4. Speicher ihr Passwörter?

Speicher ihr Passwörter?

  • N

    Dravere schrieb:

    Ich melde mich bei einer Webseite erst an, wenn ich schon ein Weile dort bin und erfahren habe, wer zuständig ist. Dann schaut man sich an, welche Technologien sie einsetzen und wie der HTML Code so gestaltet und aufgebaut ist.

    Dravere schrieb:

    Jede einigermasen seriöse Webseite wird einen Hash speichern.

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail. Da du dich ja offenbar ein bisschen auskennst, hast du sicher eine grobe Vorstellung davon, an vielen Stellen zwischen Absender und Empfänger man diese Daten abgreifen kann. Da spielt es auch keine große Rolle mehr, wie "der HTML-Code aufgebaut" ist.

    Dravere schrieb:

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Das ist offensichtlich eine Milchmädchenrechnung.
    Ansonsten habe ich nun mal ein anderes Nutzungsverhalten als du, bin vielseitig interessiert und komme öfter in Ecken rum, wo eine Registrierung notwendig ist. Du bist vielleicht nur ein Sonntagsfahrer, die haben naturgemäß weniger Unfälle und halten sich deshalb für tolle Fahrer.

    0
  • Administrator

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Oh, wie unglaublich schlimm.
    Und finde ich mal wieder bezeichnend, dass dieses Sicherheitsloch als erstes erwähnt wird. Dabei gäbe es ein viel grösseres Sicherheitsloch. Wenn du dich einloggst, dann übermittelt dein Browser das Passwort per HTTP-POST im Klartext. Jedensmal, immer und immer wieder und nicht nur einmal am Anfang in einer E-Mail, welche sowieso niemand abfangen wird.

    Nukularfüsiker schrieb:

    Dravere schrieb:

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Das ist offensichtlich eine Milchmädchenrechnung.

    Klar ist es das, aber stimmt sie denn nicht?

    Nukularfüsiker schrieb:

    Ansonsten habe ich nun mal ein anderes Nutzungsverhalten als du, ...

    Klar hast du das, jeder wird wohl das Internet unterschiedlich benutzen.

    Nukularfüsiker schrieb:

    ... bin vielseitig interessiert und komme öfter in Ecken rum, wo eine Registrierung notwendig ist. Du bist vielleicht nur ein Sonntagsfahrer, die haben naturgemäß weniger Unfälle und halten sich deshalb für tolle Fahrer.

    Klar, wenn du meinst 🤡

    Grüssli

    0
  • N

    Dravere schrieb:

    Dabei gäbe es ein viel grösseres Sicherheitsloch. Wenn du dich einloggst, dann übermittelt dein Browser das Passwort per HTTP-POST im Klartext. Jedensmal, immer und immer wieder und nicht nur einmal am Anfang in einer E-Mail, welche sowieso niemand abfangen wird.

    Völliger Unfug. Ich logge mich hier einmal ein und das wars. Ab da wird immer nur noch die Session-ID übertragen. Die E-Mail geht potenziell über viel mehr Zwischenstationen und wird überall zwischengespeichert, mit unbekannter Speicherdauer.

    welche sowieso niemand abfangen wird

    Ziemlich ignorante Ansage für so einen sicherheitsbewussten Internet-Profi. 🙂

    Dravere schrieb:

    Nukularfüsiker schrieb:

    Dravere schrieb:

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Das ist offensichtlich eine Milchmädchenrechnung.

    Klar ist es das, aber stimmt sie denn nicht?

    Nein, denn es ist eine Milchmädchenrechnung. 250 Passwörter bedeutet nicht 250 Registrierungsstellen.

    0
  • N

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Nein, seit Mitte April nicht mehr. Das ist davor einfach niemandem aufgefallen, was primär daran liegt, dass unsere Registrierungen schon so elendslange zurückliegen.

    Draveres Einwand bleibt bestehen, ich halte das HTTP-Auth auch für gefährlicher, da das öfter stattfindet als der Mail-Versand und ebenso leicht abgreifbar ist. (Registrieren musst Du Dich nur einmal, einloggen jedesmal beim Cookies löschen, Browser wechseln, neuen Rechner in Betrieb nehmen etc.)

    0
  • N

    nman schrieb:

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Nein, seit Mitte April nicht mehr.

    Oh, schön.

    Draveres Einwand bleibt bestehen, ich halte das HTTP-Auth auch für gefährlicher, da das öfter stattfindet als der Mail-Versand und ebenso leicht abgreifbar ist. (Registrieren musst Du Dich nur einmal, einloggen jedesmal beim Cookies löschen, Browser wechseln, neuen Rechner in Betrieb nehmen etc.)

    Ich halte die Angriffsfläche bei E-Mails für größer als bei HTTP, aber seis drum. Es spielt ohnehin keine Rolle. Sein Einwand irritiert mich, denn er legt bei der Registrierung angeblich Wert auf sichere Technologien und schaut immer ganz genau hin - aber registriert sich trotzdem bei einer Site, die Klartext-Passwörter verschickt und kein sicheres Login bietet, und tut diese Schwachstellen als irrelevant ab. Ein wenig schizophren, das.

    0
  • Administrator

    Nukularfüsiker schrieb:

    Ein wenig schizophren, das.

    Die Chance ist deutlich grösser, dass jemand probiert eine Seite wie diese hier zu hacken und Informationen einmalig herauszuholen, als dass jemand versucht die Daten irgendwie mitzuschneiden. Zudem würde sowas ziemlich schnell auffallen. Und an die böse Regierung, welche alle abhört und erpresst, glaube ich nicht. Es ist nicht schizophren, sondern ein Mittelweg. Wie ich schon vorher sagte, lebe ich oft nach der 80:20 Regel. Und ich bin eben der Meinung, dass man diese 80 relativ einfach mit ein wenig Grips hinbekommen kann. Ich verringe das Risiko schon nur dadurch, dass ich nicht an vielen Stellen registriert bin.

    Übrigens noch eine Frage an dich: Wenn man die Passwörter bei dieser Seite so einfach mitschneiden kann, wieso wird es dann eigentlich nicht gemacht? 😉

    Grüssli

    0
  • N

    Dravere schrieb:

    Übrigens noch eine Frage an dich: Wenn man die Passwörter bei dieser Seite so einfach mitschneiden kann, wieso wird es dann eigentlich nicht gemacht? 😉

    Zum einen habe ich nicht von "so einfach" gesprochen; dass ein Passwort einfacher abzugreifen ist, wenn es als Klartext gesendet wird als wenn alles verschlüsselt abläuft, ist ja wohl nicht zu bestreiten. Weiters halte ich es für logisch, das ein über Relays versendetes und irgendwo in einem oder mehreren Mail-Ordner (lokal und auf dem Server) gespeichertes Passwort (welches somit "unendlich" lange für einen Angriff zur Verfügung steht) ein leichteres Ziel ist als eines, das genau jetzt per HTTP versendet wird.

    Außerdem will ich diese Site auch nicht als besonders unsicher bezeichnen. Sie ist gleichauf mit den meisten anderen Sites, und besser als wirklich schlechte. Aber wenn es jemand stark auf dein Passwort abgesehen hat, dann hat er es hier wesentlich leichter als beispielsweise bei Amazon.

    Wenn du deine Passwörter immer nur einmal vergibst, dann ist das ein guter Ansatz. Das mache ich auch so, aber habe es auf die harte Tour lernen müssen.
    Mein Punkt ist aber, dass du nicht so sorgfältig bist bei der Auswahl der Seiten bei denen du dich registrierst, wie du vorgibst. Du handelst auf Basis von Vermutungen und lässt dabei die tatsächlich relevanten und für dich sogar sichtbare Fakten außer acht, weil sie dir nicht in dem Kram passen, oder weil du sie unterschätzt. Ein schöner HTML-Code sagt nichts über die Sicherheit einer Site aus. Das versenden von Passwörten im Klartext aber schon.

    0
  • Administrator

    Nukularfüsiker schrieb:

    Weiters halte ich es für logisch, das ein über Relays versendetes und irgendwo in einem oder mehreren Mail-Ordner (lokal und auf dem Server) gespeichertes Passwort (welches somit "unendlich" lange für einen Angriff zur Verfügung steht) ein leichteres Ziel ist als eines, das genau jetzt per HTTP versendet wird.

    Gerade dieses "unendlich lange" zweifle ich stark an.

    Nukularfüsiker schrieb:

    Du handelst auf Basis von Vermutungen und lässt dabei die tatsächlich relevanten und für dich sogar sichtbare Fakten außer acht, weil sie dir nicht in dem Kram passen, oder weil du sie unterschätzt.

    Ich handle nach Wahrscheinlichkeiten und schätze Gefahren ein. wie man Gefahren einschätzt, ist natürlich etwas subjektives und besteht aus Erfahrungen. Ich bin bis jetzt sehr gut mit meinen Einschätzungen gefahren, denke daher nicht, dass ich irgendetwas unterschätze. Ich bin mir sehr bewusst, welchen Gefahren ich mich aussetze. Auch bin ich mir der Gefahr bewusst, dass ich nicht alle Gefahren erkenne. Zudem kommt es auch immer noch auf die Wichtigkeit des Accounts drauf an. Bei einem Webshop schaue ich schon genauer hin als bei einem Forum 😉

    Nukularfüsiker schrieb:

    Ein schöner HTML-Code sagt nichts über die Sicherheit einer Site aus. Das versenden von Passwörten im Klartext aber schon.

    Ich schaue nicht, ob ein HTML-Code "schön" aussieht. Ich habe gesagt, dass ich mir ihn anschaue und sehe wie er gestaltet und aufgebaut ist. Das heisst nicht, dass er schön sein muss. Aber man kann erkennen, wie er erstellt wurde. Von Hand geschrieben? Von einem CMS erzeugt? Von welchem? Und auch wenn er von Hand geschrieben ist, kann man durchaus erkennen, ob da jemand mit sorgfalt am Werk war oder stümperhaft etwas zusammen geschnippselt hat. Und so viel Wert lege ich auf den HTML-Code schlussendlich auch nicht. Es geht mir meistens viel mehr darum, wer der Administrator so ist. Ein bisschen einschätzen kann man da schon und dadurch das Risiko weiter minimieren. Und ich sage hier bewusst nicht, dass man das Risiko auf 0 setzen kann. Wie gesagt, ich gehe nach der 80:20 Regel 😉

    Grüssli

    0
  • ?

    @Dravane: Du bist nicht so der Hellste in Sachen Web, gelle?

    0
  • _

    Dravere schrieb:

    Und gewisse Passwörter sind einfach in meinen Händen gespeichert.

    So so, Tattoos also? Zu oft Memento gesehen? 😉 😃

    0
  • ?

    Dravere schrieb:

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Oh, wie unglaublich schlimm.
    Und finde ich mal wieder bezeichnend, dass dieses Sicherheitsloch als erstes erwähnt wird. Dabei gäbe es ein viel grösseres Sicherheitsloch. Wenn du dich einloggst, dann übermittelt dein Browser das Passwort per HTTP-POST im Klartext. Jedensmal, immer und immer wieder und nicht nur einmal am Anfang in einer E-Mail, welche sowieso niemand abfangen wird.

    Und das macht ersteres natürlich viel besser... Das artet hier vollkommen in Polemik aus. Eben deshalb, weil die Inhaltlichen Unterschiede so minimal sind, dass es eigentlich keinen Sinn macht, darum zu streiten. Wenn du die Webseiten so gut überprüfen würdest, wie du es vorgibst, dann bräuchtest du auch keine unterschiedlichen Passwörter verwenden. Tust du aber, was mich zu dem Schluss bringt, dass es irgendwie nicht um den Inhalt geht...

    0
  • ?

    hacki schrieb:

    @Dravere: Dir ist schon klar das man aus einem Hashwert auch das Passwort wieder rausbekommt wenn es nicht gut gewählt ist ja? 😕

    man kann eine eingabe finden die den hashwert generiert != Passwort

    0
Anmelden zum Antworten