Schockiert! Ihr schickt mir mein Passwort per email?

Diskutiere Schockiert! Ihr schickt mir mein Passwort per email? im Forum News, Informationen & Feedback im Bereich ALLGEMEINES - Ich bitte vielmals um Entschuldigung wenn ich als "Neuer" in diesem Forum so meine Stimme erhebe. Aber ich habe soeben als Antwort auf meine...
Status
Für weitere Antworten geschlossen.
Antworten Thema erstellen
K

koffeiniker

Guest
Ich bitte vielmals um Entschuldigung wenn ich als "Neuer" in diesem Forum so meine Stimme erhebe.

Aber ich habe soeben als Antwort auf meine Registrierung die Bestätigungsmail bekommen. Komplett mit Usernamen, ok, und meinem Passwort im Klartext. Letzteres ist ja wohl ein administrativer Ausrutscher. Vor dem Hintergrund letztlicher Überwachungsskandale ist das wohl nicht mehr Zeitgemäß.

Ja ich weiss, das ganze Forum ist auch auf HTTP, aber email muss nun wirklich nicht sein. Wer sein Passwort nun 2 Minuten nach der Registrierung nicht mehr weiss, kann es auch zurücksetzen lassen (und ich frage besser nicht danach wie dieser Prozess läuft ;-)).

Bitte überdenkt Eure Konfiguration und denke bitte darüber nach Passwort in keiner weise unverschlüsselt zu übertragen und ggf das Form über HTTPS bereitzustellen (mit einem Zertifikat, welches auch zum Forum gehört!).
 
Agree! Ich schüttele nur noch mein Kopf wenn ich sowas nach einer Registrierung sehe.

Aber, gerade nach den ganzen NSA Skandalen wissen wir eh das eine Privatsphäre im Netz nicht im Ansatz existiert.

Von daher ist in einem einfachen Forum zum reinen Infos austausch eine Passwort Verschlüsselung eigentlich überflüssig.

Grüße
 
Es ist hilfreich für solche Foren jeweils eigene Passwörter zu benutzen. Da ist es nicht ganz so ärgerlich, wenn die Software mal geknackt und die Datenbank in falsche Hände gerät.
 
Hallo,

das Passwort wird ab sofort nicht mehr per E-Mail gesendet.

Lediglich das temporäre Passwort nach Nutzung der Passwort-Vergessen-Funktion, dieses sollte dann nach dem ersten Login geändert werden. Dazu einfach auf den Menüpunkt Profil klicken.
 
Hallo :D

ich bin ebenfalls neu hier und erhasche mir gerade einen Einblick ins Forum.
Wie der Administrator bereits erwähnt hat, wurde es gesperrt bzw. das Passwort wird nach der Registrierung nicht mehr per E-mail gesendet. Aber wenn man mal nachdenkt, gibt es im Internet eh keine Privatsphäre. Ob das Passwort nun mit in der E-mail steht oder nicht. Es wird eh alles überwacht heut zu Tage..... !!

LG
 
Nicht egal!

Es ist ein erheblicher Unterschied, ob das Passwort als Hash (fürn Hacker ziemlich wertlos) oder in Klartext (oder sonstwie rekonstruierbar) in der Datenbank gespeichert wird. :wink:

Im besten Fall tritt das Passwort gar nicht die Reise durch die Weiten des Internets an, weil der Hash bereits im Browser erzeugt wird und fortan nur dieser übertragen und zum Abgleichen herangezogen wird.

Wenn es dem User per Mail zugeschickt wird, ist das Passwort rekonstruierbar in der Datenbank hinterlegt. Für die administration eines Forums werden die Passwörter der User nicht benötigt. Eine Datenbank voller Passwörter ist hochgradig gefährlich, wenn sie in die Hände dritter gelangt.

Mindestens genauso gefährlich ist es, einen Link zu posten, wo eine Session-ID drin ist. Das wissen viele User nicht und wundern sich, warum sie auf einmal gehackt werden. Damit kann man die Session anderer User "kapern".

PS: Das letzte Posting dieses Themas ist über ein halbes Jahr alt. :wink:
 
Finde es echt super das Kritikpunkte direkt angegangen werden. Hut ab dafür.
 
Franky666 schrieb:
Im besten Fall tritt das Passwort gar nicht die Reise durch die Weiten des Internets an, weil der Hash bereits im Browser erzeugt wird und fortan nur dieser übertragen und zum Abgleichen herangezogen wird.
Zum Vergrößern anklicken....
Hä? Damit machst du den Hash zum Passwort, welches im Klartext übertragen und im Klartext in der Datenbank liegt. Auch ein Salt wird damit unmöglich.

Das eigentliche Passwort muss schon übertragen werden, es wird Serverseitig gesaltet, gehasht und die Hashes werden verglichen (ist bei SSH im übrigen genaus und der Grund dass authentifizierung per Schlüssel, statt per Passwort, empfohlen ist). Deshalb ist es wichtig https zu sprechen, was dieses Forum ja leider nicht tut.


PS: Das letzte Posting dieses Themas ist über ein halbes Jahr alt. :wink:
Zum Vergrößern anklicken....
Dito :)
 
Antworten Thema erstellen
Status
Für weitere Antworten geschlossen.
Thema: Schockiert! Ihr schickt mir mein Passwort per email?

Neueste Beiträge

Neueste Themen

Zurück
Oben