Passwort Verschlüsselung

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Passwort Verschlüsselung

    Hi Forums,

    ich hab' da mal eine Frage, gibt es eine bestimmte Datenschutz-Klausel, die bestimmt, wann man ein Passwort z.b. nicht verschlüsseln darf, sondern z.b. nur hashen? Ich weiß, die Frage lässt sich vielleicht mit Logik von alleine beantworten, nur fehle mir diese Logik dann.

    Konkrete Frage: Ich entwickele im Auftrag einer großen Handelsfirma einen individuellen eShop. Die Daten der User sind sensitiv, sie werden in der DB einmal mit MD5 verhasht eingetragen, und das Passwort beim einloggen auch so überprüft. Nur für die Passwortvergesser, habe ich eine extra Spalte dort wird das PW verschlüsselt. Die kann man natürlich zurückentschlüsseln ( eigener schlüssel ). Natürlich wäre es unverantwortlich das PW zu entschlüsseln um damit Mist zu machen. Aber rein theoretisch wäre dies ja möglich, von daher wollte ich wissen, ob das Gesetz bei bestimmten Daten-Klauseln sowas verbietet, um solchen Missbrauch einzudämmen. Ich wollte nur nachfragen, um sicherer zu sein.
    Zuletzt geändert von xManUx; 11.03.2005, 18:35.

    Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
    sondern mit den Augen das Manual zu lesen.

  • #2
    Kann ich jetzt nicht direkt sagen, aber stell Dir mal vor, wie das Gefühl des Kunden ist, wenn er auf die Frage, er hätte sein Passwort vergessen, dieses von Dir wiederbekommt?
    Ja, gläsern.

    Imho ist es besser, dem Kunden einfach ein neues auf´m Tisch zu knallen und ihm vorzuschlagen, es bei nächster Gelegenheit zu ändern.

    Nebenbei, was ist, wenn Ihr doch mal gehackt werdet? Wo ein Schloß da auch ein Schlüssel.
    (-:
    Bookmarks:·Bilder·Jobs·Recht·
    kostenloser Webkataloge-Assistent

    Kommentar


    • #3
      Re: Passwort Verschlüsselung

      Original geschrieben von xManUx ... um solchen Missbrauch einzudämmen ...
      Einfach nicht in verschlüsselt in die DB schreiben? IMO ist es gescheiter, bei Verlust des PW ein neues zu generieren!
      Bevor ich nicht in einem angemessenen Alter bin, werde ich keine Witze mehr über schmalle machen!
      - Zitat Berni

      Kommentar


      • #4
        Ich denke ich werde mich euch anschließen, und die Verschlüsselung-Spalte wieder kicken. Bei einer 0815-Community, sprich ohne Adress-sensitive Daten, wäre es mir wurscht. Abgesehen von der Seriösität wäre aber die juristische Frage nicht geklärt, weiß evtl. jem. ein Link zu einem "Ratgeber" oder so?

        Vielen Dank für eure Antworten,
        Gruß,
        Manuel

        Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
        sondern mit den Augen das Manual zu lesen.

        Kommentar


        • #5
          Original geschrieben von xManUx
          Abgesehen von der Seriösität wäre aber die juristische Frage nicht geklärt...
          Male Dir einfach mal aus, dass Euer Server geknackt werden würde und publik wird, dass der Hacker neben Adressdaten etc auch noch sämtliche Passwörter und ggf. noch schlimmeres bekommt. Man könnte Euch Fahrlässigkeit vorwerfen... Stell diese Frage mal unter www.recht.de oder www.123recht.net und poste die Antwort wieder hier.
          (-:
          Bookmarks:·Bilder·Jobs·Recht·
          kostenloser Webkataloge-Assistent

          Kommentar


          • #6
            Wie geraten, so getan. Bin mal gespannt!
            Wer interesse hat: http://www.recht.de/phpbb/viewtopic.php?p=86969#86969

            @Killbill

            Nun ja, aber dann könnte er sowie so jeden Schaden beliebig anrichten, wie er möchte. Er könnte aber die MD5-Werte und die Emailadressen in seine eigene umändern, wenn er die Kenntnisse hat, und es schafft das unique der eMails zu löschen. Deshalb bin ich mir rein juristisch gesehen nicht so sicher, danke übrigens für die URL!

            Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
            sondern mit den Augen das Manual zu lesen.

            Kommentar

            Lädt...
            X