IT-Sec Vorkurs

    • innoko
      innoko
      Black
      Dabei seit: 14.01.2005 Beiträge: 1.527
      Ich ändere meine Passwörter von Zeit zu Zeit. Nun war auch mal das Passwort bei Ps.de dran.

      Also habe ich mich eingeloggt und unter meinem Profil mein Passwort geändert. Komischerweise bekomme kurz später eine E-Mail in der steht, dass mein Passwort geändert wurde. Neben dieser höchst wichtigen Information steht mein Passwort als Plain Text drin. Egal ob crypted oder nicht, es muss EINWEG sein!!!!

      Jeder weiss, dass die Verantwortlichen von PS.de Ihre IT-Abteilung für HOCHQUALIFIZIERT hält. Aber aufgrund von ßberbelastung aber hin und wieder Fehler passieren.

      Ich frage mich nun, ob man aufgrund von ßberbelastung grundlegende Funktionen wie crypt() vergessen kann....

      Eine unverschlüsselte PW-Speicherung in der Datenbank steht der Seriosität von PS.de im Wege.

      Ich finde man sollte die PWs verschlüsselt speichern und dann bei "Vergessen" ein neues generieren, so wie es üblich ist.

      Desweiteren empfehle ich jedem User hier ein Passwort bei PS.de zu nutzen, dass er NUR HIER bentuzt, da es als öffentlich bekannt angesehen werden muss.


      P.S.: Ich will nicht mutmaßen wie es um andere sicherheitsrelevante Informationen und deren Verwaltung steht....
  • 14 Antworten
    • Uli
      Uli
      Bronze
      Dabei seit: 27.01.2006 Beiträge: 1.426
      Original von innoko
      Ich ändere meine Passwörter von Zeit zu Zeit. Nun war auch mal das Passwort bei Ps.de dran.

      Also habe ich mich eingeloggt und unter meinem Profil mein Passwort geändert. Komischerweise bekomme kurz später eine E-Mail in der steht, dass mein Passwort geändert wurde. Neben dieser höchst wichtigen Information steht mein Passwort als Plain Text drin. Egal ob crypted oder nicht, es muss EINWEG sein!!!!

      Jeder weiss, dass die Verantwortlichen von PS.de Ihre IT-Abteilung für HOCHQUALIFIZIERT hält. Aber aufgrund von ßberbelastung aber hin und wieder Fehler passieren.

      Ich frage mich nun, ob man aufgrund von ßberbelastung grundlegende Funktionen wie crypt() vergessen kann....

      Eine unverschlüsselte PW-Speicherung in der Datenbank steht der Seriosität von PS.de im Wege.

      Ich finde man sollte die PWs verschlüsselt speichern und dann bei "Vergessen" ein neues generieren, so wie es üblich ist.

      Desweiteren empfehle ich jedem User hier ein Passwort bei PS.de zu nutzen, dass er NUR HIER bentuzt, da es als öffentlich bekannt angesehen werden muss.


      P.S.: Ich will nicht mutmaßen wie es um andere sicherheitsrelevante Informationen und deren Verwaltung steht....

      Hi, auch wenn ich ja sonst ne grosse Meinung von dir habe, aber dein Rückschluss ist einfach falsch.
    • innoko
      innoko
      Black
      Dabei seit: 14.01.2005 Beiträge: 1.527
      kannst du mir ein paar Fragen beantworten

      - Wird das PW verschlüsselt?
      - Wenn ja , wird es durch eine EINWEG-Verschlüsselung verschl?, alles andere macht kein Sinn
      - Wird das PW an meine EMAIL geschickt, bevor es verschl. wird? Wenn ja warum?
      - Warum wird überhaupt eine Mail mit meinem PW an mich geschickt? Langt nicht einfach die Meldung, dass ich mein PW geändert habe, so wie es zB Amazon, Ebay mahct?

      NUN die große Frage: Willst du verneinen, dass mein PW unverschlüsselt durch das INET an meine Emailaddy geschickt wird und IHR ES NICHT LESEN KßNNTET?



      danke ULI!
    • PeFro
      PeFro
      Bronze
      Dabei seit: 22.05.2005 Beiträge: 527
      http://de3.php.net/manual/en/function.md5.php
      doch eigentlich etabliert hat.
    • Uli
      Uli
      Bronze
      Dabei seit: 27.01.2006 Beiträge: 1.426
      Original von innoko
      kannst du mir ein paar Fragen beantworten

      - Wird das PW verschlüsselt?
      - Wenn ja , wird es durch eine EINWEG-Verschlüsselung verschl?, alles andere macht kein Sinn
      - Wird das PW an meine EMAIL geschickt, bevor es verschl. wird? Wenn ja warum?
      - Warum wird überhaupt eine Mail mit meinem PW an mich geschickt? Langt nicht einfach die Meldung, dass ich mein PW geändert habe, so wie es zB Amazon, Ebay mahct?

      NUN die große Frage: Willst du verneinen, dass mein PW unverschlüsselt durch das INET an meine Emailaddy geschickt wird und IHR ES NICHT LESEN KßNNTET?



      danke ULI!
      Es wird verschlüsselt und wir können es nicht lesen! Das ist eine einweg Verschlüsselung auf md5. Der Versand der Mail findet vor der Verrschlüsselung statt und die Mail wird nicht gespeichert.

      Der Versand per Mail bei neu generiertem Kennwort ist logischweise notwendig, da die Validierung per Mail vorweg genommen wird. Das verschicken per Mail bei einer Kennwortänderung wäre nicht notwendig und sicherlich auch diskussionsfähig, wurde aber so eingerichtet um es dem User zu erleichtern es evtl. einmal wiederzufinden. Hat also Support techn. Gründe.

      Der Rückschluss auf den allg. sicherheitstechn. Zustand der Verwaltung ist also falsch. Das habe ich gemeint. Warum wirst du bei der Antwort gleich so aggresiv? Wenn du dich persönlich angegriffen fühlst tut es mir leid, ich habe nur auf einen sehr gravierenden Thread zügig ein Statement abgegeben.
    • innoko
      innoko
      Black
      Dabei seit: 14.01.2005 Beiträge: 1.527
      Original von Uli
      Original von innoko
      kannst du mir ein paar Fragen beantworten

      - Wird das PW verschlüsselt?
      - Wenn ja , wird es durch eine EINWEG-Verschlüsselung verschl?, alles andere macht kein Sinn
      - Wird das PW an meine EMAIL geschickt, bevor es verschl. wird? Wenn ja warum?
      - Warum wird überhaupt eine Mail mit meinem PW an mich geschickt? Langt nicht einfach die Meldung, dass ich mein PW geändert habe, so wie es zB Amazon, Ebay mahct?

      NUN die große Frage: Willst du verneinen, dass mein PW unverschlüsselt durch das INET an meine Emailaddy geschickt wird und IHR ES NICHT LESEN KßNNTET?



      danke ULI!
      Es wird verschlüsselt und wir können es nicht lesen! Das ist eine einweg Verschlüsselung auf md5. Der Versand der Mail findet vor der Verrschlüsselung statt und die Mail wird nicht gespeichert.
      -> unsinnig


      Der Versand per Mail bei neu generiertem Kennwort ist logischweise notwendig, da die Validierung per Mail vorweg genommen wird.
      -> kannst du das näher erläutern

      Das verschicken per Mail bei einer Kennwortänderung wäre nicht notwendig und sicherlich auch diskussionsfähig, wurde aber so eingerichtet um es dem User zu erleichtern es evtl. einmal wiederzufinden. Hat also Support techn. Gründe.
      -> wozu muss ich mich an mein kennwort erinnern, wenn ich jederzeit ein neues generieren lassen kann. Kannst du mir den supporttechn. Sinn näher erläutern?


      Der Rückschluss auf den allg. sicherheitstechn. Zustand der Verwaltung ist also falsch. Das habe ich gemeint. Warum wirst du bei der Antwort gleich so aggresiv? Wenn du dich persönlich angegriffen fühlst tut es mir leid, ich habe nur auf einen sehr gravierenden Thread zügig ein Statement abgegeben.
      --> Ich fühle mich nicht angegriffen. Du hättest allerdings als Head of Community direkt ne Begründung schreiben können, anstatt zu sagen mein Statement wäre falsch. Wenn du erst zur IT rennen musstest, um das hier zeitverzögert in deinem zweiten Post zu schreiben, bist du entschuldigt.
    • Uli
      Uli
      Bronze
      Dabei seit: 27.01.2006 Beiträge: 1.426
      Original von innoko
      Original von Uli


      Es wird verschlüsselt und wir können es nicht lesen! Das ist eine einweg Verschlüsselung auf md5. Der Versand der Mail findet vor der Verrschlüsselung statt und die Mail wird nicht gespeichert.
      -> unsinnig

      -->warum? Ich finde das logisch.


      Der Versand per Mail bei neu generiertem Kennwort ist logischweise notwendig, da die Validierung per Mail vorweg genommen wird.
      -> kannst du das näher erläutern
      ---> nach der Anmeldung wird die Mailadresse erst validiert, das heißt wir verschicken eine Mail mit Bestätigungslink. Wenn der User diesen Link benutzt hat wird das Kennwort generiert. Da wir nicht erwarten, das der durchschnittliche Benutzer diese Zeit auf der Anmeldemaske verbringt wird sie per Mail verschickt.

      Das verschicken per Mail bei einer Kennwortänderung wäre nicht notwendig und sicherlich auch diskussionsfähig, wurde aber so eingerichtet um es dem User zu erleichtern es evtl. einmal wiederzufinden. Hat also Support techn. Gründe.
      -> wozu muss ich mich an mein kennwort erinnern, wenn ich jederzeit ein neues generieren lassen kann. Kannst du mir den supporttechn. Sinn näher erläutern?
      ---> Du nicht, aber die Erfahrung hat gezeigt, das es eine Menge User gibt die sich nicht mehr an das Kennwort erinnern, das sie sich selbst gemacht haben. Das klingt zwar komisch entspricht aber leider der Realität, es gibt ja auch Menschen die die Pinnummer ihrer EC Karte nach 3 Jahren plötzlich vergessen. Wobei wie gesagt dieser Punkt sicherheitstechn. durchaus zu diskutierbar ist.


      Der Rückschluss auf den allg. sicherheitstechn. Zustand der Verwaltung ist also falsch. Das habe ich gemeint. Warum wirst du bei der Antwort gleich so aggresiv? Wenn du dich persönlich angegriffen fühlst tut es mir leid, ich habe nur auf einen sehr gravierenden Thread zügig ein Statement abgegeben.
      --> Ich fühle mich nicht angegriffen. Du hättest allerdings als Head of Community direkt ne Begründung schreiben können, anstatt zu sagen mein Statement wäre falsch. Wenn du erst zur IT rennen musstest, um das hier zeitverzögert in deinem zweiten Post zu schreiben, bist du entschuldigt.

      ---> Natürlich "renne" ich erstmal zu den Programierern um sicherzugehen, das es so ist wie ich es denke. Alles andere wäre ja auch leichtsinnig. Wenn ich dir eine Antwort gebe soll sie ja auch richtig sein, aber wie bereits beschrieben ist der Rückschluss auf die interne Sicherheit gemeint gewesen.
    • innoko
      innoko
      Black
      Dabei seit: 14.01.2005 Beiträge: 1.527
      Der Versand per Mail bei neu generiertem Kennwort ist logischweise notwendig, da die Validierung per Mail vorweg genommen wird.
      -> kannst du das näher erläutern
      ---> nach der Anmeldung wird die Mailadresse erst validiert, das heißt wir verschicken eine Mail mit Bestätigungslink. Wenn der User diesen Link benutzt hat wird das Kennwort generiert. Da wir nicht erwarten, das der durchschnittliche Benutzer diese Zeit auf der Anmeldemaske verbringt wird sie per Mail verschickt.

      Ich hab nie von der Anmeldung gesprochen. Was willst du mir damit sagen?


      Das verschicken per Mail bei einer Kennwortänderung wäre nicht notwendig und sicherlich auch diskussionsfähig, wurde aber so eingerichtet um es dem User zu erleichtern es evtl. einmal wiederzufinden. Hat also Support techn. Gründe.
      -> wozu muss ich mich an mein kennwort erinnern, wenn ich jederzeit ein neues generieren lassen kann. Kannst du mir den supporttechn. Sinn näher erläutern?
      ---> Du nicht, aber die Erfahrung hat gezeigt, das es eine Menge User gibt die sich nicht mehr an das Kennwort erinnern, das sie sich selbst gemacht haben. Das klingt zwar komisch entspricht aber leider der Realität, es gibt ja auch Menschen die die Pinnummer ihrer EC Karte nach 3 Jahren plötzlich vergessen. Wobei wie gesagt dieser Punkt sicherheitstechn. durchaus zu diskutierbar ist.

      1-Click und ich bekomm ein neu generiertes PW zugeschickt. Sag mal kapierst du überhaupt was ich sage oder warum erzählst du nochmal das selbe Zeug?
      EC-Karten Beispiel ist auch unsinn, da ich nicht wüsste, dass ich meine PIN ßNDERN KßNNTE. Ausserdem ist der Aufwand( neue PIn, POstweg) viel höher als bei einem 1-Click

      etc etc
    • mortus05
      mortus05
      Bronze
      Dabei seit: 20.02.2006 Beiträge: 404
      ich würde das so machen:

      account erstellen (email, passwort angeben) -> alles in der db ablegen (pw sofort md5 verschlüsseln) -> mail an die angegebene adresse mit aktivierungslink schicken -> wenn aktivierungslink besucht wird account freischalten.

      wenn jemand nen neues pw braucht, macht mans genauso. also formular ausfülen -> pw in db ablegen -> mail mit aktivierungslink -> wenn besucht freischalten.

      (das ablegen sollte natürlich natürlich nicht sofort die alten daten überscheiben -> das passier erst bei der aktivierung!)


      ich find auch, dass es nicht so den guten eindruck macht, wenn man das pw per mail verschickt. aber was VIEL WICHTIGER ist... einloggen per SSL! ich übertrage mein passwort laufend unverschlüsselt zu eurem server. hier in meinem wohnheimnetz (ca. 1000 leute) kann jeder der will, mein passwort mitlesen :(
    • zacman
      zacman
      Global
      Dabei seit: 15.05.2005 Beiträge: 816
      Ich sehe folgendes Problem:

      Selbst wenn das Passwort sofort verschickt wird, kann es vorkommen, dass der Empfänger POP3 Server aus irgendeinem Grund nicht erreichbar ist. Die vom PS.de SMTP Server generierte Fehlermeldung, die an den Admin geschickt wird, könnte dann den gesamten Text der Email enthalten und damit hätte ein Admin in einem solchen Fall Zugriff auf das Passwort.
    • galam
      galam
      Bronze
      Dabei seit: 06.03.2005 Beiträge: 11.136
      Ich fände SSL Verschlüsselung auch durchaus sinnvoll, vorallem bei der Anmeldung auf der Seite und im Forum. Vorallem wenn man sich mal von der FH aus einloggt...
    • mortus05
      mortus05
      Bronze
      Dabei seit: 20.02.2006 Beiträge: 404
      ich hatte zu SSL auch schonmal nen thread aufgemacht - leider wurde der von admin etc. völlig ignoriert! wäre dankbar, wenn hier mal ein statement bzgl. SLL kommen würde... DANKE
    • Rogman0611
      Rogman0611
      Bronze
      Dabei seit: 24.07.2005 Beiträge: 106
      Original von innoko

      EC-Karten Beispiel ist auch unsinn, da ich nicht wüsste, dass ich meine PIN ßNDERN KßNNTE. Ausserdem ist der Aufwand( neue PIn, POstweg) viel höher als bei einem 1-Click

      etc etc
      Bisserl OT, aber: zumindest bei der Deutschen Bank kann man die PIN am Geldautomat ändern...

      Gruss
    • fenixguy
      fenixguy
      Bronze
      Dabei seit: 07.02.2005 Beiträge: 234
      dass ich bei ps.de natürlich nich das gleiche passwort wie bei einer pokerseite verwende, dürfte klar sein, was ich aber schonmal an anderer stelle erwähnt habe und nicht minder erschreckend finde: ich kann mir von neteller nur durch angabe meiner e-mail adresse mein passwort in plaintext zusenden lassen.
      gut, man hat dann noch lange nicht die IDs, aber das spricht auch nicht gerade für die sicherheit unserer "geliebten" auscashseite.
    • innoko
      innoko
      Black
      Dabei seit: 14.01.2005 Beiträge: 1.527
      Original von Rogman0611
      Original von innoko

      EC-Karten Beispiel ist auch unsinn, da ich nicht wüsste, dass ich meine PIN ßNDERN KßNNTE. Ausserdem ist der Aufwand( neue PIn, POstweg) viel höher als bei einem 1-Click

      etc etc
      Bisserl OT, aber: zumindest bei der Deutschen Bank kann man die PIN am Geldautomat ändern...

      Gruss
      ok wieder was gelernt =) thx!