Verboten?: Passwörter unverschlüsselt speichern?
-
Ist es verboten in einer mySQL-Datenbank Passwörter die über eine Website eingegeben wurden unverschlüsselt zu speichern? Oder müssen die laut Gesetz so verschlüsselt werden, dass ich sie mir nicht ansehen kann?
MfG SideWinder
-
hm, ka ob es verboten ist, aber es wäre dumm.
Wenn jemand die DB hackt, oder anders zugriff bekommt,
hat er sofort alle PWs. Wenn du aber hashwerte speicherst (z.b. MD5),
nutzt ihm das nix.Devil
-
Verboten soviel ich weiss nicht. Dumm aber trotzdem. Zumal MySQL ja die SQL-Funktion PASSWORD() zur Verfügung stellt...
-junix
-
Wenn es dir um die Sicherheit der vergebenen Passwörter geht, dann
überprüf das am besten bei der Vergabe der Passwörter. Dürfte der klügere Ansatz sein.Devil
-
Der große Nachteil der Verschlüsselung ist, dass ich kein Zugriff mehr auf die richtigen Passwörter habe (logisch). Nicht, dass ich mir die ansehen wollte, aber es gibt immer wieder Leute, die ihre Passwörter vergessen (ich gehöre auch dazu) und dann wäre es blöd, wenn man sich jedesmal ein neues Passwort zuschicken lassen muss und nicht das alte.
Wenn jemand die MySQL Datenbank hackt, ist es völlig egal, ob er die Passwörter hat oder nicht, denn er kommt sowieso überall ran! Wenn natürlich ein Benutzer für alle seine Websachen nur ein Passwort hat, ist er selbst schuld...
-
Loggy schrieb:
Der große Nachteil der Verschlüsselung ist, dass ich kein Zugriff mehr auf die richtigen Passwörter habe (logisch). Nicht, dass ich mir die ansehen wollte, aber es gibt immer wieder Leute, die ihre Passwörter vergessen (ich gehöre auch dazu) und dann wäre es blöd, wenn man sich jedesmal ein neues Passwort zuschicken lassen muss und nicht das alte.
Wenn jemand die MySQL Datenbank hackt, ist es völlig egal, ob er die Passwörter hat oder nicht, denn er kommt sowieso überall ran! Wenn natürlich ein Benutzer für alle seine Websachen nur ein Passwort hat, ist er selbst schuld...
Genau um diesen Punkt gehts mir: Sagen wir mal "DAU-User" - ich kann dann im Prinzip ja überall hinein wo der dieses PW angegeben hat - da er seine E-Mail-Adresse auch angegeben hat, bin ich dort schon fast fix drinnen -> natürlich habe ich das nicht vor, aber kann ja sein, dass da der "Konsument" geschützt wird durch Gesetze.
MfG SideWinder
-
Loggy schrieb:
Der große Nachteil der Verschlüsselung ist, dass ich kein Zugriff mehr auf die richtigen Passwörter habe (logisch). Nicht, dass ich mir die ansehen wollte, aber es gibt immer wieder Leute, die ihre Passwörter vergessen (ich gehöre auch dazu) und dann wäre es blöd, wenn man sich jedesmal ein neues Passwort zuschicken lassen muss und nicht das alte.
Warum? Wenn mans vergessen hat, kann das alte Passwort ja keinen großartigen Erinnerungswert haben, man kann sich also genausogut ein neues einfallen lassen. Also sollte man diesen Leuten ein zufällig generiertes Passwort wie nrzqlfx, verbunden mit der Empfehlung, sich ein neues auszudenken, zuschicken.
-
Bashar schrieb:
Warum? Wenn mans vergessen hat, kann das alte Passwort ja keinen großartigen Erinnerungswert haben, man kann sich also genausogut ein neues einfallen lassen. Also sollte man diesen Leuten ein zufällig generiertes Passwort wie nrzqlfx, verbunden mit der Empfehlung, sich ein neues auszudenken, zuschicken.
Eben, in einigen Foren in denen ich regestriert bin ist es sogar so, das das
der User selbst kann. Man muss nicknamen und mailadresse angeben, und bekommt
dann eine Mail, mit einem Link, mit dem man das Passwort zurücksetzen kann,
dann gibts ne 2. Mail mit neuem Passwort...Devil
-
Bashar: Es ist ein gewisser Mehraufwand. Du bekommst nicht nur einfach ein neues Passwort zugesendet, sondern musst dieses danach auch noch ändern (denn diese Kryptischen Zeichen kann sich doch keiner merken). Hinzu kommt noch, dass du da Schutzmechanismen drin haben musst, sodass nicht jeder Trottel dir ein neues Passwort zuschicken lassen kann (wenn du immer wieder das alte zugeschickt bekommst, stört das ja nicht).
Zum anderen kann ich mich dann als Admin nicht mehr als jeder Benutzer einloggen und so braucht man viel aufwändigere Admin Tools. Das war sogar beim letzten UBB so, dass man da einige Änderungen nicht über das Admin Tool machen konnte, sondern sich als Benutzer einloggen musste.
-
devil81 schrieb:
Wenn du aber hashwerte speicherst (z.b. MD5) nutzt ihm das nix.
MD5 ist definitiv nicht mehr sicher!
-
Loggy schrieb:
Zum anderen kann ich mich dann als Admin nicht mehr als jeder Benutzer einloggen und so braucht man viel aufwändigere Admin Tools. Das war sogar beim letzten UBB so, dass man da einige Änderungen nicht über das Admin Tool machen konnte, sondern sich als Benutzer einloggen musste.
Ein Forum wo der Admin das machen kann/sogar muss finde ich sehr suspekt. Ganz zu schweigen von einem Forum wo der Admin sich alle pwds angucken kann.
shoat schrieb:
devil81 schrieb:
Wenn du aber hashwerte speicherst (z.b. MD5) nutzt ihm das nix.
MD5 ist definitiv nicht mehr sicher!
Quelle? Von MD4 kenn ichs, aber MD5? Ansonsten sicher genug. Bruteforcen kann mans so oder so immer.
-
Ein Forum wo der Admin das machen kann/sogar muss finde ich sehr suspekt.
Wie gesagt, die teuer UBB Forum Version 6.
Ganz zu schweigen von einem Forum wo der Admin sich alle pwds angucken kann.
Das kriegst du ja überhaupt nicht mit!
-
Loggy schrieb:
Ein Forum wo der Admin das machen kann/sogar muss finde ich sehr suspekt.
Wie gesagt, die teuer UBB Forum Version 6.
Ganz zu schweigen von einem Forum wo der Admin sich alle pwds angucken kann.
Das kriegst du ja überhaupt nicht mit!
Tja, nun weiß ichs Und wenn der Admin sich mit meinem Passwort wo einlogtg kann man sowas durchaus an Dingen wie "Letzter Login" sehen. Sowas gehört imho einfach heutzutage nicht mehr, dass der Admin sich einfach munter die Passwörter seiner User angucken kann, das ist einfach schlecht designed. Genug alternativen wurden hier ja genannt.