4. Speicher ihr Passwörter?

Speicher ihr Passwörter?

  • ?

    Ich verwende nie das gleiche Passwort und meine Passwörter sind auf einem Rechner der nicht online oder im Netz ist und sind dort nochmals verschlüsselt abgelegt.

    0
  • ?

    @Dravere: Dir ist schon klar das man aus einem Hashwert auch das Passwort wieder rausbekommt wenn es nicht gut gewählt ist ja? 😕

    0
  • Administrator

    ProgChild schrieb:

    Du scheinst offenbar eine Methode gefunden zu haben, wie man entscheiden kann, ob man Leuten, die man nicht kennt, trauen kann oder nicht. Sehr faszinierend. Damit lässt sich sicher gut Geld verdienen...

    Nö, ich bin nur verdammt misstrauisch. Ich bin ca. an 15-20 Orten im Web registriert. Den anderen Websites vertraue ich nicht oder melde mich gar nicht an, weil ich keinen Grund dazu sehe.
    Ich melde mich bei einer Webseite erst an, wenn ich schon ein Weile dort bin und erfahren habe, wer zuständig ist. Dann schaut man sich an, welche Technologien sie einsetzen und wie der HTML Code so gestaltet und aufgebaut ist. Wie ist die Website aufgebaut, wie regelmässig fanden Updates statt? usw. usf. Ich vermindere das Risiko auf ein aktzeptables Mass. Und ich hatte bisher noch nie Probleme. Es wurden sogar schon Webseiten gehackt, auf welchen ich war, aber alle hatten einen Hash gespeichert. Und der letzte erlebte Angriff liegt nun schon mehr als 2 Jahre zurück. Die Webseite selber existiert seit noch viel mehr Jahren. Und da wurden schon Hashs eingesetzt. Wenn ich ehrlich bin, mag ich mich nicht erinnern, wann ich das letzte mal davon gehört habe oder gesehen habe, dass irgendwo Passwörter im Klartext in einer Datenbank abgespeichert wurden. Das lernt jeder Webseitenbetreiber von Anfang an heutzutage.

    Nukularfüsiker schrieb:

    Dravere schrieb:

    Normalerweise speichert eine Webseite nur einen Hashwert des Passwortes ab. Wenn sie an die Datenbank kommen, haben sie nur den Hashwert und noch nicht das Passwort. Nützt ihnen also nichts.

    Das ist nichts weiter als eine Wunschvorstellung, die sich überhaupt nicht mit der Realität deckt.

    Jede einigermasen seriöse Webseite wird einen Hash speichern. Und heutzutage bauen immer wie mehr Webseiten auf CMS auf. Die haben grundsätzlich alle automatisch einen Hash.

    Nukularfüsiker schrieb:

    Dravere schrieb:

    LoL, also wenn jemand auf sowas reinfällt, dann ist er selber schuld. Wie gesagt, etwas Grips braucht es natürlich auch im Internet.

    Ganz schön arrogant.

    Dummheit kostet nunmal. Ich schliesse mich davon nicht aus. Aber so sieht die Realität halt aus. Wer im Netz nicht aufpasst und mitdenkt, der fällt früher oder später eben in eine Falle rein. Dabei wird es wirklich oft genug gesagt, dass man aufpassen soll. Ein Restrisiko wird sicher bleiben, aber das besteht immer und überall. Ich lebe meistens nach der 80:20 Regel.

    Nukularfüsiker schrieb:

    Ich habe über 250 Passwörter in KeePass gespeichert.

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Nukularfüsiker schrieb:

    ..., oder der Hashwert in einer Rainbow Table steht.

    hacki schrieb:

    @Dravere: Dir ist schon klar das man aus einem Hashwert auch das Passwort wieder rausbekommt wenn es nicht gut gewählt ist ja?

    Wie ich schon mal gesagt habe, braucht man auch im Inet Grips. Also gehört es dazu, dass man sich auch gute Passwörter ausdenkt. Zudem wird bei heutigen CMS meisten gleich auch noch einen Salt eingesetzt.

    Aber gut, wenn ihr denkt, ich handle grobfahrlässig, dann lasst mich doch. Wie ich oben sagte, Dummheit kostet. Wenn ich hier also nach eurer Meinung dumm bin, dann wird mich das eben kosten. Ich habe allerdings so meine Zweifel. Und aktuell erarbeite ich gerade auch noch ein neues Passwortsystem, wodurch ich wahrscheinlich noch bessere Passwörter über meine Eselsbrücke werde generieren können. Aja, wie gesagt, ich verwende auch unterschiedliche Passwörter 😉

    Grüssli

    0
  • N

    Dravere schrieb:

    Ich melde mich bei einer Webseite erst an, wenn ich schon ein Weile dort bin und erfahren habe, wer zuständig ist. Dann schaut man sich an, welche Technologien sie einsetzen und wie der HTML Code so gestaltet und aufgebaut ist.

    Dravere schrieb:

    Jede einigermasen seriöse Webseite wird einen Hash speichern.

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail. Da du dich ja offenbar ein bisschen auskennst, hast du sicher eine grobe Vorstellung davon, an vielen Stellen zwischen Absender und Empfänger man diese Daten abgreifen kann. Da spielt es auch keine große Rolle mehr, wie "der HTML-Code aufgebaut" ist.

    Dravere schrieb:

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Das ist offensichtlich eine Milchmädchenrechnung.
    Ansonsten habe ich nun mal ein anderes Nutzungsverhalten als du, bin vielseitig interessiert und komme öfter in Ecken rum, wo eine Registrierung notwendig ist. Du bist vielleicht nur ein Sonntagsfahrer, die haben naturgemäß weniger Unfälle und halten sich deshalb für tolle Fahrer.

    0
  • Administrator

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Oh, wie unglaublich schlimm.
    Und finde ich mal wieder bezeichnend, dass dieses Sicherheitsloch als erstes erwähnt wird. Dabei gäbe es ein viel grösseres Sicherheitsloch. Wenn du dich einloggst, dann übermittelt dein Browser das Passwort per HTTP-POST im Klartext. Jedensmal, immer und immer wieder und nicht nur einmal am Anfang in einer E-Mail, welche sowieso niemand abfangen wird.

    Nukularfüsiker schrieb:

    Dravere schrieb:

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Das ist offensichtlich eine Milchmädchenrechnung.

    Klar ist es das, aber stimmt sie denn nicht?

    Nukularfüsiker schrieb:

    Ansonsten habe ich nun mal ein anderes Nutzungsverhalten als du, ...

    Klar hast du das, jeder wird wohl das Internet unterschiedlich benutzen.

    Nukularfüsiker schrieb:

    ... bin vielseitig interessiert und komme öfter in Ecken rum, wo eine Registrierung notwendig ist. Du bist vielleicht nur ein Sonntagsfahrer, die haben naturgemäß weniger Unfälle und halten sich deshalb für tolle Fahrer.

    Klar, wenn du meinst 🤡

    Grüssli

    0
  • N

    Dravere schrieb:

    Dabei gäbe es ein viel grösseres Sicherheitsloch. Wenn du dich einloggst, dann übermittelt dein Browser das Passwort per HTTP-POST im Klartext. Jedensmal, immer und immer wieder und nicht nur einmal am Anfang in einer E-Mail, welche sowieso niemand abfangen wird.

    Völliger Unfug. Ich logge mich hier einmal ein und das wars. Ab da wird immer nur noch die Session-ID übertragen. Die E-Mail geht potenziell über viel mehr Zwischenstationen und wird überall zwischengespeichert, mit unbekannter Speicherdauer.

    welche sowieso niemand abfangen wird

    Ziemlich ignorante Ansage für so einen sicherheitsbewussten Internet-Profi. 🙂

    Dravere schrieb:

    Nukularfüsiker schrieb:

    Dravere schrieb:

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Das ist offensichtlich eine Milchmädchenrechnung.

    Klar ist es das, aber stimmt sie denn nicht?

    Nein, denn es ist eine Milchmädchenrechnung. 250 Passwörter bedeutet nicht 250 Registrierungsstellen.

    0
  • N

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Nein, seit Mitte April nicht mehr. Das ist davor einfach niemandem aufgefallen, was primär daran liegt, dass unsere Registrierungen schon so elendslange zurückliegen.

    Draveres Einwand bleibt bestehen, ich halte das HTTP-Auth auch für gefährlicher, da das öfter stattfindet als der Mail-Versand und ebenso leicht abgreifbar ist. (Registrieren musst Du Dich nur einmal, einloggen jedesmal beim Cookies löschen, Browser wechseln, neuen Rechner in Betrieb nehmen etc.)

    0
  • N

    nman schrieb:

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Nein, seit Mitte April nicht mehr.

    Oh, schön.

    Draveres Einwand bleibt bestehen, ich halte das HTTP-Auth auch für gefährlicher, da das öfter stattfindet als der Mail-Versand und ebenso leicht abgreifbar ist. (Registrieren musst Du Dich nur einmal, einloggen jedesmal beim Cookies löschen, Browser wechseln, neuen Rechner in Betrieb nehmen etc.)

    Ich halte die Angriffsfläche bei E-Mails für größer als bei HTTP, aber seis drum. Es spielt ohnehin keine Rolle. Sein Einwand irritiert mich, denn er legt bei der Registrierung angeblich Wert auf sichere Technologien und schaut immer ganz genau hin - aber registriert sich trotzdem bei einer Site, die Klartext-Passwörter verschickt und kein sicheres Login bietet, und tut diese Schwachstellen als irrelevant ab. Ein wenig schizophren, das.

    0
  • Administrator

    Nukularfüsiker schrieb:

    Ein wenig schizophren, das.

    Die Chance ist deutlich grösser, dass jemand probiert eine Seite wie diese hier zu hacken und Informationen einmalig herauszuholen, als dass jemand versucht die Daten irgendwie mitzuschneiden. Zudem würde sowas ziemlich schnell auffallen. Und an die böse Regierung, welche alle abhört und erpresst, glaube ich nicht. Es ist nicht schizophren, sondern ein Mittelweg. Wie ich schon vorher sagte, lebe ich oft nach der 80:20 Regel. Und ich bin eben der Meinung, dass man diese 80 relativ einfach mit ein wenig Grips hinbekommen kann. Ich verringe das Risiko schon nur dadurch, dass ich nicht an vielen Stellen registriert bin.

    Übrigens noch eine Frage an dich: Wenn man die Passwörter bei dieser Seite so einfach mitschneiden kann, wieso wird es dann eigentlich nicht gemacht? 😉

    Grüssli

    0
  • N

    Dravere schrieb:

    Übrigens noch eine Frage an dich: Wenn man die Passwörter bei dieser Seite so einfach mitschneiden kann, wieso wird es dann eigentlich nicht gemacht? 😉

    Zum einen habe ich nicht von "so einfach" gesprochen; dass ein Passwort einfacher abzugreifen ist, wenn es als Klartext gesendet wird als wenn alles verschlüsselt abläuft, ist ja wohl nicht zu bestreiten. Weiters halte ich es für logisch, das ein über Relays versendetes und irgendwo in einem oder mehreren Mail-Ordner (lokal und auf dem Server) gespeichertes Passwort (welches somit "unendlich" lange für einen Angriff zur Verfügung steht) ein leichteres Ziel ist als eines, das genau jetzt per HTTP versendet wird.

    Außerdem will ich diese Site auch nicht als besonders unsicher bezeichnen. Sie ist gleichauf mit den meisten anderen Sites, und besser als wirklich schlechte. Aber wenn es jemand stark auf dein Passwort abgesehen hat, dann hat er es hier wesentlich leichter als beispielsweise bei Amazon.

    Wenn du deine Passwörter immer nur einmal vergibst, dann ist das ein guter Ansatz. Das mache ich auch so, aber habe es auf die harte Tour lernen müssen.
    Mein Punkt ist aber, dass du nicht so sorgfältig bist bei der Auswahl der Seiten bei denen du dich registrierst, wie du vorgibst. Du handelst auf Basis von Vermutungen und lässt dabei die tatsächlich relevanten und für dich sogar sichtbare Fakten außer acht, weil sie dir nicht in dem Kram passen, oder weil du sie unterschätzt. Ein schöner HTML-Code sagt nichts über die Sicherheit einer Site aus. Das versenden von Passwörten im Klartext aber schon.

    0
  • Administrator

    Nukularfüsiker schrieb:

    Weiters halte ich es für logisch, das ein über Relays versendetes und irgendwo in einem oder mehreren Mail-Ordner (lokal und auf dem Server) gespeichertes Passwort (welches somit "unendlich" lange für einen Angriff zur Verfügung steht) ein leichteres Ziel ist als eines, das genau jetzt per HTTP versendet wird.

    Gerade dieses "unendlich lange" zweifle ich stark an.

    Nukularfüsiker schrieb:

    Du handelst auf Basis von Vermutungen und lässt dabei die tatsächlich relevanten und für dich sogar sichtbare Fakten außer acht, weil sie dir nicht in dem Kram passen, oder weil du sie unterschätzt.

    Ich handle nach Wahrscheinlichkeiten und schätze Gefahren ein. wie man Gefahren einschätzt, ist natürlich etwas subjektives und besteht aus Erfahrungen. Ich bin bis jetzt sehr gut mit meinen Einschätzungen gefahren, denke daher nicht, dass ich irgendetwas unterschätze. Ich bin mir sehr bewusst, welchen Gefahren ich mich aussetze. Auch bin ich mir der Gefahr bewusst, dass ich nicht alle Gefahren erkenne. Zudem kommt es auch immer noch auf die Wichtigkeit des Accounts drauf an. Bei einem Webshop schaue ich schon genauer hin als bei einem Forum 😉

    Nukularfüsiker schrieb:

    Ein schöner HTML-Code sagt nichts über die Sicherheit einer Site aus. Das versenden von Passwörten im Klartext aber schon.

    Ich schaue nicht, ob ein HTML-Code "schön" aussieht. Ich habe gesagt, dass ich mir ihn anschaue und sehe wie er gestaltet und aufgebaut ist. Das heisst nicht, dass er schön sein muss. Aber man kann erkennen, wie er erstellt wurde. Von Hand geschrieben? Von einem CMS erzeugt? Von welchem? Und auch wenn er von Hand geschrieben ist, kann man durchaus erkennen, ob da jemand mit sorgfalt am Werk war oder stümperhaft etwas zusammen geschnippselt hat. Und so viel Wert lege ich auf den HTML-Code schlussendlich auch nicht. Es geht mir meistens viel mehr darum, wer der Administrator so ist. Ein bisschen einschätzen kann man da schon und dadurch das Risiko weiter minimieren. Und ich sage hier bewusst nicht, dass man das Risiko auf 0 setzen kann. Wie gesagt, ich gehe nach der 80:20 Regel 😉

    Grüssli

    0
  • ?

    @Dravane: Du bist nicht so der Hellste in Sachen Web, gelle?

    0
  • _

    Dravere schrieb:

    Und gewisse Passwörter sind einfach in meinen Händen gespeichert.

    So so, Tattoos also? Zu oft Memento gesehen? 😉 😃

    0
  • ?

    Dravere schrieb:

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Oh, wie unglaublich schlimm.
    Und finde ich mal wieder bezeichnend, dass dieses Sicherheitsloch als erstes erwähnt wird. Dabei gäbe es ein viel grösseres Sicherheitsloch. Wenn du dich einloggst, dann übermittelt dein Browser das Passwort per HTTP-POST im Klartext. Jedensmal, immer und immer wieder und nicht nur einmal am Anfang in einer E-Mail, welche sowieso niemand abfangen wird.

    Und das macht ersteres natürlich viel besser... Das artet hier vollkommen in Polemik aus. Eben deshalb, weil die Inhaltlichen Unterschiede so minimal sind, dass es eigentlich keinen Sinn macht, darum zu streiten. Wenn du die Webseiten so gut überprüfen würdest, wie du es vorgibst, dann bräuchtest du auch keine unterschiedlichen Passwörter verwenden. Tust du aber, was mich zu dem Schluss bringt, dass es irgendwie nicht um den Inhalt geht...

    0
  • ?

    hacki schrieb:

    @Dravere: Dir ist schon klar das man aus einem Hashwert auch das Passwort wieder rausbekommt wenn es nicht gut gewählt ist ja? 😕

    man kann eine eingabe finden die den hashwert generiert != Passwort

    0
Anmelden zum Antworten