Passwort bei Svrider.de sicher ?

[buttz]

Außerdem warum sollten wir fremde Passwörter haben wollen. Was sollen wir damit anstellen?

Eben, die ganzen PNs liegen ja unverschlüsselt in der DB, da brauchts keine Passwort für

[svbomber]

Um Passworthacking vorzubeugen hat svbomber auch den visual comfirmation Mod eingebaut.

Kleine Korrektur Die visuelle Bestätigung (visual confirmation) beim Registrieren im Forum gehört zum Standardumfang der phpBB Software (dieser Forensoftware, mit welcher SVrider betrieben wird).
Ergänzt wurde das Forum durch den CrackerTracker, welcher das Board um einige Sicherheitsfeatures erweitert und es damit noch sicherer gegen Hackerattacken macht.

[Screw]

Außerdem warum sollten wir fremde Passwörter haben wollen. Was sollen wir damit anstellen?

Eben, die ganzen PNs liegen ja unverschlüsselt in der DB, da brauchts keine Passwort für

Wer dieses vorsätzlich ausliest oder sich zugänglich macht, macht sich strafbar. Ich glaube, das sollte jetzt reichen. Das macht keiner von uns und ich stehe vor dem Gesetz dafür gerade.

[SVHellRider]

...Irgendwie habe ich das Gefühl, man traut uns nicht. Kann das sein? Gibt es einen Grund, der den Schluss zuließe, wir würden die Daten unserer Forumsteilnehmer nicht sorgsam behandeln? ...

Von meiner Seite gibt's, wie schon erwähnt (s.u.) keinerlei Misstrauen. Das war mein Ernst.
Aber ich hab mir halt mal drüber Gedanken gemacht.
Wird doch hoffentlich noch erlaubt sein.

Nicht dass hier was falsch verstanden wird, ich will ganz sicher niemand hier was unterstellen. Es besteht von meiner Seite auch überhaupt kein Anlass dazu.

[Screw]

Alles klar, dann bin ich beruhigt und das Thema ist für mich jetzt damit abgeschlossen.

[Philipp]

Vielleicht noch ein paar Zeilen von mir dazu:
Das Passwort wird bei der Registrierung in eine E-Mail gepackt, an dich versandt und dann als MD5-Hash in der Datenbank gespeichert.

Das Verfahren ist relativ sicher - allerdings gibt es keine 100-prozentige Sicherheit. Ohne böswillige Modifikation kann der Admin dein Passwort nicht im Klartext erhalten. Allerdings lässt es sich ggf. auf der Strecke zwischen dir und svrider.de abfangen (das gilt auch für die oben genannte E-Mail) - schließlich verwenden wir hier keine SSL-Verbindung. Auch ein Abgriff bei dir (z.B. durch einen Trojaner) oder auf svrider.de (bösartiger Hackangriff) ist prinzipiell nicht auszuschließen. Nachdem hier aber (hoffentlich ) immer brav alle Updates installiert werden, sollte von Seiten des Betreibers alles getan sein, um ein solches Verfahren zu unterbinden.

Sollte nun ein böswilliger User Zugriff auf die DB erhalten, so hat er nur den MD5-Hash deines Passworts. Den kann er nun durch einen Wörterbuch- oder einen Brute-Force-Angriff versuchen zu knacken. Je besser dein Passwort, desto schwieriger wird es für ihn.

Was heißt das für dich: ein Passwort-Diebstahl lässt sich hier sicherlich nicht hundertprozent vermeiden, aber die vertretbaren Maßnahmen zum Schutz deines PWs sind auf jeden Fall ergriffen worden. Dennoch: beim Online-Banking solltest du vielleicht nicht das gleiche Passwort verwenden...

Gruß, Philipp

[Screw]

[...] schließlich verwenden wir hier keine SSL-Verbindung. [...] beim Online-Banking solltest du vielleicht nicht das gleiche Passwort verwenden...

Genau! Über jeden Server, der vom Heim-PC bis zum SVrider.de-Server als Weg genutzt wird (route), kann das Passwort im Klartext abgefangen werden.

[Wörsty]

Übrigens ist das auch der Grund warum man sich sein Passwort meistens nicht mitteilen lassen kann sondern immer nur neue Passwörter bekommt.

Trojaner und Viren sind da jedenfalls ganz vorn dabei, was Paßwörter betrifft.
Wenn man Paranoia hat, sollte man z.B. im Internet Explorer nicht auf die Funktion "Paßwort merken" setzen.

[Pinky]

Wenn man Paranoia hat, sollte man z.B. im Internet Explorer nicht auf die Funktion "Paßwort merken" setzen.

oder "formulare automatisch ausfüllen" ich kenn da nen trick... - lassen wir das