Verhütung (von Daten)

**MaxP0W3R** · 12.04.2005, 06:45

mit einer 2 wege verschlüsselung

problem is nur, wenn einer den server knackt, sieht er _wie_ und mit welchen _passwort_ du verschlüsselst...

**Meillo** · 12.04.2005, 08:40

Grundregel: Passwortdaten NIE in plain text abspeichern!
Am Besten mit md5() und co... also hash-wert generieren.

Für Kto-Daten wäre evtl. eine umkehrbare Verschlüsselung angebracht..

**matzinger** · 12.04.2005, 08:51

Original geschrieben von Meillo
Grundregel: Passwortdaten NIE in plain text abspeichern!

Was ist der GRUND dieser REGEL ?
Was kann passierenm, wenn ich es als plain abspeichere ?

Aber wenn jemand das Datenbank-Passwort knackt,
ist es doch egal, ob das Passwort verschlüsselt oder in PlainText drin steht.
Es ist ja sowieso alles sichtbar und die Passwörter könnten beliebig neu gesetzt werden.

**Meillo** · 12.04.2005, 08:56

... und weshalb sollte man auf das "bisschen" kostenlose Mehrsicherheit verzichten?

btw: Lese- und Schreib-Zugriff auf eine DB sind 2 paar Schuhe!

**matzinger** · 12.04.2005, 08:58

Original geschrieben von Meillo
... und weshalb sollte man auf das "bisschen" kostenlose Mehrsicherheit verzichten?

btw: Lese- und Schreib-Zugriff auf eine DB sind 2 paar Schuhe!

Kannst du mir konkret sagen, wo es mehr Sicherheit bringt.

**Meillo** · 12.04.2005, 09:18

z.B. ein nicht abgesicherter select-Befehl, und schon kann man Daten auslesen, jedoch nicht schreiben.
Es soll ja auch Möglichkeiten eines DB-Zugriffs außer dem Root-PW geben....

Ich meine, es ist dein Risiko das du eingehst - ich jedenfalls (und die meisten anderen auch) verschlüssle grundsätzlich alle Passworter. (welche Vorteile gibt es denn sie nicht zu verschlüsseln?)

**matzinger** · 12.04.2005, 09:24

Original geschrieben von Meillo
[B](welche Vorteile gibt es denn sie nicht zu verschlüsseln?)[/B

Wenn ein User sein PW vergessen hat, kann man ihm das Original-PW per Mail zuschicken.
Wenn es jedoch mit md5 verschlüsselt ist, kann man nur ein neues generieren lassen.

**Meillo** · 12.04.2005, 09:37

... ich jedenfalls hätte an dieser Vorgehensweise (aus der Sicht des Users) etwas auszusetzten: Meine Passworter gehen nur mich was an.

Es ist Administations-/Support-Alltag, dass Passworter zurückgesetzt werden und der User dann mit dem ersten Login das Passwort wieder ändern muss.

Gründe u.a.:
> Das PW kann "unterwegs" nicht abgehört werden, wenn du es den User sagst.
> Administatoren können sich nicht ohne Zustimmung des Users mit dessen Logindaten in seinen Account einloggen (Denk mal an "Interne Revision"!)
> Positiver Nebeneffekt: der User ändert sein PW häufiger

[das war mein letzter Post zu diesem Thema]

**matzinger** · 12.04.2005, 10:15

Original geschrieben von Meillo
...

> Das PW kann "unterwegs" nicht abgehört werden, wenn du es den User sagst.

[das war mein letzter Post zu diesem Thema]

Wenn ich das PW den User schicke, muss ich dort sowieso in Plain Text schicken. Also ist doch egal ob och das alte aus der DB hole oder neues generiere.

Erst mal Danke an Meillo.

Aber hat noch jemand anders was zu sagen dazu

**wahsaga** · 12.04.2005, 10:16

Original geschrieben von matzinger
Aber hat noch jemand anders was zu sagen dazu

nein, da gibt's, wenn man es halbwegs ernsthaft betrachtet, keinen anderen standpunkt als den von Meillo.

**rönee** · 13.04.2005, 00:44

Dem kann ich mich nur anschliessen!

Gruss René

**goth** · 13.04.2005, 03:16

Original geschrieben von matzinger
Aber hat noch jemand anders was zu sagen dazu

Klar gibt's auch noch 'nen anderen Grund ... nämlich den das die meisten Troll-User ein und dasselbe Kennwort für alles und jedes verwenden ... ist nun der direkte Zugriff auf diese Daten möglich, fördert das den Missbrauch ... z.B. durch einen potentiellen Hacker, aber auch durch den System-Betreiber ... man nennt das "Verantwortung des Programmierers" alles dafür zu tun diesen zu vermeiden!

Ich persönlich würde mich bei einem System von dem ich weiss das Kennworte im Klartext oder mit bidirektonaler Verschlüsselung gespeichert werden nicht anmelden ... .

Verhütung (von Daten)