Aktivierungsmail - PWs im Klartext
Wähle Beiträge von
 # bis # FAQ
[/[Drucken]\]

Freigeisterhaus -> Maaaaamiiii !!!!
#1: Aktivierungsmail - PWs im Klartext Autor: Bruellhusten BeitragVerfasst am: 25.03.2012, 12:56
    —
Guten Tag liebe FGHler,

so ein Threat ist kein guter Einstieg...
... aber wenn ich als sicherheitsbewusster Mensch sehe das Passwörter im Klartext gespeichert und anschließend per Mail im Klartext verschickt werden könnte ich die Wände hochlaufen.

Damit ist mindestens das Passwort bei mir im Posteingang im Klartext und mindestens für ein paar Sekunden auch auf dem Mailserver vom FGH.
Würde mich nicht wundern wenn Kopien solcher Mails auch noch länger im Postausgang des Servers liegen.
Im worst-case liegen die zudem noch unverschlüsselt in einer Datenbank.

Gerade die Kennwörter die bei Nutzern im Klartext in den Posteingängen schlummern sind die gefährlichsten. Es reicht wenn jemand anderes an den PC geht und die Mails liest. Was auch oft genug vorkommt: Sicherheitslücken bei Mailprovidern im Internet werden ausgenutzt.
Da sind solche Klartextpasswörter natürlich das erste Ziel.

Viele Grüße, Bruellhusten
#2:  Autor: Kival BeitragVerfasst am: 25.03.2012, 12:57
    —
Reden wir hier von den automatisch erstellten Passwörtern, die nur dazu dienen, dass man sein Passwort wieder ändern kann?
#3: Re: Aktivierungsmail - PWs im Klartext Autor: esme BeitragVerfasst am: 25.03.2012, 13:06
    —
Bruellhusten hat folgendes geschrieben:
Guten Tag liebe FGHler,

so ein Threat ist kein guter Einstieg...
... aber wenn ich als sicherheitsbewusster Mensch sehe das Passwörter im Klartext gespeichert und anschließend per Mail im Klartext verschickt werden könnte ich die Wände hochlaufen.

Damit ist mindestens das Passwort bei mir im Posteingang im Klartext und mindestens für ein paar Sekunden auch auf dem Mailserver vom FGH.
Würde mich nicht wundern wenn Kopien solcher Mails auch noch länger im Postausgang des Servers liegen.
Im worst-case liegen die zudem noch unverschlüsselt in einer Datenbank.

Gerade die Kennwörter die bei Nutzern im Klartext in den Posteingängen schlummern sind die gefährlichsten. Es reicht wenn jemand anderes an den PC geht und die Mails liest. Was auch oft genug vorkommt: Sicherheitslücken bei Mailprovidern im Internet werden ausgenutzt.
Da sind solche Klartextpasswörter natürlich das erste Ziel.

Viele Grüße, Bruellhusten


Was sollte es für einen Vorteil haben, sich in den unbenutzten Account "Bruellhusten" einzuloggen statt selbst einen zu erstellen? Und worin besteht genau die von dir im ersten Satz angekündigte Drohung?
#4:  Autor: Kival BeitragVerfasst am: 25.03.2012, 13:27
    —
Ich glaube, das war nur Thread falsch geschrieben. zwinkern
#5: Re: Aktivierungsmail - PWs im Klartext Autor: nocquae BeitragVerfasst am: 25.03.2012, 13:57
    —
Bruellhusten hat folgendes geschrieben:
Guten Tag liebe FGHler,

so ein Threat ist kein guter Einstieg...
... aber wenn ich als sicherheitsbewusster Mensch sehe das Passwörter im Klartext gespeichert und anschließend per Mail im Klartext verschickt werden könnte ich die Wände hochlaufen.

Damit ist mindestens das Passwort bei mir im Posteingang im Klartext und mindestens für ein paar Sekunden auch auf dem Mailserver vom FGH.
Würde mich nicht wundern wenn Kopien solcher Mails auch noch länger im Postausgang des Servers liegen.
Im worst-case liegen die zudem noch unverschlüsselt in einer Datenbank.

Gerade die Kennwörter die bei Nutzern im Klartext in den Posteingängen schlummern sind die gefährlichsten. Es reicht wenn jemand anderes an den PC geht und die Mails liest. Was auch oft genug vorkommt: Sicherheitslücken bei Mailprovidern im Internet werden ausgenutzt.
Da sind solche Klartextpasswörter natürlich das erste Ziel.

Viele Grüße, Bruellhusten

Das Passwort wird bereits einmal im Klartext übertragen, wenn du es bei der Anmeldung eingibst.

Ansonsten s. http://freigeisterhaus.de/viewtopic.php?p=1414606#1414606 ff.
#6:  Autor: Bruellhusten BeitragVerfasst am: 25.03.2012, 15:29
    —
Kival hat folgendes geschrieben:
Ich glaube, das war nur Thread falsch geschrieben. zwinkern


korrekt, sorry Smilie

-

Es ist dennoch überflüssig das Passwort nochmal im Klartext zu übertragen.
Klappt bei anderen Seiten auch äußerst gut.
Und wenn das Kennwort längere Zeit in Mailform bspw. als Outlook.pst irgendwo herumfliegt und dann durch ein entsprechendes unerwünschtes Programm durchsucht wird, dann steht in dem Account u.U. schon mehr.
Es ist halt nur ein sinnloses Feature, das eine zusätzliche Sicherheitslücke darstellt. Einziger Bonus ist doch der minimal kleinere Traffic wenn einer von zehn passwort vergessen request nicht mehr nötig ist.
#7:  Autor: nocquae BeitragVerfasst am: 25.03.2012, 16:50
    —
Bruellhusten hat folgendes geschrieben:
Und wenn das Kennwort längere Zeit in Mailform bspw. als Outlook.pst irgendwo herumfliegt und dann durch ein entsprechendes unerwünschtes Programm durchsucht wird, dann steht in dem Account u.U. schon mehr.

Wenn jemand einen solchen Grad an Zugriff auf deinen Computer hat, dass er deine dort gespeicherten Mails durchsuchen kann, dann hast du sowieso ein wesentlich größeres Problem.

Mal abgesehen davon, dass das als Bedrohungsszenario praktisch bedeutungslos ist. Das Bedrohungszenario sind große Datenbasen - wie z. B. iTunes, Facebook etc - bei denen man sich mit einem einzigen Angriff mehrere Millionen Passworthashes besorgen kann und die dann mit rainbow tabes abgleicht. Und dagegen hilft nur a) sichere Passwörter verwenden und b) verschiedene Passwörter für verschiedene Seiten verwenden.

Bruellhusten hat folgendes geschrieben:
Es ist halt nur ein sinnloses Feature, das eine zusätzliche Sicherheitslücke darstellt.

Ja. Aber das ist das Standardverhalten von phpBB2 und das zu ändern ist wieder ein weiterer Eingriff in die Software, der sich bei zukünftigen Upgrades rächen kann.
Freigeisterhaus -> Maaaaamiiii !!!!


output generated using printer-friendly topic mod. Alle Zeiten sind GMT + 1 Stunde

Seite 1 von 1

Powered by phpBB © 2001, 2005 phpBB Group