Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
"Aber die Passwortherausgabe steht noch vor einem ganz praktischen Problem. Facebook und Co. dürfen nach geltendem Datenschutzrecht gar keine Passwörter der Nutzer speichern, die sie herausgeben könnten. Lediglich sogenannte Hash-Werte dieser Passwörter werden gespeichert, mit dem ein Dienstleister nur deren Richtigkeit überprüfen kann. Beruhigen dürfte das aber nur halb, denn auch ein Hash-Wert ist an die Ermittlungsbehörden herauszugeben, wenn die gesetzlichen Voraussetzungen dafür erfüllt sind. Lambrecht verteidigt die Regel als Klarstellung einer ohnehin schon bestehenden Verpflichtung. Die nun klare Regel über die Auskunft sei für die Strafverfolgung und für die Gefahrenabwehr von zentraler Bedeutung."
Der Bericht ist z.B. fast 1 Jahr alt. Also wer jetzt hier völlig überrascht ist, sollte vielleicht ab und zu mal Nachrichten schauen :-)
Freiheit in einer Demokratie muss sowas bieten können, wenn sie das nicht kann, ist es keine Demokratie, Menschen müssen Meinungen äußern können, ohne Repressalien befürchten zu müssen (im Rahmen des GG natürlich).
Wegen seiner Meinung wird aber keiner hier verfolgt. Sehr wohl, wenn er eine Straftat begeht. Beleidigungen sind nun mal Straftaten, und das was da teilweise mit Todesdrohungen gegen öffentliche Personen abgeht, sollte geahndet werden.
Ergänzung ()
Skudrinka schrieb:
Das ICH keine Angst vor Ermittlungen gegen mich haben brauche, wenn ich mich vernünftig im Internet verhalte. Ist doch ganz einfach. Oder verstehe ich etwas falsch?
Eben. Es wird doch hier keiner verfolgt, nur weil er seine Meinung äußert, wenn er das angemessen und zivilisiert macht.
Ergänzung ()
nofunawo schrieb:
"Aber die Passwortherausgabe steht noch vor einem ganz praktischen Problem. Facebook und Co. dürfen nach geltendem Datenschutzrecht gar keine Passwörter der Nutzer speichern, die sie herausgeben könnten.
Das ist schon als Darstellung grottenfalsch. Bei keinem System zur Benutzerauthentifizierung, was mir bekannt ist, werden Kennwörter klar hinterlegt, sie werden immer irgendwo in einer Datenbank etc. verschlüsselt bzw. gehasht abgelegt. Somit kann kein Betreiber überhaupt Klarkennwörter rausrücken.
nofunawo schrieb:
Lediglich sogenannte Hash-Werte dieser Passwörter werden gespeichert, mit dem ein Dienstleister nur deren Richtigkeit überprüfen kann.
Beruhigen dürfte das aber nur halb, denn auch ein Hash-Wert ist an die Ermittlungsbehörden herauszugeben, wenn die gesetzlichen Voraussetzungen dafür erfüllt sind.
Das ist schon als Darstellung grottenfalsch. Bei keinem System zur Benutzerauthentifizierung, was mir bekannt ist, werden Kennwörter klar hinterlegt, sie werden immer irgendwo in einer Datenbank etc. verschlüsselt bzw. gehasht abgelegt. Somit kann kein Betreiber überhaupt Klarkennwörter rausrücken.
Also das will ich mal so nicht stehen lassen.
In einer idealen Welt stimmt das natuerlich: Alle Seiten sollten kryptografich sicher hashen.
Aber eine technische Pflicht das tun zu muessen gibt es mal so garnicht. Bis vor wenigen Jahren war es noch durchaus ueblich, das man bei einer "Ich hab mein Passwort vergessen" Funktion das richtige Passwort per Email kam.
Oder das nach Registrierung erstmal eine Email mit Username/Passwort kam.
Das Problem ist halt, das du als User keinerlei Moeglichkeit hast zu erfahren, ob der Webseitenbetreiber sauber arbeitet. Niemand hindert den Betreiber das ungehashte Passwort vor dem Hashen wegzuschreiben.
Allenfalls koennte man noch lokal auf dem Client zusaetzlich hashen. Aber auch da kann der Betreiber jederzeit das Script aendern. Als ob da jeder vor jedem Login reinschaut...
Also das will ich mal so nicht stehen lassen.
In einer idealen Welt stimmt das natuerlich: Alle Seiten sollten kryptografich sicher hashen.
Aber eine technische Pflicht das tun zu muessen gibt es mal so garnicht. Bis vor wenigen Jahren war es noch durchaus ueblich, das man bei einer "Ich hab mein Passwort vergessen" Funktion das richtige Passwort per Email kam.
Oder das nach Registrierung erstmal eine Email mit Username/Passwort kam.
Moment, das sind jetzt verschiedene Dinge, die Du da durcheinanderwürfelst. Hast Du schon mal entsprechende Backendsystem installiert? Da wird schon seit Jahrzehnten, wie z.B. die Forensoftware, Betriebssysteme wie Linux /etc/passwd, Active Directory usw. jedes Benutzerpasswort verschlüsselt oder gehasht hinterlegt. Ich kenne das nicht anders. Was dann Dir weitere Systeme zusenden, ist nochmal ein anderes Ding, aber abgelegt ist es immer gesichert.
Ranayna schrieb:
Das Problem ist halt, das du als User keinerlei Moeglichkeit hast zu erfahren, ob der Webseitenbetreiber sauber arbeitet.
Die machen doch auch nichts anders, als die Software installieren und so einfach wie möglich konfigurieren. Da kenne ich keine, der hier an den Einstellungen für die Kennwortablage je mal was gefummelt hätte.
Ranayna schrieb:
Niemand hindert den Betreiber das ungehashte Passwort vor dem Hashen wegzuschreiben.
du weisst auch nicht ob der Forenbetreiber, deine privaten Konversationen liest
ist wie Glas Halb Voll Halb Leer - der eine ist Optimist und geht immer vom besten denkbaren Fall aus, der andere malt den Teufel an die Wand
Fakt ist dass das ganz alleine, in der Hand des Betreibers liegt, du kannst das nicht kontrollieren oder beeinflussen (ausser dich dort gar nicht erst zu registrieren)
manchmal passieren Dinge auch ohne böse Absichten, ich habe mal bei einem Gewinn Spiel mit gemacht meine persönlichen Daten preis gegeben und es hiess, nach Ablauf des Gewinn Spiels, werden diese Daten, gelöscht
Wochen später noch mal auf die Seite gegangen, und meine Daten, wurden mir immer noch angezeigt, und diese Daten kamen von der Webseite und nicht aus einem local storage cookie. Ergo wurde gespeichert und doch nicht gelöscht. Und das nicht aus bösem Willen sondern, es hat halt einfach nicht funktioniert
Und genau so passiert es mit Passwörtern
Wer nicht für jede Seite ein eigenes Passwort generiert der handelt grob fahrlässig. Man muss immer davon ausgehen daß das Passwort geleaked ist in dem Moment wo du es ins Passwort Feld eingegeben hast
Du bläst Dich hier aber ganz schön auf. Dafür wenig Substanz.
1. In dem Artikel, den ich zitierte, steht ja auch nichts anderes drin, dass "normal" keine Passwörter gespeichert werden und somit auch nicht übermittelt werden können.
2. Kommen wir zum "unnormalen", dass es laut Dir nicht gibt
Woher meinst Du kommen die Datenlecks immer wieder bei denen auch immer wieder PASSWÖRTER "gestohlen" werden?
War nicht sogar mal FB selber mit Passwörtern dabei?
Also Dein Vertrauen in alle Apps, Admins, Betreiber, Programme dieser Welt möchte ich (nicht) haben.
Ergänzung ()
PHuV schrieb:
Und der soll in einer Ermittlung genau ... was bringen? Das würde ich bitte mal gerne IT-sachkundig erklärt haben wollen.
Was ein Hash bringen soll. Vermutlich nix, es sei denn der gute hat das Passwort auch woanders genutzt und es ist schon mal "geliehen" worden. Dann kann man schön nach dem Hash suchen und hat das Passwort.
Da bleibt nur die Hoffnung, dass der Hash gesalzen war.
Und warum wirst Du persönlich und beleidigend? Und es ist falsch, was da Du da rausgekramt hast, vorne bis hinten.
nofunawo schrieb:
1. In dem Artikel, den ich zitierte, steht ja auch nichts anderes drin, dass "normal" keine Passwörter gespeichert werden und somit auch nicht übermittelt werden können.
Dann lerne bitte mal lesen, das steht das eben nicht drin. Nochmal Dein zitierter Text:
nofunawo schrieb:
"Aber die Passwortherausgabe steht noch vor einem ganz praktischen Problem. Facebook und Co. dürfen nach geltendem Datenschutzrecht gar keine Passwörter der Nutzer speichern, die sie herausgeben könnten.
Zwischen "A B C dürfen keine PWs der Nutzer speichern, die sie herausgeben können" und Deinem Geschreibsel ist das eine ganz andere Aussage.
Und nochmals, dieses Statment ist dumm, weil jedes handelsübliche Standardsystem wie beispielsweise ein Forensoftware (als Beispiel den Klassiker vBulletin) oder andere Software mit Benutzerzugriffen schon lange die Kennwörter im Backend per Hash oder verschlüsselt ablegt.
Schau Dir Datenbanksysteme wie Oracle, MySQL, MS-SQL usw. an, da findest Du schon seit den 90ern keine klaren Kennwörter für alle Benutzerdaten drin, die dort für die Zugriffe auf die Datenbank irgendwie angelegt werden.
Wenn das Kennwort eh nicht im Klartext steht, kann Facebook und Co. keine Klarpasswörter rausrücken. Daher ist dieses Statement dumm. Jeder mit technischen Verstand sollte das verstehen.
nofunawo schrieb:
2. Kommen wir zum "unnormalen", dass es laut Dir nicht gibt
Woher meinst Du kommen die Datenlecks immer wieder bei denen auch immer wieder PASSWÖRTER "gestohlen" werden?
Warum fragst Du mich das? Ich hab diese Systeme so nicht aufgesetzt, daher kann ich dazu keine Aussage treffen. Wenn ein Frontendentwickler so dumm ist und einfach dann die Logindaten per String und bearbeitet im Backendsystem ablegt, kann das schon passieren. Jedoch gibts schon seit den 90ern entsprechende Richtlinien in vielen Institutionen, und man hat das auch, wenn man gescheit aufgepaßt, im Studium und in der Ausbildung, das richtig gelernt, daß man das so nicht machen sollte. Was da Amateure verbrechen ist nicht meine Schuld.
Der Befehl Crypt gibts in Unix seit February 1973! /etc/passwd, seit den 80er habe ich kein Unix System gesehen (und ich hab einige gesehen) und erlebt, wo irgendwo die Benutzerkennworte nicht gesichert, gehash oder gesaltet waren. Klar waren sie damals für heutige Verhältnisse schwach. Aber in den meisten Systeme gabs da keine Klartexte. Das hat sich dann in den 90ern nochmal stark gebessert, daß eigentlich alle Unix Systeme keine Klartexte hier mehr verwendeten.
nofunawo schrieb:
Also Dein Vertrauen in alle Apps, Admins, Betreiber, Programme dieser Welt möchte ich (nicht) haben.
Wie war das mit dem Aufbähen und so? 🙄 Wo und wie unterstellst Du mir jetzt das? Alles, was ich sagte, ist die Tatsache, das übliche Standardsysteme (die ich übrigens seit über 32 Jahren in der IT so betreue) so machen, daß Kennwörter nicht im Klartext drinnen stehen. Wenn andere das falsch implementieren oder falsch anlegen, ist das nicht mein Problem. Fakt ist, daß jedes Backendsystem schon früh diese Möglichkeiten bat.
Wo man Klarnamen noch sieht, ist in manchen Konfigurationsdateien (ich sag nur mal Negativbeispiel Tomcat mit Proxykonfigurationen oder überall da, wo Zertifikate aus Zertifikatsspeichern ausgelesen werden 🙄).
nofunawo schrieb:
Was ein Hash bringen soll. Vermutlich nix, es sei denn der gute hat das Passwort auch woanders genutzt und es ist schon mal "geliehen" worden. Dann kann man schön nach dem Hash suchen und hat das Passwort.
Eben. Das meine ich ja. Wenn die Ermittlungsbehörden bei einem Forenbereiter nach einem Nutzer anfragen, um z.B. im Falle von Beleidigungen und Bedrohungen zu ermitteln, reicht der Auszug der Nutzerdaten, sprich seine Postings und seine Logindaten (wann wie wo wann eingeloggt) vollkommen aus. Das Kennwort dieses Nutzers ist vollkommen irrelevant für die Ermittlung und ebenso für den Abzug der Daten. Genau das, was ich sagt, vollkommenen Augenwischerei des Artikels, das was von Datenschutz und Kennwörtern schwafelt. Das hat mit der Ermittlung nichts zu tun. Es ist Schwachsinn, was da steht.
Was die Art und Weise wie eine Webanwendung ihre Passwoerter speichert, damit zu tun hat wie das Betriebssystem auf dem die Webanwendung installiert ist die Passwoerter speichert erschliesst sich mir nicht.
Es mag natuerlich die ein oder andere Webanwendung geben die OS integriertes Usermanagement verwenden koennen, aber das duerfte die Ausnahme sein, zumindest in oeffentlichen Netzen.
Aber nimmt man ein 08/15 Forum, wie vermutlich auch dieses hier, wird das Usermanagement vollstaendig in einer vom Betriebssystem abgekapselten Datenbank ablaufen.
Natuerlich, wenn jemand fertige Anwendungen einfach nur installiert, und diese nicht uralt sind, dann kann man davon ausgehen das zumindest versucht wird die Passwoerter sicher zu hashen.
Aber es gibt unzaehlige, grosse und kleine, Buden die meinen ihren eigenen Kram bauen zu muessen.
Wie der Programmierer mit dem Passwort umgeht nachdem der User es eingegeben hat liegt voellig in seiner Verantwortung. In Code der nur auf dem Server liegt kann auch keiner reinschauen, das ist ein komplette Black-Box fuer jeden der keinen Zugriff auf den Server hat.
Ich behaupte ja nicht, das man es nicht sicher machen kann.
Aber niemand ist technisch gezwungen es auch sicher zu machen.
https://plaintextoffenders.com/
Ist schon etwas aelter, solche Faelle werden seltener, aber sie werden wohl nie ganz verschwinden. All das sind Seiten die unsicher mit Passwoertern umgehen, oder in der Vergangenheit unsicher damit umgegangen sind.
Was die Art und Weise wie eine Webanwendung ihre Passwoerter speichert, damit zu tun hat wie das Betriebssystem auf dem die Webanwendung installiert ist die Passwoerter speichert erschliesst sich mir nicht.
Ich wollte nur damit zeigen, daß kundige Leute aus den 80er und 90er auch nicht blöd waren und die Systeme nach damaligen Wissen entsprechend abgesichert wurden. Spricht, die Grundlagen für Kennwortverschüsselungen wurden viel früher schon gelegt und waren vorhanden.
Ranayna schrieb:
Es mag natuerlich die ein oder andere Webanwendung geben die OS integriertes Usermanagement verwenden koennen, aber das duerfte die Ausnahme sein, zumindest in oeffentlichen Netzen.
Aber nimmt man ein 08/15 Forum, wie vermutlich auch dieses hier, wird das Usermanagement vollstaendig in einer vom Betriebssystem abgekapselten Datenbank ablaufen.
Und auch die Datenbanken hatten bereits Funktionen, die Kennwörter in ihrem System absicherten.
Ranayna schrieb:
Natuerlich, wenn jemand fertige Anwendungen einfach nur installiert, und diese nicht uralt sind, dann kann man davon ausgehen das zumindest versucht wird die Passwoerter sicher zu hashen.
Eben, genau das meine ich doch. Es erfindet keiner das Rad neu, und wenn die Software das schon mitgeliefert bietet und einstellt, wird doch kaum einer das verstellen. Die meisten haben genug zu tun, da wird es nach Standard schnell installiert und fertig.
Ranayna schrieb:
Aber es gibt unzaehlige, grosse und kleine, Buden die meinen ihren eigenen Kram bauen zu muessen.
Wie der Programmierer mit dem Passwort umgeht nachdem der User es eingegeben hat liegt voellig in seiner Verantwortung. In Code der nur auf dem Server liegt kann auch keiner reinschauen, das ist ein komplette Black-Box fuer jeden der keinen Zugriff auf den Server hat.
Ich nehme mal an, daß er hier alle Arten von Forensoftware, -Plugins und Co. meint, die irgendwie ein Login mit einem Kennwort haben, wo man, wie hier bei CB, sich registrieren, und dann entsprechende Kommentare verfassen kann. Da - wissen wir ja aktuell - geht ja in manchen mit Beleidigungen und Todesdrohungen die Post ab. So, und die meisten, die solche Portale und Foren aufbauen, erfinden das Rad hier nicht neu, sondern verwenden Standard Software wie Wordpress mit Plugins, vBulletin, phpBB usw., die dann meistens mit MySQL, MariaDB, Postgresql und Co. eine Datenbank als Backend verwenden. Mein erstes installiertes eigenes Forum war in den 90ern (mit damals noch MySQL), und da waren schon - reine Standardinstallation - alle Benutzerkennwörter nicht mit Klarnamen abgelegt.
Und wie, wenn das System schon sicher abgelegt hat? Das ist Quatsch. Du kannst jederzeit die Kennwörter zurücksetzen, ja, und Du kannst das System umgehen, wenn Du direkt Zugriff darauf hast, ja. Aber Du kannst zu keinem Zeitpunkt, wenn das System sicher arbeitet, aus diesem Wert einen Klartext generieren, das ist Quatsch.
Wenn das ginge, könnte ich ja auch einfach von einem Kollegen, der beispielsweise sein AD-Kennwort vergessen hat, einfach sein Kennwort auslesen und es ihm wieder geben. Ne, geht nicht, bei keinem mir bekannten Standardsystem.
kieleich schrieb:
Wenn Whats App, die verschlüsselten Chats mit lesen will dann kann Whats App das auch.
Wir können ja gerne beide privat eine Wette machen. Ich setze Dir ein paar Systeme vor, und Du zeigst mir, wie Du aus den verschlüsselt abgelegten Systemen mit wenig Aufwand einen Klarnamen generierst. Mir schwebt da ein mittlerer 4 stelliger Betrag vor. Leicht verdientes Geld, oder? 😁 Wenn Du scheiterst, bekomme ich das Geld. 🤗
Das ist aber ein ganz anderes Verfahren, und garantiert keine Möglichkeit, die irgend ein Standard Forenbetreiber machen würde. Warum sollte er das auch tun? Er braucht doch als Admin dieses Kennwort nicht. Und keine Ermittlungsbehörde würde von Dir verlangen, Dein eigenes System zu hacken (außer vielleicht Nachrichtendienste aus anderen Interessen).
Wenn ein Betreiber die Passwörter seiner Kunden Plaintext ablegt, verstößt er schonmal gegen die DSGVO. Wenn dann noch ein Leak passiert, ist er richtig dran. Dieses Risiko wird keiner eingehen. Zumal wohl keine moderne Webapp sowas mehr zulässt. Und wenn ein Inhouse Entwickler das so macht, gilt dies als grob fahrlässig.
Willst du trotzdem auf Nummer sicher gehen, nimmst du oauth/saml und betreibst das Backend selbst. Aber: Was soll das hier bringen? Der Ermittlungsbehörde bringt das Passwort gar nichts. Denn: Sie müssen ohnehin mit dem Betreiber in Kontakt treten. Und ob er ihnen das PW gibt oder alle Informationen, die der Betreiber zu diesem Account hat, ist völlig egal.
Was man hier sonst so von einigem liest und welch Ahnungslosigkeit herrscht, ist wirklich haaresträubend.
Nochmals, wenn irgend jemand sich auf diesem System anmelden will, um sich in seinem Account umzuschauen, braucht er das Kennwort nicht. Man setzt es zurück, und schon kann derjenige alles mit diesen Account machen. Da brauchst Du doch Dich nicht selbst hacken? Und selbst wenn das jemand bräuchte, um sich als diese Person fälschlicherweise auszugeben, braucht er auch das Kennwort nicht. Wenn er Kontakt zum Betreiber der Plattform hat, und der Betreiber Vollzugriff auf die Systeme hat, kann dieser das so für den Anfragenden manipulieren, daß er das auch, ohne das eigentliche Kennwort zu kennen. Daher, das Kennwort ist in allen Belangen vollkommen sinnlos.
Ergänzung ()
foo_1337 schrieb:
Was man hier sonst so von einigem liest und welch Ahnungslosigkeit herrscht, ist wirklich haaresträubend.
