Hi Leute,
ich bin gerade über folgenden Link gestolpert: Klick (http://www.golem.de/news/bestandsdatenauskunft-protest-gegen-gesetz-zur-herausgabe-von-e-mail-passwoertern-1211-95930.html)

Wie darf ich mir das vorstellen? Ich war immer der Meinung, dass man das Passwort eingibt (z.B E-Mail) , daraus ein Hashwert gebildet wird und dieser dann mit dem ursprünglichen Passwort/Hashwert verglichen wird, daraus ergibt sich dann ein Zugang oder eben keiner.
Was würde denn dann herausgegeben werden wenn ich davon ausgehe, dass ein Anbieter mein Passwort nicht im Klartext speichert (was ja auch grob fahrlässig wäre)

Ansonsten gibt es ja wohl bereits die Möglichkeit, dass die Polizei bei den Anbietern Zugang zu Daten bekommt?

Ich sehe nur nicht ganz den Sinn, vielleicht könnt ihr mir auf die Sprünge helfen ;)


Greez

Wie darf ich mir das vorstellen? Ich war immer der Meinung, dass man das Passwort eingibt (z.B E-Mail) , daraus ein Hashwert gebildet wird und dieser dann mit dem ursprünglichen Passwort/Hashwert verglichen wird, daraus ergibt sich dann ein Zugang oder eben keiner.
Was würde denn dann herausgegeben werden wenn ich davon ausgehe, dass ein Anbieter mein Passwort nicht im Klartext speichert (was ja auch grob fahrlässig wäre)
Jain, je nach System werden Passwörter in Cleartext gespeichert weils nur so funktioniert.
Z.B. das bekannte und sehr stark verbreitete Plesk Panel speichert alle Logins (Panel, FTP, SSH, Mail) in ClearText in einer MySQL Datenbank ab.

Mitunter ist/war dies sogar mal notwendig, z.B. bei Email.
In der Zeit bevor man Emails via SSL/TLS zu senden/empfangen konnte musste man für eine halbwegs sichere Übermittlung des Passwortes auf eine CRAM/MD5 Verschlüsselung zurückgreifen.
Die funktioniert aber nur wenn auf dem Server das Passwort ebenfalls im Cleatext vorliegt, damit der dieses zur Verifikation auch hashen und dann mit dem Wert welcher er vom Client bekommt, vergleichen kann.

Wenn auf dem Server bereits ein gehashtes Passwort vorliegen würde, müsste dein Client ja immer den genau gleichen Hash schicken damit es passt - d.h. immer den selben Salt/Key zum hashen/verschlüsseln des Passwortes verwenden.
Und dies bringt ja mal gar nix - denn wenn jemand einmal deinen Traffic mitsnifft nimmt er einfach diesen Hash und schickt dann selber seinerseits genau diesen Hash an den Server und ist eingeloggt.


Aus Legacygründen (damit Clients nichts umstellen brauchen) wird dies auch heute bei vielen Mailservern noch so übernommen.

Also ich habe/hatte immer die Vorstellung, dass pro Account die Anmeldeinformationen (E-Mailadresse, Benutzername, ...) in Klartext und dazu dann die gehashten Passwörter gespeichert werden. Die Übertragung des Passworts bei der ersten Anmeldung erfolgt dann über HTTPS/SSL/... . Das Passwort wird dann (evtl) mit einem dem Server bekannten Salt gehasht und dann gespeichert.
Zum Login dann wieder das Spiel mit HTTPS/SSL gegen Man in the Middle Attacken, Passwort eingeben, Hashen, Salten und Richtigkeitscheck.

Mhm, vielleicht sollte man sich damit mal beschäftigen.


Greez

Und da kommt der erste Offizielle der die Qualität und damit Rechtmäßigkeit anzweifelt - mal ernsthaft, hat irgendwer was anderes erwartet?

http://www.golem.de/news/bestandsdatenauskunft-gesetz-zur-herausgabe-von-mail-passwoertern-verfassungswidrig-1211-95967.html


Dazu könnten wir wohl ein neues Thema im Bereich Politik aufmachen - meine Forderung ist relativ simpel, da immer mehr Gesetze windelweich und einfach schlecht umgesetzt wurden und damit vor der letzten Instanz scheitern, was Unsummen im Gesetzgebungs- und Gerichtsprozess kostet, will ich es einfach sehen, das die verabschiedenden Verantwortlichen für diesen Scheissdreck auch endlich persönlich haften. Sprich jeder der dafür stimmt, das so ein Gesetz in der Form durchkommt, verliert beim scheitern desselben vor Gericht, sagen wir 5% seiner Rentenansprüche - und oh wo wir schon dabei sind, weil wo kein Kläger da kein..., die Weisungsgebundenheit von Staatsanwälten sollte überdacht werden (in Frankreich z.B. gibt es diese "Superstaatsanwälte" die auf eigene Faust ohne Reinreden arbeiten können).

Exakt das wird gebraucht, forder ich auch schon seit langem: Echte Verantwortlichkeit von Politiker. Und damit meine ich nicht "Rücktritt", ich meine:

1. Rausschmiss (mit Verlust von Pensionsansprüchen)
2. rückwirkende Gehaltsrückzahlungen
3. Vermögensverlust

Insbesondere da D (angeblich) ein Sozialstaat ist, sehe ich überhaupt kein Problem in diesem Maßnahmen. Sollte man zudem bei allen Wirtschaftskriminellen ansetzen - gerade die, die aus Gier nach (noch) mehr Verbrechen begehen, sollten dort getroffen werden, wo es sie am härtesten trifft. Knast ist doch keine echte Strafe für einen Bankster bzw. das sitzt der einfach aus und ist danach immer noch reich.

Exakt das wird gebraucht, forder ich auch schon seit langem: Echte Verantwortlichkeit von Politiker. Und damit meine ich nicht "Rücktritt", ich meine:

1. Rausschmiss (mit Verlust von Pensionsansprüchen)
2. rückwirkende Gehaltsrückzahlungen
3. Vermögensverlust

Insbesondere da D (angeblich) ein Sozialstaat ist, sehe ich überhaupt kein Problem in diesem Maßnahmen. Sollte man zudem bei allen Wirtschaftskriminellen ansetzen - gerade die, die aus Gier nach (noch) mehr Verbrechen begehen, sollten dort getroffen werden, wo es sie am härtesten trifft. Knast ist doch keine echte Strafe für einen Bankster bzw. das sitzt der einfach aus und ist danach immer noch reich.

bitte auch noch Punkt 4: Wer für den Staat arbeitet als Politiker (und damit nicht schlecht verdient!) muss alle Nebeneinkünfte, alle!, offenlegen. Damit würden diese Politiker endlich wieder unabhängiger...