Skip to content

Klartext

Die Geocachezentrale im Nordwesten der Vereinigten Staaten erstaunt mich immer wieder. Heute brachten die Golfos im GC-Supportteil der grünen Hölle das Thema auf den Tisch, dass die Passwörter bei GC im Klartext auf dem SQL-Server gespeichert werden.

Das mochte ich erst gar nicht glauben, daher schnell eben ausgeloggt und selber ausprobiert:
Forgot your password?
Enter your email address and your password will be sent to you via email.
Your account information has been emailed to you.

Ein paar Sekunden später Klingelingsiehabenpost:
Your login information for the email address webmaster@nwct.de is below:
Username: mo-cacher
Password: oregano300

Also tatsächlich. Ich sehe das von mir eingetragene Passwort. Demnach muss es seit Erstellung des Kontos dort auch im Klartext gespeichert worden sein. Erster Gedanke: Ihr habt sie doch nicht alle.

Da treiben die im Januar Update Kosmetik mit HTML und CSS, so dass fast alle Skripte und Programme die auf die GC-Unterseiten aufsetzen, ihre Probleme bekommen. Kleinigkeiten werden hier und da gefeilt und breit kommuniziert. Aber Passwörter im Klartext in der Datenbank.

Natürlich muss eine Website das Passwort irgendwie vergleichen. Schon im letzten Jahrtausend hat man aber in ollen DOS-Programmen aus Performancegründen mindestens mit XOR verschlüsselt, damit man das Passwort nicht direkt einsehen kann, wenn mal die Datei geklaut wird. Und sowas kommt gar nicht so selten vor.

Weil viele Benutzer für alles mögliche von Forum bis ebay das selbe oder einen ganz kleinen Bestand an Passwörtern verwenden und gern auch überall den gleichen Benutzernamen verwenden können Kriminelle damit dann einen Menge Unfug machen.

Deswegen wird das Passwort üblicherweise als MD5-Hashcode abgelegt, dann kann man zumindest nicht mehr direkt auf das Passwort kommen um es woanders weiterzuverwenden. Allerdings kann man sich zu einem MD5-Hashcode ein Passwort machen lassen, das ebenfalls funktioniert. Daher wird heute fast überall auch auf salted SHA1 umgestellt um eben das weiter zu erschweren.

Jedes popelige Forum oder Portal macht das heute so, die Datenbanken bieten Funktionen zur einfachen Implementierung dazu von Haus aus an. Hat der Benutzer sein Passwort vergessen kann der Admin es auch nicht sehen sondern ein neues setzen. Da bleibt nur noch jedem zu empfehlen, für GC ein Passwort zu wählen was sonst nirgends verwendet wird.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen
tweetbackcheck