![[HaBo]](/styles/default/logoklein.png){kind=small}
MD5 Pflicht?
- Themenstarter Faultier
- Beginndatum
ist mir zumindest nicht bekannt .. ich lasse mich aber auch gern eines besseren belehren 
..
..zumindest isses ja so, dass man sich bei manchen seiten sein pw per mail zuschicken lassen kann...und da steht bei der anmeldung ja auch nich explizit, dass das pw im klartext gespeichert wird
.. ..zumindest isses ja so, dass man sich bei manchen seiten sein pw per mail zuschicken lassen kann...und da steht bei der anmeldung ja auch nich explizit, dass das pw im klartext gespeichert wird
Naja wie das Passwort gespeichert wird liegt allein in der Hand des Hosters/Programmierers.
Die meiste Software speichert PW's verschlüsselt (meistens MD5 oder SHA1) ab.
Jedoch gibt es auch genug die die PW's einfach im Klartext hinterlegen...
Die meiste Software speichert PW's verschlüsselt (meistens MD5 oder SHA1) ab.
Jedoch gibt es auch genug die die PW's einfach im Klartext hinterlegen...
Ja aber Einbruch ist ja vom Betreiber aus nicht aktives Bereitstellen der Informationen? Wenn nicht fahrlässig gehandelt wird (zB total alte Software oder sehr unsichere Passwörter) wird der Betreiber doch nicht bestraft, oder seh ich das falsch?
F
fetzer
Guest
Wer seine Passwörter Plaintext speichert handelt immer grob fahrlässig und ich würde jedem raten, sich auf solchen Websites nicht anzumelden oder nur mit einem Passwort, dass NIRGENDs anders verwendet wird und anderen Daten, die nicht auf dich schliessen lassen! Rechtlich gesehen sollte es keine Probleme geben, da die Passwörter nicht öffentlich zur Schau gestellt werden oder "einfach so" einsehbar sind.
Nunja, ich habe ja nicht gefragt weil ich selber eiin Prob mit dem Verschlüsseln hätte. 
Hatte da nur in den letzten Monaten zwei fälle die mich schon schokiert haben.
Fall1: Ich use fast überall ein anderes PW. Da kommt es halt schon mal vor dass man eines vergisst. Nun hatte ich bei einem kleineren Browsergame mein pw vergessen. Hatte kurz zuvor den Admin in ICQ geaddet. Bis auf meinen ICQ-Nick hatte der keine Hinweise darauf wer ich im BG war. Als ich den Admin dann mehr scherzhaft nach meinem PW gefragt hab, da hat er mir ein paar min später, ohne irgend eine versicherung das ich auch wirklich der Spieler war den ich vorgegeben habe zu sein, das alte PW gegeben.
Fall 2: War eigendlich ganz einfach wie hier schon beschrieben, dass man bei PW-Vergessen das Original-PW zugeschickt bekommt.
Ich persönlich finds halt schon ziemlich krass. In Fall 1 hätte jeder an mein pw kommen können und in Fall 2 wäre es auch ne schöne scheiße wenn die DB gehackt wird.
Aber nochmal zur zweiten Frage: Muss darauf hingewiesen werden das die PWs in Klartext gespeichert werden?
MfG
Faultier
Hatte da nur in den letzten Monaten zwei fälle die mich schon schokiert haben.
Fall1: Ich use fast überall ein anderes PW. Da kommt es halt schon mal vor dass man eines vergisst. Nun hatte ich bei einem kleineren Browsergame mein pw vergessen. Hatte kurz zuvor den Admin in ICQ geaddet. Bis auf meinen ICQ-Nick hatte der keine Hinweise darauf wer ich im BG war. Als ich den Admin dann mehr scherzhaft nach meinem PW gefragt hab, da hat er mir ein paar min später, ohne irgend eine versicherung das ich auch wirklich der Spieler war den ich vorgegeben habe zu sein, das alte PW gegeben.
Fall 2: War eigendlich ganz einfach wie hier schon beschrieben, dass man bei PW-Vergessen das Original-PW zugeschickt bekommt.
Ich persönlich finds halt schon ziemlich krass. In Fall 1 hätte jeder an mein pw kommen können und in Fall 2 wäre es auch ne schöne scheiße wenn die DB gehackt wird.
Aber nochmal zur zweiten Frage: Muss darauf hingewiesen werden das die PWs in Klartext gespeichert werden?
MfG
Faultier
F
fetzer
Guest
Nein.
Also die ganzen Foren-, Shops, CMS-Softwares verschlüsseln die Passwörter eigentlich alle (zumindest jedes einigermaßen bekannte System wie VB, phpKit, phpFusion, Woltlab Burning Board (vorsicht aktuelle version ist vuln.)).Dabei wird hauptsächlich der MD5 Algorithmus angewandt. Selbst oder schlecht gecodete Systeme verschlüsseln sie nicht.
Wenn ihr wirklich auf nummer sicher gehen wollt, dann holt euch einen Passwortmanager (ich empfehle Keepass für windows & linux user) und nehmt für jede Seite ein eigenes Passwort mit (wenn möglich) mindestens 14 Zeichen, die mindestens Groß- und Kleinbuchstaben sowie Zahlen enthalten.
Ich kenne Leute (ich gehöre natürlich nicht dazu *unschuldig guck*) die mit einem Cluster aus Root-Servern schon Passwörter mit bis zu 20 Stellen geknackt haben. Das ist allerdings ein enormer Aufwand und das lohnt sich bei dem "einfachen Internetuser nicht".
Die Hashs aus Datenbanken werden idR nur via Wordlists, Rainbowtables und (am meisten) Online-Hash-Crackern geknackt. Diese sind jedoch idR mit Passwörtern mit über 13 Zeichen (absolutes maximum) überfordert, solange das Passwort nicht durch irgendeinen Zufall in der Cracker-Datenbank gespeichert ist z.B. durch das Einfügen einer Wordlist o.ä..
Nimda05
Wenn ihr wirklich auf nummer sicher gehen wollt, dann holt euch einen Passwortmanager (ich empfehle Keepass für windows & linux user) und nehmt für jede Seite ein eigenes Passwort mit (wenn möglich) mindestens 14 Zeichen, die mindestens Groß- und Kleinbuchstaben sowie Zahlen enthalten.
Ich kenne Leute (ich gehöre natürlich nicht dazu *unschuldig guck*) die mit einem Cluster aus Root-Servern schon Passwörter mit bis zu 20 Stellen geknackt haben. Das ist allerdings ein enormer Aufwand und das lohnt sich bei dem "einfachen Internetuser nicht".
Die Hashs aus Datenbanken werden idR nur via Wordlists, Rainbowtables und (am meisten) Online-Hash-Crackern geknackt. Diese sind jedoch idR mit Passwörtern mit über 13 Zeichen (absolutes maximum) überfordert, solange das Passwort nicht durch irgendeinen Zufall in der Cracker-Datenbank gespeichert ist z.B. durch das Einfügen einer Wordlist o.ä..
Nimda05