ComputerBase Menü
Aktuelles

"Passwort vergessen" Funktion => Passwörter in Klarsicht !

Suxxess

Suxxess

Admiral
Registriert
Feb. 2005
Beiträge
7.205
Es ist schon häufiger vorgekommen, dass bestimmte Loginsysteme von Foren / Bestellsystemen und so weiter mir mein Passwort in Klarsicht zuschicken konnten. Für mich ist das aktuell ein sehr klares Anzeichen, dass diese Systeme mein Passwort unverschlüsselt und ungesalzen speichern. Wenn ich bedenke, dass solche Systeme auch teilweise Kreditkarteninformationen vorhalten, dann wird mir schlecht.

Jetzt würde ich halt gerne wissen, ob ich mich irre und es einem Anbieter trotz verschlüsselten und gesalzenen Passwort möglich wäre mir das Originalpasswort per E-Mail zukommen zu lassen? Oder muss ich grundsätzlich davon ausgehen, dass solche Anbieter mein Passwort unverschlüsselt speichern?
 
Deine Schlussfolgerung ist schon richtig, wenn dir ein Anbieter das Passwort im Klartext senden kann hat er es auch so gepeichert.

Leider ist es gegen das Gesetz Programmierer die so etwas verbrechen von der Fortpflanzung auszuschließen...
 
Masamune2 schrieb:
Deine Schlussfolgerung ist schon richtig, wenn dir ein Anbieter das Passwort im Klartext senden kann hat er es auch so gepeichert.
Zum Vergrößern anklicken....

Das stimmt nicht, ein verschlüsseltes Passwort kann entschlüsselt und zurückgesandt werden.
 
ob du grundsätzlich davon ausgehen solltest?

=> bei kleineres oder neueren anbietern wäre ich dort auch eher sehr vorsichtig, und ja du solltest davon ausgehen das sie die passwörter NICHT verschlüsseln

was dir natürlich auch nichts bringt wenn größere unternehmen dies genauso machen weil eine IT abteilung mit leuten die sich etwas auskennen eben geld kostet, und die meisten wollen dort eben sparen weil es nicht monetarisierbar ist , somit ist es nur ein kostenpunkt der keine gewinne abwirft, ergo "unnötig"

Vektor schrieb:
Das stimmt nicht, ein verschlüsseltes Passwort kann entschlüsselt und zurückgesandt werden.
Zum Vergrößern anklicken....


das ist schon richtig, aber ein passwort in klartext per email zu verschicken ist mehr als nur grenzwertig, ich würde es schon mehr als absolut fahrlässig einstufen
 
Theoretisch könnte das Passwort tatsächlich verschlüsselt gespeichert sein anstelle eines Hashs wie sonst üblich. Allerdings ist das nicht wirklich sicherer als Klartext, denn wenn jemand in das System eindringt ist die Wahrscheinlichkeit das er auch an die Passphrase zum entschlüsseln (die ja im System hinterlegt sein muss) kommt recht hoch.

Einen Hash könnte man nicht ohne weitres wieder zurückwandeln. Wenn dir jemand also dein Passwort einfach so zurückschicken kann wurde ganz sicher kein Hashing verwendet.
 
Da muss ich widersprechen... es kann so sein, muss aber nicht.
Jedes System ist dazu in der Lage dein Passwort zu entschlüsseln, was ja schon von Prinzip aus so ist.

Es ist also eine Frage der Vorgehensweise:
1) Speichert das System es im Klartext, dann kann dir jeder Mitarbeiter wahrscheinlich dein Passwort nennen
2) Speichert das System dein Passwort verschlüsselt, dann kann dir in der Regel niemand das PW nennen, aber es ist ggfs. in der Lage es dir zu entschlüsseln und zu senden.
 
Das stimmt nicht, ein verschlüsseltes Passwort kann entschlüsselt und zurückgesandt werden.
Zum Vergrößern anklicken....

Das ist dann ja genauso schlimm.... Ein Passwort sollte gesalzen und per Hash gesichert werden und nicht verschlüsselt. Klaut jemand den Schlüssel inkl. der verschlüsselten Passwörter ist quasi wieder alles im Klartext. Klaut jemand die gehashten Werte darf er anfangen zu rechnen...
 
Rome1981 schrieb:
Jedes System ist dazu in der Lage dein Passwort zu entschlüsseln, was ja schon von Prinzip aus so ist.
Zum Vergrößern anklicken....

Das ist falsch.

Sonst würde Truecrypt, eMail Verschlüsselung und Co keinen Sinn machen. Wenn das Paßwort clientseitig verschlüsselt und übertragen wird, kann niemand es zurückholen. Wenn es denn vernünftig gemacht wäre.
 
Suxxess schrieb:
Es ist schon häufiger vorgekommen, dass bestimmte Loginsysteme von Foren / Bestellsystemen und so weiter mir mein Passwort in Klarsicht zuschicken konnten. Für mich ist das aktuell ein sehr klares Anzeichen, dass diese Systeme mein Passwort unverschlüsselt und ungesalzen speichern.
Zum Vergrößern anklicken....

Die Diskussion hat ja bereits den Unterschied von Verschlüsseln und Hashen beschrieben. Ein gehashtes Paswwort ist durch eine sogenannte "Einwegfunktion" gegangen. Es kann daher prinzipbedingt nicht entschlüsselt werden. Das heißt nicht, dass man es nicht knacken kann. Das ist dann aber keine Entschlüsselung, sondern das Finden einer Eingabe, welche den gleichen Hash erzeugt. Dies ist bei kurzen Passwörtern in der Regel tatsächlich das Passwort, es wurde dann aber nicht entschlüsselt, sondern erraten. Das kann ohne Salt (ungesalzen) durch sogenannte Rainbow Tables erfolgen; das sind Datenbanken, in denen einfach fertige Hashes für Unmengen von Eingaben stehen. Für einen Salted Hash muss man aber meist per Brute Force Eingaben ausprobieren, um das Passwort zu knacken.

In der Praxis wird ein Loginsystem niemals per Brute-Force oder Rainbow-Tabelle für dich dein Passwort knacken. Bestenfalls ist es symmetrisch verschlüsselt gespeichert. Dann liegt auf dem Server irgendwo ein Master-Key zur Entschlüsselung. Wer aber überhaupt auf die Idee kommt, Passwörter nicht als Hash zu speichern, verfriemelt wahrscheinlich die Sicherheit komplett und daher ist stark anzunehmen, dass das Passwort gleich völlig im Klartext gespeichert wurde.
 
sohei schrieb:
=> bei kleineres oder neueren anbietern wäre ich dort auch eher sehr vorsichtig, und ja du solltest davon ausgehen das sie die passwörter NICHT verschlüsseln
Zum Vergrößern anklicken....
Eigentlich gerade nicht.
Kleine Unternehmen setzen im Web gern auf die gängigen Open Source - Systeme, z.B. für Shops oder Foren. Ich hab immer ein kleines Plugin im Browser mitlaufen (z.B. Chrome Sniffer), dass mir das wahrscheinlich verwendete CMS oder Framework anzeigt. Wenn ich da Systeme wie Magento, Joomla oder Contao sehe, dann weiß ich wie und wie stark da gehasht wird. Wenn ich hingegen nix sehe und auch der Quellcode nur ausspuckt,d ass es wohl eine hausgemachte Frickellösung ist, dann bin ich extra-vorsichtig.

was dir natürlich auch nichts bringt wenn größere unternehmen dies genauso machen weil eine IT abteilung mit leuten die sich etwas auskennen eben geld kostet
Zum Vergrößern anklicken....
Ach komm. Selbst ein Anfänger dürfte inzwischen begriffen haben, wie das mit Hashing & Salts funktioniert, das weiß sogar der Praktikant... und gerade die Einsteiger musst du nicht teuer bezahlen, die sind oftmals noch billig.

Schlimmer sind die "alten Hasen", die heute noch so arbeiten wie Ende der 90er, und weil sie schon seit Gründung dabei sind redet denen auch keiner rein.

das ist schon richtig, aber ein passwort in klartext per email zu verschicken ist mehr als nur grenzwertig, ich würde es schon mehr als absolut fahrlässig einstufen
Zum Vergrößern anklicken....
EIN Passwort im Klartext ist schon leidlich akzeptabel... wenn es ein generiertes Einmal-PW mit erzwungener Änderung nach Login ist.
Natürlich ist ein Reset-Request mit Mail-Link 1000x sicherer.

Jesterfox schrieb:
Theoretisch könnte das Passwort tatsächlich verschlüsselt gespeichert sein anstelle eines Hashs wie sonst üblich. Allerdings ist das nicht wirklich sicherer als Klartext, denn wenn jemand in das System eindringt ist die Wahrscheinlichkeit das er auch an die Passphrase zum entschlüsseln (die ja im System hinterlegt sein muss) kommt recht hoch.
Zum Vergrößern anklicken....
Tja, das haben wohl inzwischen sogar die Vollpfosten bei Adobe begriffen.... kann man zumindest hoffen. Der Leak kürzlich hat ja gezeigt, dass bei denen Passwörter symmetrisch verschlüsselt gelagert wurden... was natürlich grenzdebil ist. Schließlich muss das Login-System dann den Masterkey kennen, ein Eindringling hat den dann nach ein paar Minuten Code-Analyse rausgefunden.

Es ist eben leider tatsächlich noch illegal, die verantwortlichen Entwickler UND Entscheidungsträger kommentarlos in ein sibirisches Gulag zu schicken.
 
Soweit ich weiß ist es wie folgt:
Passwort in Klarsicht => :freak:
Passwort verschlüsselt => z.B. Passwort lautet "120", wenn der Verschlüsselungscode das Passwort mit 6 multipliziert und das Programm dann "720" als Wert speichert. Wenn der Angreifer diesen Verschlüsselungsalgorithmus herausbekommt, dann kann man natürlich das Passwort zurückrechnen.

Sicherer wird es nur wenn es gehasht wird denn dann kann das Programm nur die Hashes vergleichen und kennt das Passwort gar nicht mehr in Klarsicht. Wenn es dann noch gesalzen ist, dann kann man es gar nicht mehr zurückrechnen. Sprich das Passwort muss zwingend ersetzt werden wenn es vergessen wurde.
 
Wenn es dann noch gesalzen ist, dann kann man es gar nicht mehr zurückrechnen.
Zum Vergrößern anklicken....
Naja nicht ganz. Das Salzen verhindert das die Passwörter mit vorberechneten Tabellen (Rainbowtables) sehr schnell geknackt werden könnten.
 
Suxxess schrieb:
Passwort verschlüsselt => z.B. Passwort lautet "120", wenn der Verschlüsselungscode das Passwort mit 6 multipliziert und das Programm dann "720" als Wert speichert.
Zum Vergrößern anklicken....
Er braucht keinen Algorithmus herausfinden, der ist normalerweise eh "öffentlich" irgendwo vermerkt. Was er braucht ist das "Passwort", den Schlüssel um den Kram zu entschlüsseln. Diese Key muss natürlich irgendwo im Klartext stehen, wo die Maschine es finden kann.

Wenn es dann noch gesalzen ist, dann kann man es gar nicht mehr zurückrechnen. Sprich das Passwort muss zwingend ersetzt werden wenn es vergessen wurde.
Zum Vergrößern anklicken....
Salt verhindert nur, dass man vorher mit einmalig hohem Rechenaufwand alle potentiellen Passwort -> Hash - Kombinationen in einer Rainbow Table zusammen trägt. Ideal ist, jedem Passwort ein einmaliges Salt zuzuweisen (der natürlcih im Klartext vorliegt. ist aber kein Risiko). Auf die Weise muss auf für jeden Salt eine eigene RT angelegt werden.
Wenn man dann noch ne anständige Hash-Funktion, z.B. bcrypt, verwendet, anstatt die extraschnellen wie SHA1 oder MD5, dann ist alles reichlich in Butter.
 
Man könnte es auch noch einfacher runter brechen. Jeder Anbieter, der Dir Dein Passwort zusenden kann, den sollte man meiden.

Wenn man ein sicheres Passwort System hat, dann bekommt man nur einen Link, wo man sein Passwort zurück setzen kann / ein neues erstellen kann. Weil eben bei einem sicheren System selbst der Anbieter nicht an Dein Passwort dran kommt.
 
Leider weiß man es ja vorher nicht... Hättest du bei Sony geahnt, dass deren Webseite mit ner simplen SQL-Injection zu knacken ist? Hättest du bei Mr. Spex und anderen Shops gedacht, dass dort Passwörter im Klartext oder ungesalzene MD5-Hashes (also quasi Klartext) vorliegen? Hättest du bei Adobe geglaubt, dass die Passwörter tatsächlich symmetrisch verschlüsseln?

Willst du dich überall erst einmal mit 12345678 anmelden, n Passwort-Reset durchführen udn gucken, was passiert? Dann weißt du immer noch nicht, ob nicht nur symmetrisch verschlüsselt oder ungesalzenes MD5 genutzt wird.
 
Ja, vorher weiß man es nicht wirklich. Aber wenn man ein PW anfordert und man es dann im Klartext via Mail bekommt. Dann weiß man es aber :)
 
Jo, und wenn es "das Übliche" PW war, wie es das nun einmal bei den meisten Usern ist, dann haben im schlimmsten Fall schon Bösewichte einen alten Datenbank-Dump in die Finger bekommen.
Klar, du kannst das PW jetzt auf ein zufällig-wurstiges wechseln und dann den Account gleich kündigen, in alten Sicherheitskopien des Betreibers schwirrt das ursprüngliche PW aber immer noch rum, das verschwindet im Zweifel nie wieder.

Hier würde nur helfen, wenn man eben tatsächlich die Betreiber der Seite haftbar machen könnte, und mit haftbar mein ich: Strafversetzung in eine Bergbaukolonie am Kongo... oder 10 Jahre als Entwicklungshelfer in Dafur.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Passwort-Vergessen-Funktion
Antworten
5
Aufrufe
1.377
bmp
B
J0SH
GMX Passwort vergessen Funktion = Endlosscheife
Antworten
4
Aufrufe
13.734
J0SH
J0SH
A
Web.de Passwort vergessen Funktion funktioniert seit Wochen nicht
Antworten
7
Aufrufe
3.410
Arion
A
V
PHP Passwort vergessen funktion -> Valid Link nach 24Stunden automatisch löschen?
Antworten
13
Aufrufe
4.312
volcem
V
Muhviehstar
[Firefox] Funktion "Passwörter zeigen" deaktivieren?
Antworten
2
Aufrufe
1.078
Cybadeath
Cybadeath
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz