[Unsicher] Passwort-Vergessen-Funktion

[Unsicher] Passwort-Vergessen-Funktion (47 Beiträge, 1041 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo zusammen,

ich finde alles an Geizhals toll, es gibt nur ein sehr großes Problem:

Die "Passwort vergessen" Funktion verschickt auf Anfrage mein Passwort per e-mail!

Das hat 2 große Nachteile:
a) jeder mit etwas Know-how kann emails mitlesen, da sie im klartext übertragen werden.
b) wenn mir zufällig jemand über die Schulter schaut, sieht er mein Passwort.
Natürlich verwendet man ein Passwort nicht auf mehren Seiten, dennoch ist das ein großes Sicherheitsrisiko.

Grüße,
nixnick

[edit]

Lesen: https://forum.geizhals.at/t714917.html

12.02.2012, 21:20 Uhr - Editiert von mjy@geizhals.at, alte Version: hier

1. wie, wenn nicht mit PW willst dich sonst hier anmelden?

2. ich kenn keine Seite, die ein neues PW nicht per Mail zusendet. Was schwebt dir als Ersatz vor.

mfg
AVS

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Sie überwiegende Zahl der Seiten, wo ich registriert bin, schickt KEIN Passwort per Email, sondern einen Passwort Reset-Link, und damit kann ich ein neues PW setzen.

wo ist der Unterschied?

mfg
AVS

Der Hauptunterschied wird sein, wie die Passwörter gespeichert sind. Wenn sie verschlüsselt gespeichert werden, kann man sie nicht mehr versenden, sondern nur neu setzen.

Wenn die Passwörter nicht verschlüsselt sind, kann jeder, der Zugriff auf die Benutzerdaten hat, alle Passwörter auslesen.

Ausserdem merkst du es sofort, wenn jemand deinen Account übernommen hat. Wenn das Passwort jemanden in die Hände fällt, kann er unbemerkt mitlesen oder was auch immer machen.

Wenn die Passwörter nicht verschlüsselt sind

sind sie jetzt aber doch auch bei GH

mfg
AVS

Dann könnte GH das Passwort aber nicht mehr verschicken...

http://de.wikipedia.org/wiki/Hashfunktion#Beispiel_des_Logins_in_eine_passwortgesch.C3.BCtzte_Internetseite

wos waß i

mfg
AVS

Dann könnte GH das Passwort aber nicht mehr verschicken...

Verschlüsselte Passwörte können wieder entschlüsselt werden. Der Sinn einer Verschlüsselung ist, dass Daten auch wieder entschlüsselt werden können.

Du meinst wohl eine Hash-Funktion. Diese ist nämlich nicht umkehrbar.

12.02.2012, 08:14 Uhr - Editiert von hellbringer, alte Version: hier

Ist mir klar, aber solche Details sind hier wohl eher nebensächlich und verwirren nur noch mehr.

Ein Stichwort: Rainbowtables.

Danke.

Ein Stichwort: Rainbowtables.

Noch ein Stichwort: Salt.

noch ein Stichwort:
SHA-512

Davon stand nix im Posting, auf das ich replyd hab...

Davon stand nix im Posting, auf das ich replyd hab...

Weils selbstverständlich sein sollte.

...

"Ok."

was ich damit meinte: SHA-512 + salt.
-> dann machen rainbowtables auch keinen sinn mehr.

sind sie jetzt aber doch auch bei GH

Offenbar wird hier eine Verschlüsselung mit einer Hash-Funktion verwechselt. Er meint vermutlich einen Hash-Wert.

a) jeder mit etwas Know-how kann emails mitlesen, da sie im klartext
übertragen werden.

bist du so wichtig, dass irgendjemand deine emails mitliest?

wenn mir zufällig jemand über die Schulter schaut, sieht er mein Passwort.

dann öffne keine privaten emails, wenn jemand hinter dir steht

lg,
Justin

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

achso, nochwas gefällt mir nicht daran: warum passwörter nicht als hashes speichern?

achso, nochwas gefällt mir nicht daran: warum passwörter nicht als hashes
speichern?

Muahaha, darüber gabs schon einige hitzige Diskussionen mit Herrn Geizhals, der leider nicht besonders einsichtig ist.

Immerhin wurde erreicht, dass das Passwort nicht mehr als Klartext im Cookie gespeichert wird.

12.02.2012, 08:10 Uhr - Editiert von hellbringer, alte Version: hier

Das GHF ist ja kein Online-Banking no worry

Selbst wenn jemand das Passwort "phischt" evil

was kann er damit schon großartig machen huh

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Das GHF ist ja kein Online-Banking Selbst wenn jemand das Passwort
"phischt" was kann er damit schon großartig machen

Ein kluger Mensch wird im Forum kein Passwort verwenden, dass er noch an anderer Stelle verwendet. Aber es sind eben nicht alle gscheit und perfekt. Man könnte jetzt natürlich sagen: Selbst Schuld. Aber IMHO gehört es zu einem professionellen Auftreten, dass Passwörter _nicht_ lesbar gespeichert werden, unabhängig davon was der User macht.

Wurde hier schon öfter diskutiert und es hat sich nichts geändert. Es war schon schwierig genug die Verantwortlichen dazu zu überreden die Passwörter nicht im Klartext in die Cookies zu schreiben. Jetzt sind sie aber immer noch im Klartext in der Datenbank.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Die Einsicht kommt immer erst dann wenn es zu spät ist, und die DB bereits auf PasteBin oder sonstwo zum Abruf bereit steht...

Aber dann sind ja sowieso diejenigen Schuld dir ihr Passwort mehrfach verwenden (Ironie)

Darum verwende ich jetzt immer den Password Hasher, funktioniert soweit ganz gut und seeehr einfach.

An sich eine sehr gute Sache, nur leider nicht so komfortabel. Am iPad und iPhone, hilft mir ein Firefox addon nämlich nicht viel

Davon gibts auch Online-JavaScript Versionen für unterwegs

Aber für die Dienste die man immer wieder selbst eingeben muss, muss man sich halt eben ein eigenes Passwort merken.

Ich nutze auch KeePass mit Firefox-Addon, der speichert mir die Passwörter direkt in KeePass und ruft sie auch von dort wieder ab.

naja das GHF pw würd ich jetzt ned unbedingt für online banking oder mastercard securecode verwenden

Seitdem ich weiß wie es hier mit der Sicherheit ausschaut verwende ich eh ein eigenes Passwort für Geizhals, das ich mir leicht merken kann

Für Leute die darauf Vertrauen, dass hier die üblichen Sicherheitsstandards eingehalten werden ist es halt blöd...

Es ist nicht klug, immer gegen die Evolution zu arbeiten.

Danke für die brisante Info, dass die Passwörter plain in der DB stehen. Ich hatte geizhals eigentlich immer als _sehr_ professionell angesehen. Gewisse Mindeststandards sollte man schon an den Tag legen.
Schade auch, dass diese fehlende Funktion von einem GH Admin auch noch verteidigt wird, so lange wie drüber gelabert wurde, könnte die Funktion auch schon eingebaut sein. Oder bei entsprechender DB einfach konfiguriert, Stichwort TDE.
Bevor jetzt wieder groß dagegen gewettert wird, es geht nicht um den Regelfall sondern um die Versicherung falls irgendwer Zugriff auf die DB kriegt...

Immer die selbe Leier. Das Gegenstück zum script-Kiddie ist wohl der "Admin", der seine Empfehlungen aus den Medien bezieht.

Für die Sicherheit unserer Server sind wir verantwortlich. Wenn es einen breach gibt, dann ist es aus unserer Sicht nicht relevant, ob die Daten nun verschlüsselt waren oder nicht (nachdem wir keine Kreditkartendaten o.ä. speichern). Die sensibelsten Informationen sind da noch die Mailadressen und die können wir nicht wirklich gut gehasht speichern, da wir sie auch verwenden müssen.

Für die Sicherheit ihrer sensiblen Accounts (anderswo) sind jedoch die User verantwortlich und wer seine credentials mehrfach verwendet, kommt früher oder später zum Handkuss, nicht notwendigerweise durch solche "hacks", sondern z.B. auch durch Websites mit fragwürdigen Betreibern (die können immer auf die plaintext-Passwörter zugreifen), oder durch Malware am eigenen Computer. Dagegen können wir nicht sinnvoll schützen, das muss man auch verstehen - und wenn wir uns dafür engagieren wollten, wäre die sinnvollste Maßnahme, einmal pro Monat alle Passwörter zu ändern und die neuen zu mailen...

Aber ja, darüber kann man endlos streiten, früher oder später werden wir vielleicht so eine snake-oil-Maßnahme wie auch am Datenbankserver nur mehr gehashte Passwörter umsetzen (der exponiertere Webserver hat auf die plaintext-Passwörter keinen Zugriff mehr, könnte sie aber beim Login abfangen) um das hysterische Geplapper zu vermeiden.

was stimmt mit meinem Netzzugang nicht? | wikileaks.geizhals.org

"Wenn Behörden solche Trojaner in Auftrag geben und sie benutzen, handelt es sich um eine neue Form der Staatskriminalität" (Heribert Prantl, sueddeutsche.de)

"I haven't had a lifelong campaign against authority. Legitimate authority is important. All human systems require authority, but authority must be granted as a result of the informed consent of the governed. Presently, the consent, if there is any, is not informed, and therefore it's not legitimate." (J. Assange)

Dagegen können wir nicht sinnvoll schützen, das muss man auch verstehen - und
wenn wir uns dafür engagieren wollten, wäre die sinnvollste Maßnahme, einmal
pro Monat alle Passwörter zu ändern und die neuen zu mailen...

jo und am besten noch die letzten 10 verwendeten PWs nicht zulassen und nur 1 PW änderung pro 24 stunden zulassen. ist wohl auch sowas wie die defaultpolicy bei microsoft. wennst mit so einem *PIEP* kommst, dann möcht ich einen 2038er ausfassen.

12.02.2012, 21:19 Uhr - Editiert von user96106, alte Version: hier

a) jeder mit etwas Know-how kann emails mitlesen, da sie im klartext
übertragen werden.

und die können einen passwort reset link auch mitlesen und sich dann selbst ein passwort setzen. wenn du per http anstatt https im forum arbeitest, wird das passwort wohl auch beim login in klartext übermittelt. bei einem spassforum ist mir das eigentlich *PIEP*gal.

b) wenn mir zufällig jemand über die Schulter schaut, sieht er mein Passwort.

wenn dir jemand beim passwort ändern über die schulter schaut hat er auch das neue passwort. so what?

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

b) wenn mir zufällig jemand über die Schulter schaut, sieht er mein Passwort.

öhhhm? ist das jetzt dein ernst?

a) jeder mit etwas Know-how kann emails mitlesen, da sie im klartext
übertragen werden.

Also ich habe "etwas know how" und hab keine achnung wie ich das machen soll.

würdest du es mit bitte zeigen und mein passwort knacken?!

12.02.2012, 11:45 Uhr - Editiert von RoHS, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

http://forum.geizhals.at/t714917.html

Das wurde schon ad nauseam abgehandelt.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Wir finden das komfortabler und für den hier benötigten Sicherheitsgrad ausreichend.

Wie Steam gezeigt hat, sind jedenfalls besonders umständliche Methoden und zusätzliche Abfragen im Grunde auch kein Schutz.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

steam waren ja auch die loser, die jedesmal meinten irgendwelche kreditkarten würden missbraucht werden.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung