Registrierung und Passwortsicherheit

Hallo,

ich finds immer super, wenn man sich wo anmeldet und dann das Passwort als Klartext zugeschickt bekommt...
Sicher ist sowas nicht. Weckt auch Zweifel an der Sicherheit der im Forum gespeicherten Passwörter.

Gruß,
urbanhusky

P.S.: Security ist ein "pet peeve" von mir, hab mich nicht angemeldet um mich deswegen zu beschweren sondern um ein Teil der Community zu sein :)

urbanhusky schrieb:Hallo,

ich finds immer super, wenn man sich wo anmeldet und dann das Passwort als Klartext zugeschickt bekommt...
Sicher ist sowas nicht. Weckt auch Zweifel an der Sicherheit der im Forum gespeicherten Passwörter.

Gruß,
urbanhusky

P.S.: Security ist ein "pet peeve" von mir, hab mich nicht angemeldet um mich deswegen zu beschweren sondern um ein Teil der Community zu sein :)

Wäre es dann nicht schlauer gewesen mir das per Pm zu schicken?  

Ich sags mal so...............wir sind ja nu keine Onlinebank.
Da würde mich das schon ein wenig aus der Ruhe bringen.
Ich denke aber, dass das hier nicht wirklich zum Tragen kommt zumal eine Email ja auch nicht im offenen Text verschickt wird.
Ich sags mal ganz banal............
Wenn ein echter Hacker an Deine Daten will, dann schafft er das auch.
Das sagen sogar die Experten von Symantec im Interview.
Es gibt keinen 100%igen Schutz.

Ansonsten wünsche ich viel Spaß im Forum und danke für den Hinweis!  

Sarge schrieb:...
Ich denke aber, dass das hier nicht wirklich zum Tragen kommt zumal eine Email ja auch nicht im offenen Text verschickt wird.
 

Doch. Das ist bei EMail genau der Fall. Diese wird zumeist unverschlüsselt hin und her geschickt. Also quasi als offener Text.

failgod schrieb:

Sarge schrieb:...
Ich denke aber, dass das hier nicht wirklich zum Tragen kommt zumal eine Email ja auch nicht im offenen Text verschickt wird.

Doch. Das ist bei EMail genau der Fall. Diese wird zumeist unverschlüsselt hin und her geschickt. Also quasi als offener Text.

Unverschlüsselt ist ja kein tatsächlich für jeden lesbarer Text!
Also ich weiss nicht, wie ich fremde Emails lesen kann!

Soweit ich weiss handelt es sich doch um das erste Passwort, über das wir hier reden, oder?!
Das ändert man doch sowieso nach der ersten Anmeldung oder macht ihr das nicht?

Ich hab ehrlich gesagt keine Ahnung mehr wie genau der Registrierungsprozess hier abläuft, da das bei mir schon eine Weile her ist.
Ich wollte nur darauf hinweisen, dass E-Mails generell im Klartext verschickt werden.

failgod schrieb:Ich hab ehrlich gesagt keine Ahnung mehr wie genau der Registrierungsprozess hier abläuft, da das bei mir schon eine Weile her ist.
Ich wollte nur darauf hinweisen, dass E-Mails generell im Klartext verschickt werden.

Na dann schick mir mal ne PN und erklär mir, wie Du meine Emails mit wenig Aufwand liest! Ich bin gespannt! .......das ist nämlich mit Sicherheit nicht mal eben so gemacht.

jetzt bin ich, als iT'ler, aber mal gespannt: Wie machen das denn andere Forenbetreiber? (oder ähnliches auf dem Sicherheitslevel von Communities wie Mos Eisley)

Andere Communitys versenden das Passwort nicht per Mail sondern versenden nach dem Einrichten des Accounts lediglich eine E-Mail mit einem enthaltenen Validierungslink, der den Account bestätigt.

Alternativ wird beim ersten Login ein Passwortwechsel erzwungen, aber das habe ich schon lange nicht mehr gesehen.

Dritte Alternative wäre ein OAuth Anbindung an Google+, Twitter, Facebook, LinkedIn usw usf um gar keine eigenen Accounts mehr zu handhaben.

failgod schrieb:Andere Communitys versenden das Passwort nicht per Mail sondern versenden nach dem Einrichten des Accounts lediglich eine E-Mail mit einem enthaltenen Validierungslink, der den Account bestätigt.

Ok, das wäre eine realistische Alternative.

failgod schrieb:Alternativ wird beim ersten Login ein Passwortwechsel erzwungen, aber das habe ich schon lange nicht mehr gesehen.

Dito. Bzw, bei den Verfahren hat man gar kein eigenes PW bei der Registrierung angegeben, sondern ein zufälliges zugeschickt bekommen.

failgod schrieb:Dritte Alternative wäre ein OAuth Anbindung an Google+, Twitter, Facebook, LinkedIn usw usf um gar keine eigenen Accounts mehr zu handhaben.

Aber ist das nicht wieder Datenkranken Alarm?  

Sicher ist da Datenkrakenalarm. Andererseits ist man natürlich gut integriert in so ein System. Neue Leute müssen sich nicht registrieren und können einfach mitmachen. Hat alles seine Vor- und Nachteile.
Ich persönlich mag Systeme die diese Option anbieten.

Sarge schrieb:
Soweit ich weiss handelt es sich doch um das erste Passwort, über das wir hier reden, oder?!
Das ändert man doch sowieso nach der ersten Anmeldung oder macht ihr das nicht?

Das Forensystem zwingt niemanden dazu, das Passwort zu ändern. Außerdem muss ich ja selbst ein Passwort wählen, das dann im Klartext über die Leitung geht.
Zum Glück habe ich aus Prinzip kein Vertrauen in Foren und nehme daher auch nur irgendwelche einmaligen Wegwerfpasswörter - eben genau aus dem Grund. Nur sehe ich jetzt keinen Grund, mir ein besonders gutes Passwort hier zu überlegen da ich keinerlei Vertrauen darin habe, dass das nicht auch im Klartext in der DB landet (SELECT username, password FROM Users ...)

;COMMIT;DROP TABLE USERS; COMMIT;

.. na halbwegs sicher gegen injections scheinen wir ja zu sein :P hat mal jemand versucht sich mit dem DROP TABLE.. als Username anzumelden?

Flytrap schrieb:
.. na halbwegs sicher gegen injections scheinen wir ja zu sein :P hat mal jemand versucht sich mit dem DROP TABLE.. als Username anzumelden?

Little Bobby Tables hab ich noch nicht gesehen bisher.
Wenn das Forum gar so anfällig wäre, hätte das schon längst irgend ein Bot ausgenützt. Wenn mir was auffallen sollte, melde ich mich natürlich :)

Also erstmal zur grundsätzlichen Beruhigung:
Wen das Klartext Passwort zusammen mit dem Benutzernamen in der Willkommens-email stört, der kann sein Passwort im Profil verändern.
Das neue Passwort wird dann nicht mehr in einer email versandt.
Kann also dementsprechend auch nicht im "Klartext" abgefischt werden.
Und ehrlich gesagt kenne ich wirklich niemanden, der mit seinem ersten zugeschickten Passwort weitermacht.
Niemanden!

Sarge schrieb:Also erstmal zur grundsätzlichen Beruhigung:
Wen das Klartext Passwort zusammen mit dem Benutzernamen in der Willkommens-email stört, der kann sein Passwort im Profil verändern.
Das neue Passwort wird dann nicht mehr in einer email versandt.
Kann also dementsprechend auch nicht im "Klartext" abgefischt werden.

Wenn es dennoch frei zugänglich in der DB als Klartext steht macht es das nicht besser :)

Sarge schrieb:
Und ehrlich gesagt kenne ich wirklich niemanden, der mit seinem ersten zugeschickten Passwort weitermacht.
Niemanden!

Du gehst davon aus, dass man beim Registrieren ein Passwort zugeteilt bekommt und es beim ersten Login ändern muss. Ist beides nicht der Fall. Man muss selbst ein Passwort wählen und das ist doch üblicherweise auch das Passwort, was man 5 Minuten später noch verwenden wird.

Ich als Forenadmin kann eure Passwörter z.B. nicht lesen, weil sie nicht im Klartext in der Datenbank stehen! Wie soll das dann irgendjemand anders können??
Noch Fragen?

Aufgabe für Dich bis morgen:
Finde mein Passwort heraus und schreib es mir morgen per PM!
Das dürfte für einen Crack wie Dich vermutlich ne Lachnummer werden.

Also da ich bis jetzt keine PM bekommen habe gehe ich mal davon aus, dass das wohl doch nicht so einfach ist.  
Jedenfalls nicht mit normalen Mitteln vom Otto Normalverbraucher.
Die Einstellungen kann ich nicht verändern.
Forumieren.com bietet diesen erweiterten Schutz nicht an.
Auf Nachfrage bei Forumieren.com bekam ich die Antwort, dass das auch nicht nötig sei.
Von mir persönlich auch nochmal der Denkanstoß:
Wir sind nicht die Firma mit den drei Buchstaben sondern ein Tabletop Hobby Community!
Ich denke nicht, dass hier User Angst um ihre persönlichen Daten haben müssen.
Und Abfischprogramme können noch nicht mal auf eure E-Mailadressen zugreifen, weil die genau wie euer Passwort nicht kopierbar sind.

Kleiner Tip für die ganz Ängstlichen:
Generiert zunächst bei der Anmeldung ein allgemeines Passort und ändert das später in euren Einstellungen in das Endgültige Passwort.

Damit schließe ich den Thread hier und wünsche allen weiterhin viel Spaß im Raumhafen.