunktion#Beispiel_des_Logins_in_eine_passwortgesch.C3.BCtzte_Internetseite

Re(5): [Unsicher] Passwort-Vergessen-Funktion

AVS_reloaded — Sat, 11 Feb 2012 22:17:07 GMT

Wenn die Passwörter nicht verschlüsselt sind

sind sie jetzt aber doch auch bei GH

Re(2): [Unsicher] Passwort-Vergessen-Funktion

nixnick — Sat, 11 Feb 2012 21:38:08 GMT

achso, nochwas gefällt mir nicht daran: warum passwörter nicht als hashes speichern?

Re(4): [Unsicher] Passwort-Vergessen-Funktion

Robert Craven — Sat, 11 Feb 2012 21:17:52 GMT

Der Hauptunterschied wird sein, wie die Passwörter gespeichert sind. Wenn sie verschlüsselt gespeichert werden, kann man sie nicht mehr versenden, sondern nur neu setzen.

Wenn die Passwörter nicht verschlüsselt sind, kann jeder, der Zugriff auf die Benutzerdaten hat, alle Passwörter auslesen.

Ausserdem merkst du es sofort, wenn jemand deinen Account übernommen hat. Wenn das Passwort jemanden in die Hände fällt, kann er unbemerkt mitlesen oder was auch immer machen.

Re: [Unsicher] Passwort-Vergessen-Funktion

Justin B. — Sat, 11 Feb 2012 21:09:18 GMT

a) jeder mit etwas Know-how kann emails mitlesen, da sie im klartext
übertragen werden.

bist du so wichtig, dass irgendjemand deine emails mitliest?

wenn mir zufällig jemand über die Schulter schaut, sieht er mein Passwort.

dann öffne keine privaten emails, wenn jemand hinter dir steht

Re(3): [Unsicher] Passwort-Vergessen-Funktion

AVS_reloaded — Sat, 11 Feb 2012 20:57:13 GMT

wo ist der Unterschied?

Re(2): [Unsicher] Passwort-Vergessen-Funktion

Wizard51 — Sat, 11 Feb 2012 20:56:15 GMT

Sie überwiegende Zahl der Seiten, wo ich registriert bin, schickt KEIN Passwort per Email, sondern einen Passwort Reset-Link, und damit kann ich ein neues PW setzen.

Re: [Unsicher] Passwort-Vergessen-Funktion

AVS_reloaded — Sat, 11 Feb 2012 20:51:33 GMT

1. wie, wenn nicht mit PW willst dich sonst hier anmelden?

2. ich kenn keine Seite, die ein neues PW nicht per Mail zusendet. Was schwebt dir als Ersatz vor.

[Unsicher] Passwort-Vergessen-Funktion

nixnick — Sat, 11 Feb 2012 20:40:26 GMT

Hallo zusammen,

ich finde alles an Geizhals toll, es gibt nur ein sehr großes Problem:

Die "Passwort vergessen" Funktion verschickt auf Anfrage mein Passwort per e-mail!

Das hat 2 große Nachteile:
a) jeder mit etwas Know-how kann emails mitlesen, da sie im klartext übertragen werden.
b) wenn mir zufällig jemand über die Schulter schaut, sieht er mein Passwort.
Natürlich verwendet man ein Passwort nicht auf mehren Seiten, dennoch ist das ein großes Sicherheitsrisiko.

Grüße,
nixnick

[Unsicher] Passwort-Vergessen-Funktion

nixnick — Sat, 11 Feb 2012 20:40:26 GMT