Freigeisterhaus Foren-Übersicht
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   NutzungsbedingungenNutzungsbedingungen   BenutzergruppenBenutzergruppen   LinksLinks   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Aktivierungsmail - PWs im Klartext

 
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> Maaaaamiiii !!!!
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Bruellhusten
registrierter User



Anmeldungsdatum: 25.03.2012
Beiträge: 4

Beitrag(#1739888) Verfasst am: 25.03.2012, 11:56    Titel: Aktivierungsmail - PWs im Klartext Antworten mit Zitat

Guten Tag liebe FGHler,

so ein Threat ist kein guter Einstieg...
... aber wenn ich als sicherheitsbewusster Mensch sehe das Passwörter im Klartext gespeichert und anschließend per Mail im Klartext verschickt werden könnte ich die Wände hochlaufen.

Damit ist mindestens das Passwort bei mir im Posteingang im Klartext und mindestens für ein paar Sekunden auch auf dem Mailserver vom FGH.
Würde mich nicht wundern wenn Kopien solcher Mails auch noch länger im Postausgang des Servers liegen.
Im worst-case liegen die zudem noch unverschlüsselt in einer Datenbank.

Gerade die Kennwörter die bei Nutzern im Klartext in den Posteingängen schlummern sind die gefährlichsten. Es reicht wenn jemand anderes an den PC geht und die Mails liest. Was auch oft genug vorkommt: Sicherheitslücken bei Mailprovidern im Internet werden ausgenutzt.
Da sind solche Klartextpasswörter natürlich das erste Ziel.

Viele Grüße, Bruellhusten
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Kival
Profeminist Ghost



Anmeldungsdatum: 14.11.2006
Beiträge: 24071

Beitrag(#1739889) Verfasst am: 25.03.2012, 11:57    Titel: Antworten mit Zitat

Reden wir hier von den automatisch erstellten Passwörtern, die nur dazu dienen, dass man sein Passwort wieder ändern kann?
_________________
"A basic literacy in statistics will one day be as necessary for efficient citizenship as the ability to read and write." (angeblich H. G. Wells)
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
esme
lebt ohne schützende Gänsefüßchen.



Anmeldungsdatum: 12.06.2005
Beiträge: 5667

Beitrag(#1739894) Verfasst am: 25.03.2012, 12:06    Titel: Re: Aktivierungsmail - PWs im Klartext Antworten mit Zitat

Bruellhusten hat folgendes geschrieben:
Guten Tag liebe FGHler,

so ein Threat ist kein guter Einstieg...
... aber wenn ich als sicherheitsbewusster Mensch sehe das Passwörter im Klartext gespeichert und anschließend per Mail im Klartext verschickt werden könnte ich die Wände hochlaufen.

Damit ist mindestens das Passwort bei mir im Posteingang im Klartext und mindestens für ein paar Sekunden auch auf dem Mailserver vom FGH.
Würde mich nicht wundern wenn Kopien solcher Mails auch noch länger im Postausgang des Servers liegen.
Im worst-case liegen die zudem noch unverschlüsselt in einer Datenbank.

Gerade die Kennwörter die bei Nutzern im Klartext in den Posteingängen schlummern sind die gefährlichsten. Es reicht wenn jemand anderes an den PC geht und die Mails liest. Was auch oft genug vorkommt: Sicherheitslücken bei Mailprovidern im Internet werden ausgenutzt.
Da sind solche Klartextpasswörter natürlich das erste Ziel.

Viele Grüße, Bruellhusten


Was sollte es für einen Vorteil haben, sich in den unbenutzten Account "Bruellhusten" einzuloggen statt selbst einen zu erstellen? Und worin besteht genau die von dir im ersten Satz angekündigte Drohung?
_________________
Gunkl über Intelligent Design:
Da hat sich die Kirche beim Rückzugsgefecht noch einmal grandios verstolpert und jetzt wollen sie auch noch Haltungsnoten für die argumentative Brez'n, die sie da gerissen haben.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Kival
Profeminist Ghost



Anmeldungsdatum: 14.11.2006
Beiträge: 24071

Beitrag(#1739900) Verfasst am: 25.03.2012, 12:27    Titel: Antworten mit Zitat

Ich glaube, das war nur Thread falsch geschrieben. zwinkern
_________________
"A basic literacy in statistics will one day be as necessary for efficient citizenship as the ability to read and write." (angeblich H. G. Wells)
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
nocquae
diskriminiert nazis



Anmeldungsdatum: 16.07.2003
Beiträge: 18183

Beitrag(#1739907) Verfasst am: 25.03.2012, 12:57    Titel: Re: Aktivierungsmail - PWs im Klartext Antworten mit Zitat

Bruellhusten hat folgendes geschrieben:
Guten Tag liebe FGHler,

so ein Threat ist kein guter Einstieg...
... aber wenn ich als sicherheitsbewusster Mensch sehe das Passwörter im Klartext gespeichert und anschließend per Mail im Klartext verschickt werden könnte ich die Wände hochlaufen.

Damit ist mindestens das Passwort bei mir im Posteingang im Klartext und mindestens für ein paar Sekunden auch auf dem Mailserver vom FGH.
Würde mich nicht wundern wenn Kopien solcher Mails auch noch länger im Postausgang des Servers liegen.
Im worst-case liegen die zudem noch unverschlüsselt in einer Datenbank.

Gerade die Kennwörter die bei Nutzern im Klartext in den Posteingängen schlummern sind die gefährlichsten. Es reicht wenn jemand anderes an den PC geht und die Mails liest. Was auch oft genug vorkommt: Sicherheitslücken bei Mailprovidern im Internet werden ausgenutzt.
Da sind solche Klartextpasswörter natürlich das erste Ziel.

Viele Grüße, Bruellhusten

Das Passwort wird bereits einmal im Klartext übertragen, wenn du es bei der Anmeldung eingibst.

Ansonsten s. http://freigeisterhaus.de/viewtopic.php?p=1414606#1414606 ff.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
Bruellhusten
registrierter User



Anmeldungsdatum: 25.03.2012
Beiträge: 4

Beitrag(#1739935) Verfasst am: 25.03.2012, 14:29    Titel: Antworten mit Zitat

Kival hat folgendes geschrieben:
Ich glaube, das war nur Thread falsch geschrieben. zwinkern


korrekt, sorry Smilie

-

Es ist dennoch überflüssig das Passwort nochmal im Klartext zu übertragen.
Klappt bei anderen Seiten auch äußerst gut.
Und wenn das Kennwort längere Zeit in Mailform bspw. als Outlook.pst irgendwo herumfliegt und dann durch ein entsprechendes unerwünschtes Programm durchsucht wird, dann steht in dem Account u.U. schon mehr.
Es ist halt nur ein sinnloses Feature, das eine zusätzliche Sicherheitslücke darstellt. Einziger Bonus ist doch der minimal kleinere Traffic wenn einer von zehn passwort vergessen request nicht mehr nötig ist.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
nocquae
diskriminiert nazis



Anmeldungsdatum: 16.07.2003
Beiträge: 18183

Beitrag(#1739966) Verfasst am: 25.03.2012, 15:50    Titel: Antworten mit Zitat

Bruellhusten hat folgendes geschrieben:
Und wenn das Kennwort längere Zeit in Mailform bspw. als Outlook.pst irgendwo herumfliegt und dann durch ein entsprechendes unerwünschtes Programm durchsucht wird, dann steht in dem Account u.U. schon mehr.

Wenn jemand einen solchen Grad an Zugriff auf deinen Computer hat, dass er deine dort gespeicherten Mails durchsuchen kann, dann hast du sowieso ein wesentlich größeres Problem.

Mal abgesehen davon, dass das als Bedrohungsszenario praktisch bedeutungslos ist. Das Bedrohungszenario sind große Datenbasen - wie z. B. iTunes, Facebook etc - bei denen man sich mit einem einzigen Angriff mehrere Millionen Passworthashes besorgen kann und die dann mit rainbow tabes abgleicht. Und dagegen hilft nur a) sichere Passwörter verwenden und b) verschiedene Passwörter für verschiedene Seiten verwenden.

Bruellhusten hat folgendes geschrieben:
Es ist halt nur ein sinnloses Feature, das eine zusätzliche Sicherheitslücke darstellt.

Ja. Aber das ist das Standardverhalten von phpBB2 und das zu ändern ist wieder ein weiterer Eingriff in die Software, der sich bei zukünftigen Upgrades rächen kann.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> Maaaaamiiii !!!! Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Impressum & Datenschutz


Powered by phpBB © 2001, 2005 phpBB Group