Klartext

Motorrad Navigation

Quicksearch

Anzeigen

Bremsspuren

simon about Anleitung für Eclipse und Android SDK
8. March 2010
*danke :-) !!
mo-cacher about Amenities International
18. February 2010
*Man kann [...]
ElliPirelli about Amenities International
18. February 2010
*Ich hab n [...]
Max about Amenities International
18. February 2010
*das is ja [...]
Pink-Elephant about Klartext
17. January 2010
*super...h [...]

Altmetall

Thursday, January 14. 2010

Motzpost Posted by mo-cacher in Motzpost

Comments (12)
Trackback (1)
tweetbackcheckTweet This!

Klartext

Die Geocachezentrale im Nordwesten der Vereinigten Staaten erstaunt mich immer wieder. Heute brachten die Golfos im GC-Supportteil der grünen Hölle das Thema auf den Tisch, dass die Passwörter bei GC im Klartext auf dem SQL-Server gespeichert werden.

Das mochte ich erst gar nicht glauben, daher schnell eben ausgeloggt und selber ausprobiert:
Forgot your password?
Enter your email address and your password will be sent to you via email.
Your account information has been emailed to you.

Ein paar Sekunden später Klingelingsiehabenpost:
Your login information for the email address webmaster@nwct.de is below:
Username: mo-cacher
Password: oregano300

Also tatsächlich. Ich sehe das von mir eingetragene Passwort. Demnach muss es seit Erstellung des Kontos dort auch im Klartext gespeichert worden sein. Erster Gedanke: Ihr habt sie doch nicht alle.

Da treiben die im Januar Update Kosmetik mit HTML und CSS, so dass fast alle Skripte und Programme die auf die GC-Unterseiten aufsetzen, ihre Probleme bekommen. Kleinigkeiten werden hier und da gefeilt und breit kommuniziert. Aber Passwörter im Klartext in der Datenbank.

Natürlich muss eine Website das Passwort irgendwie vergleichen. Schon im letzten Jahrtausend hat man aber in ollen DOS-Programmen aus Performancegründen mindestens mit XOR verschlüsselt, damit man das Passwort nicht direkt einsehen kann, wenn mal die Datei geklaut wird. Und sowas kommt gar nicht so selten vor.

Weil viele Benutzer für alles mögliche von Forum bis ebay das selbe oder einen ganz kleinen Bestand an Passwörtern verwenden und gern auch überall den gleichen Benutzernamen verwenden können Kriminelle damit dann einen Menge Unfug machen.

Deswegen wird das Passwort üblicherweise als MD5-Hashcode abgelegt, dann kann man zumindest nicht mehr direkt auf das Passwort kommen um es woanders weiterzuverwenden. Allerdings kann man sich zu einem MD5-Hashcode ein Passwort machen lassen, das ebenfalls funktioniert. Daher wird heute fast überall auch auf salted SHA1 umgestellt um eben das weiter zu erschweren.

Jedes popelige Forum oder Portal macht das heute so, die Datenbanken bieten Funktionen zur einfachen Implementierung dazu von Haus aus an. Hat der Benutzer sein Passwort vergessen kann der Admin es auch nicht sehen sondern ein neues setzen. Da bleibt nur noch jedem zu empfehlen, für GC ein Passwort zu wählen was sonst nirgends verwendet wird.

Trackbacks
Trackback specific URI for this entry

PingBack
Weblog: jr849.de
Tracked: Jan 14, 15:18

Comments
Display comments as (Linear | Threaded)

*Die haben dich auf den Arm genommen, das Passwort scheint gar nicht zu stimmen ;-)

Hapy Caching

Lieben Gruß CaLLiBRi
#1 CaLLiBRi (Homepage) on 2010-01-14 14:49 (Reply)
**schnellmoenkspasswortnotier* ;-)

Soll ich ehrlich sein? Mich wundert bei GC inzwischen gar nichts mehr.
#2 Schrottie (Homepage) on 2010-01-14 14:50 (Reply)
*Möglicherweise wird mein mo-cacher Konto wegen Fehlversuchen in den nächsten Tagen gesperrt. Das brauch ich aber eh erst wieder zum Saisonstart, wenn ein paar Mocaches ausgeworfen werden sollen.
#3 mo-cacher (Homepage) on 2010-01-14 14:53 (Reply)
*schwach, sehr schwach, bin enttäuscht von GC, ich hätte mehr von denen erwartet…

anderer seits nach deren letzen layout verschlimmbesserungen…
#4 DunkleAura (Homepage) on 2010-01-14 15:52 (Reply)
*Sehr unschön gelöst...

Mal sehen, wann man eine PQ mit Account-Passworten anstatt Waypoints bekommt :-D
#5 carbolineum (Homepage) on 2010-01-14 15:54 (Reply)
*Wahrscheinlich bin ich zu naiv, aber bei GC, Grünem Forum und Pathtags hab ich simple Passworter, Bank, eBay, PayPal und gmx dagegen haben Kompliziertere...

Nutzen wirklich viele die gleichen Passwörter für alles?
Meine Bank kennt mich nicht als ElliPirelli, eBay und PayPal auch nicht... Wär auch ein wenig putzig... g

Ich versteh die Aufregung ehrlich nicht, kann allerdings als Computer Analphabet auch nicht sagen, wieso Ihr Euch so sicher seit, daß das Passwort im Klartext steht....

Übrigens steht auch mein Auto unabgeschlossen vorm Haus, wer was draus klauen will, soll wenigstens nicht die Tür kaputt machen. Aber das Autoradio ist Casette und von daher uninteressant...

Noch nicht unter Verfolgungswahn leidend, Elli
#6 ElliPirelli (Homepage) on 2010-01-14 16:27 (Reply)
*@ElliPirelli: Das Auto nicht abzuschließen ist Verleitung zum Diebstahl, im günstigsten Falle gibt es 15 € Verwarnungsgeld, im schlimmsten Fall lässt die Polizei die Karre abschleppen um sie für Dich zu sichern. Nimm also lieber eine kaputte Tür in Kauf. :-)

Und was die Sicherheit betrifft, das die PW im Klartext hinterlegt sind: Ganz einfach, ein simples Script auf dem Server kann das PW auslesen und per Mail schicken (Funktion: PW vergessen) und genau das ist der Beleg dafür. Wäre das PW verschlüsselt, dann müsste der Server ein neues generieren und zuschicken, denn er kommt ja an das alte nicht lesend heran.
#6.1 Schrottie (Homepage) on 2010-01-14 16:33 (Reply)
*@Schrottie: Das soll die Polizei sich wagen, mein Auto vom meinem Grundstück abzuschleppen! Geht's noch?
#7 ElliPirelli (Homepage) on 2010-01-14 16:53 (Reply)
*Okay, auf dem Grundstück ist das was anderes.
#7.1 Schrottie (Homepage) on 2010-01-14 19:36 (Reply)
*Kaum zu glauben das bei Groundspeak solche Amateure arbeiten. Allerdings sind deren Server in den USA und von daher sollte man dieses passwort, ebenso wie das von ebay und co. eh nur für den einen Zweck verwenden.
Die Server in den USA können von diversen Regierungebehörden überwacht werden und was die so alles mit einem Universalpasswort anfangen könnten ist mir jedenfalls nicht geheuer.
#8 Neheimer (Homepage) on 2010-01-14 20:53 (Reply)
*Naja, viel schlimmer als den Standort finde ich den Server selbst. Da werkelt nämlich MS-IIS und über die Sicherheit der Produkte aus dem Hause MS müssen wir ja nicht wirklich reden.
Über deren Zuverlässigkeit übrigens auch nicht... ;-)
#8.1 Schrottie (Homepage) on 2010-01-14 21:43 (Reply)
*super...hab verstanden worum es geht..aber ist schon ein wahnsinniges fachchinesisch.... :-(
#9 Pink-Elephant (Homepage) on 2010-01-17 11:13 (Reply)

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA
 
 

Frontpage - Top level

Kraftstoffe



All categories

Nachtfahrt

Spoiler

PC281577

PC281577

Geocaching-Video

Geocaching Mallorca GC22H2B Can Pastilla

Freitag, 1. Januar 2010

Buchtipp

Aufzeichnungen eines Schnitzeljägers: Mit Geocaching zurück zur Natur

RSS Tankstelle