Passwörter

Antworten
#1
06.10.2015 11:08 (zuletzt bearbeitet: 06.10.2015 11:11)
avatar  winnemely
#1 Passwörter
avatar
winnemely
Mitglied

Ich habe von einem Mitglied eine PN bekommen mit folgendem Inhalt:

.....Es ist gefährlich, das Passwort zu verschicken.
Es sollte nur die Möglichkeit geboten werden, ein neues zu generieren.
Aber NIEMALS das existierende Passwort verschicken!
Auch nicht bei der Erstanmeldung! Einfach NIEMALS!

Ein verschicktes Passwort deutet darauf hin, dass dieses im System geknackt werden kann; sprich wieder aus den abgespeicherten Daten rückwärts generiert werden kann. Das ist Unsicherheit per Excellenz.
Es gibt in der heuten IT NUR noch die einzig akzeptable Möglichkeit, ein entreffendes Passwort bei jeder Anmeldung NUR vorwärts zu verschlüsseln - und diesen Wert dann mit dem abgelegten zu vergleichen.

Niemals! die Möglichkeit bieten, aus einem verschlüsselt abgelegten Passwort das in Klartext wieder zu generieren.

Wenn die Forum- Software das nicht hergibt, dann wechsle den Hoster, die Forum-Software.....

-------------------------------

Meine Antwort an das Mitglied:
....Es muss ja ein Passwort generiert werden vom System! Wer soll denn das sonst machen? Um das Passport von einem Mitglied zu knacken, müsste derjenige der knacken will, die E-Mailadresse des jeweiligen Mitglieds kennen. Und E-Mailadressen liegen sicher unter Verschluss und werden auch nicht weitergegeben! Diese Vorgehensweise ist in vielen Foren so und auch bei vielen Diensten. Ich danke dir für deine Ausführungen, sehe aber keinen Grund, deswegen den Hoster zu wechseln.

------------------------------

Deswegen mein Hinweis am Ende, das bei einem neu generierten Passwort, das Mitglied dieses "Neue" Passwort unverzüglich wieder nach seinen Vorstellungen zu ändern. Das ist das wichtigste überhaupt! Der Nutzer ist in der Pflicht.

Natürlich habe ich gesehen, das die Seiten von meinem Forum eine "Ungeschützte Verbindung" sind und alle von Xobor vorhandenen Seiten. Auch diese Seiten hier. Ich habe in meinem Forum den Vorgang der Registrierung erläutert und auch die Vorgehensweise, wie man vorgeht, wenn man sein Passwort vergisst.

Registrieren in Winnemelys-Seniorentreff

Sollte ich bei dieser Beschreibung einen Denkfehler haben, so bitte ich, mich diesbezüglich zu berichtigen. Ich Persönlich finde, das es auf vielen Webseiten so gehandhabt wird, wenn ein neues Passwort angefordert wird. Was ich allerdings nicht ganz verstehe, das Webseiten von Xobor immer noch eine "Ungeschütze Verbindung haben".

Für eine Rückmeldung bedanke ich mich schon mal.


 Antworten

 Beitrag melden
#2
06.10.2015 11:17
avatar  Rabendolch
#2 RE: Passwörter
avatar
Rabendolch
Maid

Hi Du :)

Nutz mal die Suche hier im Forum zu dem Thema, da gibt es ein, zwei Threads dazu, der letzte ist glaube gar nicht so alt. Da hatte auch Johannes was dazu gesagt, wenn ich mich recht erinnere. Um es einzugrenzen: Das sollte im Vorschlagsbereich sein (wo eigentlich auch dieser Thread hingehören würde, wenn Problem, Wunsch und Vorschlag irgendwie besser und übersichtlicher formuliert wären, es ist sehr schwer, rauszubekommen, worum es Dir genau geht, die Verbindung, die Foren, der PW-Versand...).

Aber wie gesagt, nutz erstmal die Suche, dazu gibt es schon ein Firmenstatement.

www.rabendolch.com

...ich nutze den Chat hier nicht, bitte berücksichtigen...

 Antworten

 Beitrag melden
#3
06.10.2015 11:29
avatar  Mike48
#3 RE: Passwörter
avatar
Mike48
Mitglied

Hi @winnemely

Admin → Einstellungen → Benachrichtigungen

Entferne die Var {{passwort}} aus den Benachrichtigungen wo sie nicht sein sollen.
Bei Passwort vergessen muss sie allerdings drin bleiben!

Hier kannst du sie aber löschen:
Anmeldung abgeschlossen - Zugangsdaten
Anmeldung abgeschlossen über oAuth(Facebook usw.) - Zugangsdaten

www.friends-of-xobor.de (621181 - V4 Template)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
#4
06.10.2015 11:38 (zuletzt bearbeitet: 06.10.2015 11:39)
avatar  winnemely
#4 RE: Passwörter
avatar
winnemely
Mitglied

@Rabendolch, .....es ist sehr schwer, rauszubekommen, worum es Dir genau geht, die Verbindung, die Foren, der PW-Versand...).

Habe ich mich wirklich so kompliziert und unverständlich ausgedrückt? Passwörter, ja jetzt schon mal beantwortet. Bliebe noch:

Was ich allerdings nicht ganz verstehe, das Webseiten von Xobor immer noch eine "Ungeschütze Verbindung haben".
Eine ganz einfache und klar definierte Frage....


 Antworten

 Beitrag melden
#5
06.10.2015 11:48 (zuletzt bearbeitet: 06.10.2015 11:49)
avatar  Ingmar
#5 RE: Passwörter
avatar
Ingmar
Technik

Zitat von winnemely im Beitrag #1
Ein verschicktes Passwort deutet darauf hin, dass dieses im System geknackt werden kann;


Diese Aussage ist in mehrfacher Hinsicht schlicht falsch...

Zunächst einmal wird hier von der falschen Annahme ausgegangen, dass das Passwort im Klartext in der Datenbank gespeichert ist und jederzeit von dort gelesen und versendet werden kann. Das ist selbstverständlich nicht der Fall - wir speichern (wie alle anderen auch) lediglich einen MD-5 Hash, der aus dem Passwort und einem so genannten Salt-Wert erzeugt wird und der beim nächsten Login zur Authentifizierung genutzt werden kann. Lediglich bei der ursprünglichen Ameldung wird das von Mitglied eingegebene Passwort direkt in die Email geschrieben und versendet.

Dazu hat die Art der Speicherung absolut keine Auswirkungen auf die Sicherheit der Serverachitektur ob ein Server "geknackt" werden kann hat also nichts damit zu tun, welche Daten wie in der Datenbank gespeichert werden.

Viele Grüße,
Ingmar
 Technik · Homepagemodules.de · Miranus GmbH

 Antworten

 Beitrag melden
Antworten
Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!