1&1 und Klartextpasswörter
Ich habe einen Fehler gemacht: Ich habe eine Domain über 1&1 bezogen und bin nicht gleich panisch davongerannt als ich gesehen habe wie dieser Anbieter vorgeht.
Jedenfalls habe ich gerade festgestellt dass ich bei meiner Domain noch ein uraltes Passwort eingestellt habe, das irgendwann eher Allgemeingut statt geheim wurde. Also wollte ich es ändern, wo mich dann ein etwas schockierender Anblick erwartete:
[caption id="attachment_974" align="alignnone" width="300" caption="Passwort ändern"][/caption]
Mein Passwort stand im Klartext auf der Seite! 1&1 ist wirklich derartig unfähig dass sie Klartext-Passwörter in ihrer Datenbank speichern statt Hashwerten oder ähnlichem. Einfach untragbar...
Importierte/Alte Kommentare:
#793: 19.Oct.2008 03:10 von sirsnookie
Obs in der Datenbank von 1und1 verschlüsselt ist kann man nicht sagen, was man sagen kann ist das die keine Einwegverschlüsselung wie md5 oder ähnliches benutzen. Aber ist schon traurig das die bene dieses System nicht benutzen.
#794: 19.Oct.2008 03:10 von reaper
[ironie]Ach komm, bei millionen von Kunden kann man nicht noch die Passworte verschlüsseln. Ich will mir ja gar nicht vorstellen wieviel Ökostrom das im sauberen 1&1 Rechenzentrum verschwenden würde die Passwörter zu verschlüsseln. Und die armen Hacker erst, da müssten die ja dann erstmal die ganzen md5 summen für die Wörterbuchattacken erzeugent, das geht aber entschieden zu weit, denk doch mal an den Klimawandel.[/ironie]
#795: 19.Oct.2008 03:10 von Dr. Azrael Tod
umkehrbare verschlüsselungen sind natürlich auch möglich...
aber es gibt einen grund warum md5() allgemein das akzeptierteste verfahren für derartige anwendungen ist.
Sonst steht man gleich wieder vor dem Problem wo man das Passwort für die umkehrung der verschlüsselung speichert, dafür gibts meist außer auf dem server selbst und in der DB keine große auswahl.
...was beides fast so schlimm wie überhaupt nicht verschlüsselt ist.
#796: 19.Oct.2008 03:10 von sirsnookie
oder halt Funktionen die das einfach nur berechnen - in die eine und die andere Richtung. Ohne zusatzpasswort ;)
#797: 19.Oct.2008 03:10 von Dr. Azrael Tod
ja.. genau.. weil ich einer firma die zu blöd ist md5() zu verwenden zutrau dass sie einen richtig guten verschlüsselungsalgorithmus selber schreibt...
Ganz zu schweigen davon dass dann auch noch immer jeder der den Server auslesen kann den algo auslesen kann.
#798: 19.Oct.2008 03:10 von sirsnookie
Achwas die sind ein TÜV geprüftes Hochsicherheitsrechenzentrum ... schade nur das der TÜV afaik nur die Sicherheit vor Ort prüft ... ;)
Natürlich trau ich 1und1 das nicht zu - aber dem Praktikanten der die programmiert hat duck
#799: 19.Oct.2008 11:10 von Friedenspanzer
Ach, lasst doch die armen Jungs von 1&1 in Ruhe, die haben bestimmt einen saustarken Verschlüsselungsalgorithmus benutzt. Rot13 oder vielleicht sogar Rot15, wer weiß?
Nein, ist echt eine Sauerei. Wenn du dir das Passwort zuschicken lässt kommt es als komplett unverschlüsselte Mail an, oder?
#800: 19.Oct.2008 11:10 von Dr. Azrael Tod
keine Ahnung... ich habs nicht versucht und werde es auch lassen.
1&1 werde ich jedenfalls keines meiner wichtigen passwörter anvertrauen, auch wenn die funktion eigentlich wichtig ist. Dort kommt jetzt ein zufälliger string rein, den ich gut verschlüsselt auf nem alten usb-stick@home verwahre.