Forum:Kritik
Thema:Kennwortspeicherung in der Datenbank des Forums
Möchten Sie sich registrieren?
Wer darf antworten? Registrierte Benutzer können Beiträge verfassen.
Hinweise zur Registrierung Sie müssen registriert sein, um Beiträge oder Antworten auf Beiträge schreiben zu können.
Ihr Benutzername:
Ihr Kennwort:   Kennwort vergessen?
Anhang:    Datei(en) anhängen  <?>   Anhänge verwalten  <?>
Grafik für den Beitrag:                                                
                                                       
Ihre Antwort:

Fachbegriff
URL
Email
Fett
Kursiv
Durchgestr.
Liste
*
Bild
Zitat
Code

*HTML ist AUS
*UBB-Code ist AN
Smilies Legende
Netiquette

10 20 40

Optionen Smilies in diesem Beitrag deaktivieren.
Signatur anfügen: die Sie bei den Voreinstellungen angegeben haben.

Wenn Sie bereits registriert sind, aber Ihr Kennwort vergessen haben, klicken Sie bitte hier.

Bitte drücken Sie nicht mehrfach auf "Antwort speichern".

*Ist HTML- und/oder UBB-Code aktiviert, dann können Sie HTML und/oder UBB Code in Ihrem Beitrag verwenden.

T H E M A     A N S E H E N
karlnew

Beiträge: 2 / 0

Hallo,

ich habe mich gerade erst im Forum angemeldet. Da ist mir bei der Änderung des Passworts aufgefallen, dass das Passwort im Klartext sichtbar ist, das bedeutet, das es auch nicht verschlüsselt in der Datenbank steht. Wenn es verschlüsselt in der Datenbank steht kann es (zumindest nicht mit ohne extremen Aufwand) wieder entschlüsselt werden.

Stand der Technik seit bestimmt 20 Jahren:
- User registiert sich, bekommt ein generiertes Passwort, das verschlüsselt wird und um einen Salt erweitert. Dieses wird in der Datenbank gespeichert.
- User logt sich sich mit Passwort ein: Das Password geht an die Forumsoftware (wahrscheinlich php) wird verschlüsselt um den Salt erweitert und mir dem verschlüsselten in der Datenbank verglichen. Wenns passt wird er reingelassen.

Warum ist das ein Problem:
- Wenn jemand das Forum hackt oder den Server hat er alle user account + klartext passworte + email addressen.
- Kaum ein User verwendet für alle seine kompletten Accounts ein anderes Passwort.
- Das führt dann dazu das in anderen Foren Spam (das ist noch das kleinste Übel) verbreitet wir usw.

Warum mir das ein Anliegen ist:
Ich bin hauptberuflich in der technisch Informatik tätig.

Gruß Karl

PS: Die Opensource verwenden, da wäre das nicht passiert.

P.Müller

Beiträge: 131 / 0

Dell XPS 13 (Skylake)
Windows 10
Intel Core i7-6500U, 2.50 GMHz
16 GB DDR3-RAM
Autodesk AutoCAD 2019
Autodesk AutoCAD Civil 3D 2019
cseTools Kanalplanung
cseTools Leitungsplanung
BricsCAD V18.2.14

Hallo karlnew,

danke, dass du das Thema hier ansprichst.
Ich sehe das genau wie du, kritisch und doch so einfach lösbar.
Ich möchte mich ebenfalls dafür aussprechen, hier von Seiten der Betreiber etwas zu ändern!

Gruß
Peter

------------------
Kennen Sie die cseTools für Kanal- und Leitungsplanung unter AutoCAD & Co.? Mehr auf www.cseTools.de

KlaK

Beiträge: 2214 / 83

Geniale Menschen sind selten ordentlich, Ordentliche selten genial.
Zitat Albert Einstein

Hallo Karl,

Ich finde es immer wieder nett wenn der erste Beitrag im Forum eine Kritik ist. Es zwingt Dich jedoch niemand diesem Forum beizutreten wenn es Dir zu unsicher ist.

Zur Kritik selber: Woher weißt Du denn dass das Passwort in der Datenbank unverschlüsselt steht und nur für die Anzeige im Profil entschlüsselt wird?
Ich betreue selber ein anderes Forum und dort wird es genau so praktiziert! Gut, man muß noch einen Knopf drücken damit die Sternchen durch den wirklichen Text ersetzt werden aber egal.

Auch die Anmerkung "Kaum ein User verwendet für alle seine kompletten Accounts ein anderes Passwort." finde ich diskussionswürdig, wer wirklich so handelt hat in den letzten fünf Jahren bestimmt auch anderes verpasst. Aber da kann ich nicht Forumsbetreiber dafür verantwortlich machen.

Thema Spam: In einem technischem Forum? Derjenige fällt doch sofort auf! Ich glaube wir hatten hier bisher nur 2 Fälle wo die Moderatoren einschreiten mußten (in den 12 Jahren seit meiner ersten Anmeldung).
Und was meinst Du wie viele sich wirklich die Mühe machen herauszufinden in welchen anderen Foren der User angemeldet ist? Da ist es doch einfacher das dortige Forum zu hacken, wenn er es hier schon geschafft hat.

Aber viel Spaß weiterhin. Ich sehe da eine deutlich größere Gefahr bei Foren die auf Open Source basieren und von Leuten aufgebaut werden die von IT keine Ahnung haben. Da wird dann PHP 4 oder 5 verwendet weil die Software ja kostenlos ist ....  (die Hacker freuen sich)

Grüße
Klaus  

[Diese Nachricht wurde von KlaK am 03. Mrz. 2018 editiert.]