Hallo ich war überrascht, dass ich das Passwort in der e-mail zurückgesendet bekomme. Ich fände es besser, wenn das Passwort nicht in der e-mail auftaucht, bzw. man bei der Neuregistrierung zumindest darauf hingewiesen wird, dass das Passwort jetzt im Klartext über das Internet rauscht.
Passwort in e-mail nach Registrierung
-
troi -
20. Januar 2005 um 16:11 -
Geschlossen
-
-
Das Passwort rauscht auch bei der Registrierung und bei jeder Anmeldung als Klartext durchs Internet.
Ich finde solche Mails immer ganz nett. Da kann man nachgucken, wenn man sein PW vergessen hat.
-
Klartextpasswörter werden immer noch verschickt.
Das heißt, Klartextpasswörter werden gespeichert. Wenn man jetzt vielleicht bei verschiedenen Foren ähnliche Passwörter verwendet, kann eine Angreiferin oder ein böser Administrator Rückschlüsse auf andere Passwörter gewinnen.
Ich muß zugeben, ich habe gar nicht geschaut, da ich dachte, dass schon lange jede normale Forensoftware nur noch hashes speichert. Sicherheitsrelevante Daten wie Passwörter sollten nie gespeichert oder geloggt werden.
Es sollte ein Hinweis bei der Registrierung erscheinen, der sagt, daß sicherheitsrelevante Daten entgegen üblicher Praxis gespeichert werden. Dann kann jeder selbst entscheiden, ob er das akzeptiert oder sich lieber nicht oder anders registrieren möchte.
Steffen
-
Zitat
Klartextpasswörter werden immer noch verschickt.
Das heißt, Klartextpasswörter werden gespeichert.
Woher willst du wissen, dass sie nicht als Hash gespeichert werden? Oder hast du über eine Passwort-vergessen-Antwort-Mail dein altes Passwort im Klartext erhalten?
ZitatWenn man jetzt vielleicht bei verschiedenen Foren ähnliche Passwörter verwendet, kann eine Angreiferin oder ein böser Administrator Rückschlüsse auf andere Passwörter gewinnen.
Deswegen macht man Ersteres auch nicht. Wenn du einem Dienst oder den Personen dahinter nicht traust, dann melde dich nicht an.
-
Das ist so nicht richtig, zwar wird das Passwort im Klartext verschickt, was ich ebenfalls unschön finde, aber es wird nicht gespeichert, sondern die E-Mail wird aus den Eingaben im Registrierungsformular "on the fly" erstellt. In der Datenbank landen nur Hashes.
Gruß
Abdulkadir Topal -
Thema getrennt und nach Sicherheitsecke verschoben.
Weiter geht es hier [Blockierte Grafik: http://i16.tinypic.com/6pf0wvr.png]