Passwort bei Svrider.de sicher ?

SVHellRider · #1

Aus aktuellem Anlass möchte ich mich mal erkundigen, wie sicher denn die Passworte hier auf SVrider.de gespeichert werden?
Haben Admins oder sonst jemand Zugriff darauf?

Dass Passworte prinzipiell gehackt werden können ist mir klar.
Hab meins auch mal geändert.

svbomber · #2

Die Passworte stehen md5 verschlüsselt in der Datenbank.
Nähere Informationen dazu hier

Dein "Problem" ist aber ein anderes.

SVHellRider hat geschrieben:Oh,
die beiden Spaßvögel stehen bei mir auf der Ignorierlist, obwohl ich mir sicher bin, dass ich da niemand draufgesetzt habe.

Es wird immer seltsamer.

Du wirst beide dieser Links geklickt haben

Ein Freund hat geschrieben:Deswegen hier nochmal der analoge Hinweis

Dudelsacks Erbe und F!1257312

Damit wandern sie in deine Ignorelist.

SVHellRider · #3

Ah ja, verstehe.

Tolle Scherze.

Was ist denn aus "Ein Freund" geworden?
Hat der sich wieder abgemeldet?

Oder war das einer von euch Admins/Mods?

SVHellRider · #4

Das Passwort wird bei der Anmeldung per E-Mail in Klarschrift zugesandt.
Ist das so sicher vor Zugriffen, auch intern?

svbomber · #5

SVHellRider hat geschrieben:Das Passwort wird bei der Anmeldung per E-Mail in Klarschrift zugesandt.
Ist das so sicher vor Zugriffen, auch intern?

Deine Passworteingabe wird einfach vor der Verschlüsselung im Klartext in eine EMail gepackt und dann versandt. Die Speicherung in der Datenbank erfolgt generell md5 verschlüsselt.

Was meinst du mit "auch intern?"
Wie im Artikel auf phpBB beschrieben ist die Entschlüsselung eines md5 verschlüsselten Passwortes nahezu ausgeschlossen.

Pinky · #6

die md5 verschlüsselung ist auch serverabhängig - das gleiche wort wird auf unterschiedlichen servern unterschiedlich verschlüsselt - daher ist es eigentlich unmöglich ein md5 zu entschlüsseln...

es ist eine einbahnstrasse... das heisst du kannst das gleiche "wort" immer wieder in den gleichen schlüssel umsetzen - aber andersrum gibt es x möglichkeiten aus einem md5 ein "wort" zu machen

technisch werden halt die schlüssel miteinander verglichen beim login zb. und nicht das wort selbst

SVHellRider · #7

svbomber hat geschrieben:...Was meinst du mit "auch intern?"...

Nicht dass hier was falsch verstanden wird, ich will ganz sicher niemand hier was unterstellen. Es besteht von meiner Seite auch überhaupt kein Anlass dazu.
Ich mach mir nur eben nur mal Gedanken. Das kann ja nix schaden, oder?

Ich will nur wissen, ob das Passwort von Administratoren oder Moderatoren oder sonstwem irgendwie abgegriffen werden kann. So einfach kann das ja nicht ausgeschlossen werden.
Ich fänd das auch nicht weiter bedenklich, wenn es so wäre, nur wüßt ich's gern und frag deshalb mal nach.

Screw · #8

SVHellRider hat geschrieben:Ich will nur wissen, ob das Passwort von Administratoren oder Moderatoren oder sonstwem irgendwie abgegriffen werden kann.

Nein, das ist rein technisch definitiv nicht möglich.

Passwörter haben auch eine gewisse Intimität, die man sicherlich nicht verletzen sollte. Auch nicht als Admin. Daher wird das Passwort auch entsprechend unumkehrbar verschlüsselt abgelegt.

SVHellRider · #9

Ja, schon klar.
Hab ich kapiert, dass das Passwort verschlüsselt abgelegt wird und dann nicht mehr zu entschlüsseln ist.
Aber es gelangt ja auch im Klartext in ein E-Mail. Da kann es ja bei entsprechenden technischen Verständnis auch woanders hingelangen, oder nicht?

buttz · #10

Klartext wirds nur beim Anmelden in die Mail gepackt, danach MD5 in DB. Amen + /closed

SVHellRider · #11

buttz hat geschrieben:Klartext wirds nur beim Anmelden in die Mail gepackt, danach MD5 in DB. Amen + /closed

Du machst dir's aber einfach.

buttz · #12

Wenn das Anmeldeformular vom Forum nicht umgestrickt wurde(das unterstelle ich unseren netten Admins mal*g*) kanns keiner abgreifen. Schätze ich

SVHellRider · #13

Aaaaaaaaaaaaha.

Screw · #14

SVHellRider hat geschrieben:Ja, schon klar.
Hab ich kapiert, dass das Passwort verschlüsselt abgelegt wird und dann nicht mehr zu entschlüsseln ist.
Aber es gelangt ja auch im Klartext in ein E-Mail. Da kann es ja bei entsprechenden technischen Verständnis auch woanders hingelangen, oder nicht?

Mit der nötigen kriminellen Energie ist nahezu alles machbar! Aber ich denke, so ein Versuch würde irgendwie dem gemeinnützigen Verein SVrider.de e.V. richtig schaden und mich als Vorsitzenden in arge Bedrängnis mit den Strafverfolgungsbehörden bringen. Daher ist es absolut sicher, dass ich so ein Verhalten niemals dulden würde. Wer soetwas machen würde, würde sofort eine Anzeige vom Verein kassieren.

Ich glaube, so sicher wie die Passwörter in diesem Forum, sind sie sehr selten in der Internetwelt.

Genau das Gleiche gilt für den Mißbrauch von Zugangsdaten. Wenn wir das nicht sicherstellen könnten... na dann, gn8.

Irgendwie habe ich das Gefühl, man traut uns nicht. Kann das sein? Gibt es einen Grund, der den Schluss zuließe, wir würden die Daten unserer Forumsteilnehmer nicht sorgsam behandeln?

Ich fühle mich als ehemaliger Datenschutzbeauftragter einer größeren Firma da schon ein wenig persönlich angegriffen, wenn ich soetwas lese.

#15

Also wie oben schon gesagt, können wir die Passwörter nicht auslesen. Die Passwörter sind verschlüsselt gespeichert.

Wir haben da auch nichts geändert. Um Passworthacking vorzubeugen hat svbomber auch den visual comfirmation Mod eingebaut. Nach dem man einmal das Passwort falsch eingegeben hat, muss man immer wieder die Zeichen eingeben, was für einen Hacker sicherlich sehr ermüdend sein wird.

Außerdem warum sollten wir fremde Passwörter haben wollen. Was sollen wir damit anstellen?