Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
Bruellhusten registrierter User
Anmeldungsdatum: 25.03.2012 Beiträge: 4
|
(#1739888) Verfasst am: 25.03.2012, 12:56 Titel: Aktivierungsmail - PWs im Klartext |
|
|
Guten Tag liebe FGHler,
so ein Threat ist kein guter Einstieg...
... aber wenn ich als sicherheitsbewusster Mensch sehe das Passwörter im Klartext gespeichert und anschließend per Mail im Klartext verschickt werden könnte ich die Wände hochlaufen.
Damit ist mindestens das Passwort bei mir im Posteingang im Klartext und mindestens für ein paar Sekunden auch auf dem Mailserver vom FGH.
Würde mich nicht wundern wenn Kopien solcher Mails auch noch länger im Postausgang des Servers liegen.
Im worst-case liegen die zudem noch unverschlüsselt in einer Datenbank.
Gerade die Kennwörter die bei Nutzern im Klartext in den Posteingängen schlummern sind die gefährlichsten. Es reicht wenn jemand anderes an den PC geht und die Mails liest. Was auch oft genug vorkommt: Sicherheitslücken bei Mailprovidern im Internet werden ausgenutzt.
Da sind solche Klartextpasswörter natürlich das erste Ziel.
Viele Grüße, Bruellhusten
|
|
Nach oben |
|
|
Kival Profeminist Ghost
Anmeldungsdatum: 14.11.2006 Beiträge: 24071
|
(#1739889) Verfasst am: 25.03.2012, 12:57 Titel: |
|
|
Reden wir hier von den automatisch erstellten Passwörtern, die nur dazu dienen, dass man sein Passwort wieder ändern kann?
_________________ "A basic literacy in statistics will one day be as necessary for efficient citizenship as the ability to read and write." (angeblich H. G. Wells)
|
|
Nach oben |
|
|
esme lebt ohne schützende Gänsefüßchen.
Anmeldungsdatum: 12.06.2005 Beiträge: 5667
|
(#1739894) Verfasst am: 25.03.2012, 13:06 Titel: Re: Aktivierungsmail - PWs im Klartext |
|
|
Bruellhusten hat folgendes geschrieben: | Guten Tag liebe FGHler,
so ein Threat ist kein guter Einstieg...
... aber wenn ich als sicherheitsbewusster Mensch sehe das Passwörter im Klartext gespeichert und anschließend per Mail im Klartext verschickt werden könnte ich die Wände hochlaufen.
Damit ist mindestens das Passwort bei mir im Posteingang im Klartext und mindestens für ein paar Sekunden auch auf dem Mailserver vom FGH.
Würde mich nicht wundern wenn Kopien solcher Mails auch noch länger im Postausgang des Servers liegen.
Im worst-case liegen die zudem noch unverschlüsselt in einer Datenbank.
Gerade die Kennwörter die bei Nutzern im Klartext in den Posteingängen schlummern sind die gefährlichsten. Es reicht wenn jemand anderes an den PC geht und die Mails liest. Was auch oft genug vorkommt: Sicherheitslücken bei Mailprovidern im Internet werden ausgenutzt.
Da sind solche Klartextpasswörter natürlich das erste Ziel.
Viele Grüße, Bruellhusten |
Was sollte es für einen Vorteil haben, sich in den unbenutzten Account "Bruellhusten" einzuloggen statt selbst einen zu erstellen? Und worin besteht genau die von dir im ersten Satz angekündigte Drohung?
_________________ Gunkl über Intelligent Design:
Da hat sich die Kirche beim Rückzugsgefecht noch einmal grandios verstolpert und jetzt wollen sie auch noch Haltungsnoten für die argumentative Brez'n, die sie da gerissen haben.
|
|
Nach oben |
|
|
Kival Profeminist Ghost
Anmeldungsdatum: 14.11.2006 Beiträge: 24071
|
(#1739900) Verfasst am: 25.03.2012, 13:27 Titel: |
|
|
Ich glaube, das war nur Thread falsch geschrieben.
_________________ "A basic literacy in statistics will one day be as necessary for efficient citizenship as the ability to read and write." (angeblich H. G. Wells)
|
|
Nach oben |
|
|
nocquae diskriminiert nazis
Anmeldungsdatum: 16.07.2003 Beiträge: 18183
|
(#1739907) Verfasst am: 25.03.2012, 13:57 Titel: Re: Aktivierungsmail - PWs im Klartext |
|
|
Bruellhusten hat folgendes geschrieben: | Guten Tag liebe FGHler,
so ein Threat ist kein guter Einstieg...
... aber wenn ich als sicherheitsbewusster Mensch sehe das Passwörter im Klartext gespeichert und anschließend per Mail im Klartext verschickt werden könnte ich die Wände hochlaufen.
Damit ist mindestens das Passwort bei mir im Posteingang im Klartext und mindestens für ein paar Sekunden auch auf dem Mailserver vom FGH.
Würde mich nicht wundern wenn Kopien solcher Mails auch noch länger im Postausgang des Servers liegen.
Im worst-case liegen die zudem noch unverschlüsselt in einer Datenbank.
Gerade die Kennwörter die bei Nutzern im Klartext in den Posteingängen schlummern sind die gefährlichsten. Es reicht wenn jemand anderes an den PC geht und die Mails liest. Was auch oft genug vorkommt: Sicherheitslücken bei Mailprovidern im Internet werden ausgenutzt.
Da sind solche Klartextpasswörter natürlich das erste Ziel.
Viele Grüße, Bruellhusten |
Das Passwort wird bereits einmal im Klartext übertragen, wenn du es bei der Anmeldung eingibst.
Ansonsten s. http://freigeisterhaus.de/viewtopic.php?p=1414606#1414606 ff.
_________________ In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
Nach oben |
|
|
Bruellhusten registrierter User
Anmeldungsdatum: 25.03.2012 Beiträge: 4
|
(#1739935) Verfasst am: 25.03.2012, 15:29 Titel: |
|
|
Kival hat folgendes geschrieben: | Ich glaube, das war nur Thread falsch geschrieben. |
korrekt, sorry
-
Es ist dennoch überflüssig das Passwort nochmal im Klartext zu übertragen.
Klappt bei anderen Seiten auch äußerst gut.
Und wenn das Kennwort längere Zeit in Mailform bspw. als Outlook.pst irgendwo herumfliegt und dann durch ein entsprechendes unerwünschtes Programm durchsucht wird, dann steht in dem Account u.U. schon mehr.
Es ist halt nur ein sinnloses Feature, das eine zusätzliche Sicherheitslücke darstellt. Einziger Bonus ist doch der minimal kleinere Traffic wenn einer von zehn passwort vergessen request nicht mehr nötig ist.
|
|
Nach oben |
|
|
nocquae diskriminiert nazis
Anmeldungsdatum: 16.07.2003 Beiträge: 18183
|
(#1739966) Verfasst am: 25.03.2012, 16:50 Titel: |
|
|
Bruellhusten hat folgendes geschrieben: | Und wenn das Kennwort längere Zeit in Mailform bspw. als Outlook.pst irgendwo herumfliegt und dann durch ein entsprechendes unerwünschtes Programm durchsucht wird, dann steht in dem Account u.U. schon mehr. |
Wenn jemand einen solchen Grad an Zugriff auf deinen Computer hat, dass er deine dort gespeicherten Mails durchsuchen kann, dann hast du sowieso ein wesentlich größeres Problem.
Mal abgesehen davon, dass das als Bedrohungsszenario praktisch bedeutungslos ist. Das Bedrohungszenario sind große Datenbasen - wie z. B. iTunes, Facebook etc - bei denen man sich mit einem einzigen Angriff mehrere Millionen Passworthashes besorgen kann und die dann mit rainbow tabes abgleicht. Und dagegen hilft nur a) sichere Passwörter verwenden und b) verschiedene Passwörter für verschiedene Seiten verwenden.
Bruellhusten hat folgendes geschrieben: | Es ist halt nur ein sinnloses Feature, das eine zusätzliche Sicherheitslücke darstellt. |
Ja. Aber das ist das Standardverhalten von phpBB2 und das zu ändern ist wieder ein weiterer Eingriff in die Software, der sich bei zukünftigen Upgrades rächen kann.
_________________ In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
Nach oben |
|
|
|