Hallo! Schon länger frage ich mich (was nichts bringt, weil ich mir keine Antwort darauf geben kann, deswegen frage ich jetzt euch), ob eigentlich die Administratoren von Foren, Blogs, Sozialen Netzwerken usw., bei denen man sich mit Passwort einloggt, die Passwörter aller Benutzer vorliegen haben.

Auch würde mich interessieren, ob bei denen irgendwie falsche Passwörter von fehlgeschlagenen Anmeldeversuchen einsehbar sind. Wenn nämlich ja, dürften einige schon eine ziemliche Sammlung an meinen Passwörtern für andere Seiten haben und dann wäre ein deutlich häufigerer Wechsel der Passwörter angesagt.

Hi,

idR kennt niemand außer dir die Passwörter. Die Passwörter auf eigentlich allen gängigen System liegen nicht im Klartext vor, sondern als Passwort-Hash (md5, sha1, ...)

Und es geht noch weiter: damit man nicht sehen kann wieviele Leute identische Passwörter haben, wird noch ein sog. Salt eingebaut. Also eigentlich wird dann der Hash von Passwort+Salt abgespeichert. Und dieser Salt ist bei jedem Login anders.

Vgl. Salt (Kryptologie) ? Wikipedia

Vielen Dank!

Es kann aber theoretisch möglich sein dass der Admin die Passwörter kennt, kommt drauf an wie der Admin tickt und wie er den Server eingerichtet hat.

Cosinus schrieb:

Zitat:

...kann aber theoretisch möglich sein...

Aha. Das bedeutet im Klartext praktisch ist das nicht möglich.
Ist das wirklich so?

Im zweiten Teil Deines Satzes bist Du ja auch zu einer anderen Erkenntnis gekommen,
Du solltest es vielleicht nur klarer schreiben.

Sonst mache ich es: Selbstverständlich ist das möglich, es sollte nur nicht so sein!

Ist alles eine Sache der Einrichtung des Systems auf dem Server und da sollten
deshalb auch mindestens vier, besser sogar sechs Augen drauf geschaut haben.

Gruss

Werner

Zitat:

Zitat von werner1958

Sonst mache ich es: Selbstverständlich ist das möglich, es sollte nur nicht so sein!

Werner

So stimmt es. Wenn Passwörter im Klartext gespeichert werden, dann kann der admin sie alle sehen.

Aber heut zu Tage schreibt kaum jemand diese anmelde Routinen selbst. Man bindet ein framework ein und gut ist. Und in den gängigen frameworks herrscht ein Mindestmaß an Sicherheit.

Zitat:

Zitat von werner1958

Aha. Das bedeutet im Klartext praktisch ist das nicht möglich.
Ist das wirklich so?

Das ist aber eine merkwürdige Schlussfolgerung, die ich nicht nachvollziehen kann.
Wenn es theoretisch möglich ist, dann heißt das nicht, dass es praktisch unmöglich ist. Ich schrieb "theroretisch" weil die Wahrscheinlichkeit, dass ein BOFH von Admin große/bekannte Server/Dienste administriert doch eher gering ist.

Zitat:

Sonst mache ich es: Selbstverständlich ist das möglich, es sollte nur nicht so sein!

Richtig

Zitat:

Ist alles eine Sache der Einrichtung des Systems auf dem Server und da sollten
deshalb auch mindestens vier, besser sogar sechs Augen drauf geschaut haben.

Ja, aber nicht jeder Server und nicht jeder Dienst wird von mehreren Admins betreut. Es soll auch kleinere Projekte geben wo tatsächlich nur ein Admin im Boot ist.

Cosinus schrieb:

Zitat:

Das ist aber eine merkwürdige Schlussfolgerung, die ich nicht nachvollziehen kann.

Berechtigt.
Das sollte nämlich auch keine Schlussfolgerung sein, sondern eine Frage.
Am Ende des Satzes sollte ein Fragezeichen stehen, kein Punkt. Mea Culpa...

Um das Thema aber nochmal kurz aufzugreifen:
Sicher mag die Passwortverschlüsselung heute bei, auch kleineren, Kaufsystemen zu Hause
standardisiert sein und ich sehe auch im Fehlen derselben nicht das ganz grosse Problem.

Viel schlimmer finde ich, dass viele 'Verkäufer' auf ihrer Homepage auch die Möglichkeit der Bezahlung via Kreditkarte anbieten.
Seriöse, oder auch halbwegs seriöse machen das über zwischengeschaltete Institutionen wie paypal, etc.. mit eigenen 'sicheren' Websites.
Wie das abläuft brauche ich hier ja wohl niemandem erklären.

Aber das kann ja auch der billige Jakob um die Ecke locker anbieten, genauso wie Ivan aus Russland
oder Hung Lai aus China und zwar direkt, ohne paypal...
Auch als https-Seite, also vermeintlich sicher.
Nur über den Empfänger dieser Daten sagt die https-Verschlüsselung nichts aus.

Trotzdem haben anscheinend viele Internetbenutzer soviel Vertrauen in die Verkäufer,
dass sie dort ihre kompletten Kreditkarteninformationen inkl. dreistelliger Kartenprüfnummer (KPN) angeben
und somit dem Empfänger einen Freibrief zum Geldabheben oder zum Einkauf mit diesen Informationen ausstellen.

Ich käme im Leben nicht auf den Gedanken im Internet etwas mit Kreditkarte zu bezahlen,
auch nicht über sog. sichere Systeme, aber das scheint heute Gang und Gäbe zu sein.

Da sollten sich die Leute mal ein paar Gedanken mehr drüber machen, als sich von der
'Fachpresse' wg. irgendwelchen email-Passwörtern verrückt machen zu lassen.

Was im schlimmsten Fall dabei herauskommt ist, dass der/die Partner/in mit wem auch immer eine Affaire hat.
OK, ist nicht so gut für den Hausfrieden, aber sonst?

Wer Geschäftsgeheimnisse, Ausschreibungsangebote, Einsprüche bei Fristen und andere
rechtlich relevante Dinge via e-mail versendet, hat in meinen Augen sowieso ein Problem.

Das ist ja der Ansatz von DE-mail. Die fungieren als Zwischenhändler, der den Vorgang sozusagen juristisch absichern (soll).
Jede Postkarte dürfte sicherer sein.

Kamen die Abmahnungen wegen RedTube eigentlich via e-mail?
Ich kann es mir eigentlich nicht vorstellen.

Gruss

Werner

Ich sehe nicht ein, wieso online-Bezahlung mit Kretitkarten unsicher sein soll. Man kann doch eine Prepaid-Kreditkarte verwenden und den nötigen Betrag immer erst kurz vorher draufladen, dann kann nichts passieren. Dann ist das die einfachste und sicherste Lösung.

Zitat:

Zitat von Fragerin

... dann wäre ein deutlich häufigerer Wechsel der Passwörter angesagt.

Für jeden Zweck einen anderen Aliasnamen ist angesagt! Und andere PW sowieso.

Als Grundprinzip gilt: Traue niemandem!

Mir ist der Lapsus mit dem anderen PW schon sehr oft passiert. Aber weil jedes PW eben nur an einer Stelle gilt - hier heiße ich verstehnix und woanders Friedolin - ist das nicht so tragisch.

Jeder darf seine Website selbst programmieren oder etwas anstricken. Man kann auch einmal, für den Internetzugang, das PW verschlüsseln und parallel das unverschlüsselte ganz intern abspeichern. Und durch Heartbleed ist alles möglich.
hxxp://www.zdnet.de/88191130/noch-keine-endgueltige-entwarnung-zur-heartbleed-luecke/