Wer speichert denn Kennwörter im Klartext?

Computer: Software & Programmierung Server-Software
#1

Liebe ExpertInnen,

ein Provider schickt ein Rundschreiben an seine Kunden:

…Deshalb empfehlen wir Ihnen aus Vorsichtsgründen, Ihre Passwörter für Ihre DomainFactory-Konten so rasch wie möglich abzuändern.

Das bringt mich heftig ins Grübeln: Soll ich daraus schließen, dass die Kennwörter beim Provider im Klartext gespeichert werden? Ist es nicht längst guter Brauch, diese nur als (MD5-)Hash abzulegen?

EIne perfekt gestaltete Phishing-Mail ist natürlich nicht auszuschießen, zumal die Mail Direkt-Links zum Ändern der Kennwörter enthält. Allerdings fällt mir gerade ein, dass zB Yahoo bei der Kennwortänderung durchaus mal meckert, wenn das neue Kennwort dem alten zu ähnlich ist - auch das geht doch nur, wenn das alte im Klartext vorliegt.

Wer weiß was?

Gruß
Ralf

ps: Für einen Link, wie man einen Mail-Header auf Glaubwürdigkeit prüft, wäre ich sehr dankbar.

#2

Eine erste Hilfe kann sein, wenn du dir den vollständigen Header, und nicht die abgespeckte Variante, die standardmäßig angezeigt wird, anschaust. Hier z. B. ein Auszug aus dem Header einer E-Mail, die angeblich von [email protected] kam:

Received from manbo1.7-dj.com ([202.216.97.31]) by mx-ha.gmx.net (mxgmx014 [212.227.15.9]) with ESMTP (Nemesis) id 1MVtTT-1eWtTZ1yth-00Rsx9 for ; Wed, 06 Dec 2017 16:55:44 +0100

Ich behaupte mal, dass der fett gedruckte Server nicht zu PayPal gehört. :smiley:

#3

„Moin“/moin:)
Ist es nicht so, daß es etwa 760 unterschiedliche Möglichkeiten gibt, den PC (auch: Angezeigtes [ich meine Monitor]) des Nachbarn zu beobachten? Das Pönuse ist ömmer und iberall aaaarrr…
Weiß man.
Vielleicht geht es bei Emails noch leichter als bei anderem. Das zur Verfügung gestellte erste Paßwort ist Email, Dein selbst erfundenes „anderem“. Könnte eine Erklärung sein.

#4

Wenn dein Passwort nicht komplex ist, hilft es nicht, dass es nur als Hash gespeichert wurde.

Das Hashing macht einen Angriff nur teurer (bzw. langsamer), aber eben nicht unmöglich. Schwache Passwörter können problemlos identifiziert werden.

Gruß,
Steve

#5

Hallo,

nach den HEISE vorliegenden Daten hat der Angreifer Passwörter „nur“ als Hash vorliegen.

#6

Hi!

Ich würde behaupten, daß es da draußen immernoch jede Menge Seiten gibt, die Passwörter im Klartext speichern. Wenn du via „Passwort vergessen“ dein Passwort zugeschickt bekommst, hast du so eine Seite vor dir.

Aus Sicht des Betreibers gibt es ja wenig Grund, das zu ändern. Denn es läuft doch alles, und nach der Änderung würde auch alles laufen, nur, daß eben Zeit für die Umstellung draufgegangen ist. Nen sichtbaren Mehrwert gibt es nicht.

Erst, wenn das Kind in den Brunnen gefallen ist, ist das Geschrei groß. Genauso ist es doch mit Backups.

Nebenbei ist MD5 nicht wirklich sicher.

Ansonsten: Wie bereits geschrieben wurde, steht im Header, über welche Stationen die Mail bei dir ankam, und sie ursprünglich nicht von einem Server stammt, der in Zusamenhang mit dem angegebenen Absender steht, ist das schonmal ein Grund für Mißtrauen.

Abgesehen davon wird die Zieladresse eines Links in einer Mail in vielen Programmen am unteren Fensterrand angezeigt, dort sollte man auch schauen, ob die passt. Abgesehen davon wäre es eine gute Idee, nicht über den Link auf Paypal zu gehen, sondern selber paypal in den Browser einzutippen.

#7

Nachtrag:

Im konkreten Fall gab es ein Datenleck. Klartext-Passwörter waren nicht dabei, wohl aber gehashte:

https://www.heise.de/newsticker/meldung/Datenleck-bei-Domainfactory-Kunden-sollen-Passwoerter-aendern-4104495.html?wt_mc=rss.ho.beitrag.atom

Davon, dass der Firma auch die Passwörter für Kunden-Konten abhanden
gekommen sind, steht in der Stellungnahme von Domainfactory nichts –
allerdings hatten wir in dem uns vorliegenden Datensatz auch
Passwort-Hashes gefunden.

#8

Kann man das untermauern?

Gruß
Ralf

#9

Allerdings auch
https://www.programmierer-forum.de/warum-md5-sicher-ist-und-viel-unsinn-im-netz-verbreitet-wird-t110650.htm

1 Like
#10

Da gebe ich dir Recht, allerdings kam das Beispiel mit PayPal von mir, Ralf hatte ursprünglich von DomainFactory geschrieben.

#11

Dieses Thema wurde automatisch 30 Tage nach der letzten Antwort geschlossen. Es sind keine neuen Nachrichten mehr erlaubt.