Kennwortspeicherung in der Datenbank des Forums / Kritik
karlnew 25. Okt. 2017, 11:43

Hallo,

ich habe mich gerade erst im Forum angemeldet. Da ist mir bei der Änderung des Passworts aufgefallen, dass das Passwort im Klartext sichtbar ist, das bedeutet, das es auch nicht verschlüsselt in der Datenbank steht. Wenn es verschlüsselt in der Datenbank steht kann es (zumindest nicht mit ohne extremen Aufwand) wieder entschlüsselt werden.

Stand der Technik seit bestimmt 20 Jahren:
- User registiert sich, bekommt ein generiertes Passwort, das verschlüsselt wird und um einen Salt erweitert. Dieses wird in der Datenbank gespeichert.
- User logt sich sich mit Passwort ein: Das Password geht an die Forumsoftware (wahrscheinlich php) wird verschlüsselt um den Salt erweitert und mir dem verschlüsselten in der Datenbank verglichen. Wenns passt wird er reingelassen.

Warum ist das ein Problem:
- Wenn jemand das Forum hackt oder den Server hat er alle user account + klartext passworte + email addressen.
- Kaum ein User verwendet für alle seine kompletten Accounts ein anderes Passwort.
- Das führt dann dazu das in anderen Foren Spam (das ist noch das kleinste Übel) verbreitet wir usw.

Warum mir das ein Anliegen ist:
Ich bin hauptberuflich in der technisch Informatik tätig.

Gruß Karl

PS: Die Opensource verwenden, da wäre das nicht passiert.

P.Müller 01. Mrz. 2018, 17:00

Hallo karlnew,

danke, dass du das Thema hier ansprichst.
Ich sehe das genau wie du, kritisch und doch so einfach lösbar.
Ich möchte mich ebenfalls dafür aussprechen, hier von Seiten der Betreiber etwas zu ändern!

Gruß
Peter

KlaK 03. Mrz. 2018, 13:33

Hallo Karl,

Ich finde es immer wieder nett wenn der erste Beitrag im Forum eine Kritik ist. Es zwingt Dich jedoch niemand diesem Forum beizutreten wenn es Dir zu unsicher ist.

Zur Kritik selber: Woher weißt Du denn dass das Passwort in der Datenbank unverschlüsselt steht und nur für die Anzeige im Profil entschlüsselt wird?
Ich betreue selber ein anderes Forum und dort wird es genau so praktiziert! Gut, man muß noch einen Knopf drücken damit die Sternchen durch den wirklichen Text ersetzt werden aber egal.

Auch die Anmerkung "Kaum ein User verwendet für alle seine kompletten Accounts ein anderes Passwort." finde ich diskussionswürdig, wer wirklich so handelt hat in den letzten fünf Jahren bestimmt auch anderes verpasst. Aber da kann ich nicht Forumsbetreiber dafür verantwortlich machen.

Thema Spam: In einem technischem Forum? Derjenige fällt doch sofort auf! Ich glaube wir hatten hier bisher nur 2 Fälle wo die Moderatoren einschreiten mußten (in den 12 Jahren seit meiner ersten Anmeldung).
Und was meinst Du wie viele sich wirklich die Mühe machen herauszufinden in welchen anderen Foren der User angemeldet ist? Da ist es doch einfacher das dortige Forum zu hacken, wenn er es hier schon geschafft hat.

Aber viel Spaß weiterhin. Ich sehe da eine deutlich größere Gefahr bei Foren die auf Open Source basieren und von Leuten aufgebaut werden die von IT keine Ahnung haben. Da wird dann PHP 4 oder 5 verwendet weil die Software ja kostenlos ist ....  (die Hacker freuen sich)

Grüße
Klaus  

[Diese Nachricht wurde von KlaK am 03. Mrz. 2018 editiert.]