Passwörter auslesen?

[wood4]

Hallo

Es wurde immer vermittelt, dass Passwörter von NIEMANDEM ausgelesen werden können,
AUCH NICHT z.B. von Internet-PORTAL-BETREIBERN.

Ab morgen 01.02.22 gilt ein Gesetz wo (z.B. bei „Beleidigungen“) neben ID-Nummern diesbezüglich AUCH PASSWÖRTER an das BKA weiter gegeben werden müssen.

Also, Was stimmt nun bei dem Thema der Auslesbarkeit von Passwörtern?

Ich frage das aus TECHNISCHEM Interesse.

Beste Grüße

 

[BlubbsDE]

Hast Du da eine belastbare Quelle für? Wenn es ordentlich eingerichtet ist, dann kann selbst der Anbieter eines Services keine Passwörter auslesen.

 

[wood4]

Es kam gerade im TV im MDR in der Sendung "MDR um 4"
und wird NOCH nicht in der Medathek sein...

 

[benneq]

ordentlich

im Sinne der Nutzer. Nicht "ordentlich" im Sinne der Geheimdienste und Strafverfolgungsbehörden

 

[piepenkorn]

Hier wird so etwas beschrieben.

 

[kieleich]

Die Seite auf der Du ein Passwort eingibst, kennt dein Passwort.

Das ist ja gerade der Grund warum, man für jede Seite ein eigenes Passwort, und nicht das gleiche überall nehmen soll.

Seitenbetreiber sind dazu angehalten Passwörter nicht im Klar Text sondern in eine Hash Funktion verpackt zu speichern aber ob es tatsächlich gemacht wird kannst du eben nicht nach prüfen somit musst du immer davon ausgehen dass dein Passwort bekannt ist

Solagne du immer ein anderes Passwort verwendest nutzt es dem Seiten Betreiber nichts wenn das Passwort nur für seine Seite ist und keine andere

 

[BlubbsDE]

Ja, der MDR ist ja gemeinhin bekannt als der Primus in der Verkündigung solch brisanter IT Neuigkeiten. MDR um 4, wer kennt sie nicht, die Quelle DER IT Infos.

Die Seite auf der Du ein Passwort eingibst, kennt dein Passwort.

Eben nicht unbedingt.

 

[cartridge_case]

ID-Nummern

Was soll das sein?

 

[wood4]

Was soll das sein?

IP-Adressen

Aber es geht hier um Passwörter

 

[Malaclypse17]

Die Seite auf der Du ein Passwort eingibst, kennt dein Passwort.

Die seite kennt (wenn korrekt betrieben und eingerichtet) nur einen Hash deines Passworts, welches im besten Fall noch salted ist, somit wären auch zwei gleiche Passwörter in der DB nicht gleich.
Also selbst wenn man diesen Hash herausgibt und der Betreiber kooperiert, müssten die Behörden das PW noch bruteforcen.

 

[Drewkev]

Die Seite auf der Du ein Passwort eingibst, kennt dein Passwort

So ein Quatsch Wo wären wir denn, wenn das stimmen würde.

 

[cartridge_case]

IP-Adressen

Hm, kam das jetzt von dir so, oder haben die das gesagt?

Aber es geht um Passwörter

Naja.

 

[kieleich]

Die seite kennt (wenn korrekt betrieben und eingerichtet) nur einen Hash deines Passworts, welches im besten Fall noch salted ist, somit wären auch zwei gleiche Passwörter in der DB nicht gleich.

Aber selbst dann kann der Seiten Betreiber bei jedem Login, das Klar Text Passwort abgreifen. Und ob wirklich Gehasht wird oder ob der Seiten Betreiber Passwörter sammelt, das ist für Außen Stehende nicht zu überprüfen, der Seiten Betreiber hat da zu die technische Möglichkeit

Die einzige Alternative ist kein Passwort Login zu haben sondern über Bande zu Spielen (Login über Facebook oder Google) dann kennt und prüft eben der externe Dienstleister dein Passwort

Bei 2FA wird das Secret auch im Klar Text gespeichert

 

[n1tro666]

wer kennt sie nicht, die Quelle DER IT Infos

es existiert auch eine welt ausserhalb des cb forums.

kann man überall nachlesen:
"Ab dem 1. Februar müssen soziale Medien, wie WhatsApp, Facebook, Twitter und Co. stärker gegen Hasskommentare und Rechtsextremismus im Netz vorgehen. Bereits im Juni 2020 wurde das entsprechende Gesetz vom Bundestag beschlossen. Die sozialen Netzwerke müssen danach musmaßlich strafbare Inhalte (Hasskommentare, Bilder von Kindermissbrauch, Antisemitismus, Terrorismuspropaganda), IP-Adressen und Passwörter von Verdächtigen an das Bundeskriminalamt (BKA) herausgeben und löschen. Das neue Gesetz betrifft alle Plattformen mit mehr als 2 Millionen Nutzern. Youtube und Facebook haben gegen den Beschluss beim Verwaltungsgericht Köln eine Klage eingereicht. Bis zum Urteil müssen sie die Inhalte nicht an das BKA melden."

musst mal google bedienen.

 

[wood4]

Ja, der MDR ist ja gemeinhin bekannt als der Primus in der Verkündigung solch brisanter IT Neuigkeiten. MDR um 4, wer kennt sie nicht, die Quelle DER IT Infos.

Also unglaubwürdig?

 

[Drewkev]

MDR würde ich nicht beim Thema IT glauben, ist auch nicht unbedingt deren Gebiet.

 

[Malaclypse17]

Aber selbst dann kann der Seiten Betreiber bei jedem Login, das Klar Text Passwort abgreifen.

Daten werden seit Jahren über Https übertragen, da läuft der Verkehr zwischen dir und dem Webserver verschlüsselt ab.

 

[Rossie]

Solagne du immer ein anderes Passwort verwendest nutzt es dem Seiten Betreiber nichts wenn das Passwort nur für seine Seite ist und keine andere

Seitenbetreiber haben kein Interesse an Passwörtern. Üblicherweise werden diese nicht gespeichert. Einige Leute im Sicherheitsapparat träumen davon. Und würden dann alle in Frage kommenden Seiten abklappern. In diesem Sinne würden unterschiedliche Passwörter nicht "schützen" (was natürlich trotzdem kein Grund dagegen ist).

 

[DJMadMax]

Sofern da wirklich ein solches Gesetz verabschiedet wurde und in Kraft tritt, dann muss die Speicherung seitens der Plattformbetreiber umgestellt werden - zumindest bei denen, wo das Passwort in einem nicht wirklich entschlüsselbaren Hash liegt.

Anders ist es technisch nicht möglich, bzw. müsste man mit Brute Force arbeiten - und je nach Verschlüsselung würden das selbst die größten Mining-Farmen nicht gestemmt bekommen.

 

[kieleich]

Daten werden seit Jahren über Https übertragen, da läuft der Verkehr zwischen dir und dem Webserver verschlüsselt ab.

Ja natürlich aber der Webserver sieht es unverschlüsselt

HTTPS verhindert bestenfalls MITM aber tut nichts wenn der Webserver selbst gehackt oder der Betreiber ein Saubatz ist.

Seitenbetreiber haben kein Interesse an Passwörtern.

Und den Weihnachtsmann gibts wirklich...