• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.838
Ort
ja
Das ist ja das zweite Mal, das sowas gewollt wird. Und es wird wieder nicht funktionieren. Zum einen ist der "Anbieter" des Passwortes verpflichtet, es sicher aufzubewahren (sprich: verschlüsselt) und zum anderen vergessen sie scheinbar die 2FA. Was nutzt denn ein Passwort, wenn 2FA aktiviert ist? Auf der anderen Seite wäre es aber nicht schwer umzusetzen. Widerspricht dann aber wieder anderer Gesetzgebung. Ich sagte das im ersten Thread hier schon: "Denn sie wissen nicht, was sie tun!".

Und nun mal den höchst unwahrscheinlichsten Fall angenommen: Der Gesetzgeber erfragt bei mir ein Passwort für einen Account im Forum: Kann er haben. Er bekommt einen Hash. Der ist nur leider gesaltet und das Salz dafür gibt es nicht, weil es sich zufällig neu generiert und zudem als Cookie auf dem PC des Users abgelegt wird. Der Keks und auch der Salt müssen übereinstimmen, sonst ist die Session ungültig und es erfolgt ein automatisierter Logout. Das handhabe ich bei mir seit über 10 Jahren schon so.

Wenn mich nun jemand zwingt, das zu ändern, dann müssen leider erst andere Gesetze geändert werden, denn ich darf die Logins der User doch gar nicht wissen.

*rotierendesfragezeichenüberdemkopfvorstellen*

Und ehrlich gesagt geht mir der ganze Scheiß am Arsch lang, solange Opas und Omis mir sagen wollen, was mein Forum/Blog/etc. darf und was nicht. Ich hab den Cookiehinweis auch nie eingebunden, weil es rein rechtlich in Deutschland vollkommen Banane ist, weil es uns nicht trifft. Interessiert nur die meisten Seiten nicht. Wenn es nach Rechtsprechung EU vs. Deutschland geht, darf ich hier Kekse ablegen, wie ich lustig bin. Ganz ohne den User darüber zu informieren, denn EU- und D-Rechtsprechung widersprechen sich in diesem Fall und damit gilt DE-Recht.

Meinten Sie: "totdiskutiert"?

Meinten sie "sie", Herr Cloogshicer?
 
Zuletzt bearbeitet:

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Ich verstehe den Artikel so, dass die Hashes rausgegeben werden müssen, nicht die Klartextpasswörter.
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
@Metal_Warrior:

Aber das muß ja nicht überall sein und wenn dann eine Anfrage doch mal lohnenswert sein sollte, wäre es ungünstig, wenn es dann kein Gesetz geben würde.

Offensichtlich geht der Gesetzgeber ja sogar davon aus, daß jemand das Paßwort unverschlüsselt speichern könnte, wo dann das BKA das PW verwerten darf, aber die zuständige Datenschutzaufsichtsbehörde informieren muß. (Facebook hat das früher ja auch gemacht)

Daß der Username als Salt dient, hat es ja auch schon gegeben.

Keinen Ahnung, welchen praktischen Nutzen das letztendlich haben wird. Wir werden es wahrscheinlich nie erfahren.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@KaPiTN: Username als Salt reicht auch völlig aus. Der Sinn des Salts ist ja nicht, dass er unbekannt ist, nein, der steht sogar mit in der Datenbank drin, ist also immer bekannt (und muss es auch sein, sonst kann man den Hash nicht berechnen, um dein Passwort zu prüfen). Der Sinn des Salts ist, dass du aus zwei gleichen Kennwörtern mit dem gleichen Hashverfahren zwei unterschiedliche Hashwerte rausbekommst, und damit nicht mehr mit Rainbow-Tables reihenweise Hashwerte aufdecken kannst, sondern jeden einzeln berechnen musst, was wirklich viel Zeit in Anspruch nimmt.
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
Wenn die Usernamen jetzt auch häufig sind, Vornamen oder z.B. "Admin", dann könnten sich Tabellen schon wieder lohnen.

Das sollte auch nur ein Beispiel sein, daß es auch bei Salts schwächere und stärkere geben kann und es ging darum, man bei dem Gesetz nicht davon ausgegangen sein wird, daß überall die härtesten Implementieren vorliegen.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@KaPiTN: Nur, wenn die Admins die gleichen Passwörter verwenden würden, was mehr die Qualität des Admins infrage stellt als die der Anwendung.

Wie gesagt, natürlich kannst du Rainbow Tables mit dem Salt "Admin" erstellen - wenn der Salt aber dann "Administrator" ist, sind sie wieder nutzlos (oder wenn die Passwörter halbwegs gut sind, weil da reden wir sehr schnell von mehreren hundert Terabyte pro RT).
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
Es gibt ja zig Millionen 'Admins' (war ein Beispiel). Da kann ja keiner die Kennwörter der anderen kennen, also stellt es nicht seine Qualität in Frage, wenn da irgend einer das gleiche haben sollte.

Merkst Du nicht selber, wie Du hier krampfhaft eine Diskussion vom Zaun brechen willst, die absolut am Thema vorbei geht?
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.838
Ort
ja
Wenn zwei Admins das gleiche gute Passwort haben, ist das wie ein Sechser im Lotto. Administrationskennwörter denkt man sich in der Regel nicht aus, sondern lässt sie erstellen/errechnen. KeePass kann das zum Beispiel auch.

Wer als Account "Admin" nimmt und als Passwort den Geburtsnamen seiner Mutter, der macht seinen Job falsch und braucht auf kurz oder lang eh Hilfe. :D
 

Steeve

Vereinsheimer
Barkeeper

Registriert
15 Juli 2013
Beiträge
41.121
Groß und Kleinbuchstaben, Zahlen/Ziffern, und Sonderzeichen. Ab 8 Zeichen. So bastel ich mir meine meistens. Und keine Wörter, sondern im Grunde Buchstabensalat.
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
Wie naiv zu denken, wenn irgendwo jemand als Username 'admin' benutzt, er auch auch ein Administrator von irgend einem Netzwerk zu sein hätte.
 

Steeve

Vereinsheimer
Barkeeper

Registriert
15 Juli 2013
Beiträge
41.121
Habe ein Praktikum hier in Hannover bei Continental gemacht. Passwort: Conti2020

Andere Firma, dessen Name ich hier gerne nenne, aber ich verdrängt habe, kleine Klitsche, administriert mit Passwort123, kein Scherz. Ich habe das als Praktikant mitgemacht, unglaublich eigentlich.

Nehme ich die Schnittmenge Conti und Klitsche, gehe ich von aus, dass es besonders bei Großen Firmen gar nicht so gut aussieht.
 
Zuletzt bearbeitet:

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@KaPiTN: Wenn er nicht Admin ist, weil er nur seine eigene Fritzbox administriert, ist er auch nicht betroffen vom Gesetz. Merkst selbst, oder?

Und jeder, der das professionell macht, sollte (!!) Zufallskennwörter nutzen. Bei uns wird für jeden User die Lostrommel angeworfen, 30 Zeichen oder mehr, fast all-in. Wenn da irgendwelche Hashes rauskommen, die irgendwo genauso an anderer Stelle vorliegen, fang ich morgen mit Lottospielen an und geh bei der ersten Wolke am Himmel in den Bunker.
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
Wenn einer nicht versteht, was ein Beispiel ist.
 
Oben