Zum Inhalt springen

Datensicherheit (nicht Schutz) im Netz


Rana

Empfohlene Beiträge

Der Aufwand besteht nicht darin, Passwörter abzufragen, sondern sie auf Richtigkeit zu prüfen. Die naive Lösung dafür, wäre sie in einer Datenbank zu speichern und dann jedesmal einen Vergleich zwischen Benutzereingabe und gespeichertem Wert durchzuführen.

Eine solche Speicherung von Passwörtern wäre aber eine sicherheitstechnische Todsünde.

Kundennummern kannst du dagegen schon speichern (musst du sogar).

 

Und was unterscheidet die Kundennummer in diesem Fall von einem Passwort?

Richtig: Nichts

Link zu diesem Kommentar

Der Aufwand besteht nicht darin, Passwörter abzufragen, sondern sie auf Richtigkeit zu prüfen. Die naive Lösung dafür, wäre sie in einer Datenbank zu speichern und dann jedesmal einen Vergleich zwischen Benutzereingabe und gespeichertem Wert durchzuführen.

Eine solche Speicherung von Passwörtern wäre aber eine sicherheitstechnische Todsünde.

Kundennummern kannst du dagegen schon speichern (musst du sogar).

 

Und was unterscheidet die Kundennummer in diesem Fall von einem Passwort?

Richtig: Nichts

Falsch.

Viele Leute betreiben eine Mehrfachverwendung von Passwörtern (was bei Kundennummern offensichtlich nicht geht). Wenn also jemand in Elsas Datenbank einbricht und dort mein Passwort für die Midgard-Seite stehlen kann, dann hat er potenziell auch mein Passwort für viele andere Dienste.

Daher sind Passwörter viel schützenswerter als Kundennummern.

Link zu diesem Kommentar

Der Aufwand besteht nicht darin, Passwörter abzufragen, sondern sie auf Richtigkeit zu prüfen. Die naive Lösung dafür, wäre sie in einer Datenbank zu speichern und dann jedesmal einen Vergleich zwischen Benutzereingabe und gespeichertem Wert durchzuführen.

Eine solche Speicherung von Passwörtern wäre aber eine sicherheitstechnische Todsünde.

Kundennummern kannst du dagegen schon speichern (musst du sogar).

 

Und was unterscheidet die Kundennummer in diesem Fall von einem Passwort?

Richtig: Nichts

Falsch.

Viele Leute betreiben eine Mehrfachverwendung von Passwörtern (was bei Kundennummern offensichtlich nicht geht). Wenn also jemand in Elsas Datenbank einbricht und dort mein Passwort für die Midgard-Seite stehlen kann, dann hat er potenziell auch mein Passwort für viele andere Dienste.

Daher sind Passwörter viel schützenswerter als Kundennummern.

 

Selbst schuld kann man da nur sagen...

Link zu diesem Kommentar

Der Aufwand besteht nicht darin, Passwörter abzufragen, sondern sie auf Richtigkeit zu prüfen. Die naive Lösung dafür, wäre sie in einer Datenbank zu speichern und dann jedesmal einen Vergleich zwischen Benutzereingabe und gespeichertem Wert durchzuführen.

Eine solche Speicherung von Passwörtern wäre aber eine sicherheitstechnische Todsünde.

Kundennummern kannst du dagegen schon speichern (musst du sogar).

 

Und was unterscheidet die Kundennummer in diesem Fall von einem Passwort?

Richtig: Nichts

Falsch.

Viele Leute betreiben eine Mehrfachverwendung von Passwörtern (was bei Kundennummern offensichtlich nicht geht). Wenn also jemand in Elsas Datenbank einbricht und dort mein Passwort für die Midgard-Seite stehlen kann, dann hat er potenziell auch mein Passwort für viele andere Dienste.

Daher sind Passwörter viel schützenswerter als Kundennummern.

 

Selbst schuld kann man da nur sagen...

Das magst du so sehen, ist aber eine Mindermeinung. Siehe z.B. dieser Bericht.

Link zu diesem Kommentar

Das magst du so sehen, ist aber eine Mindermeinung. Siehe z.B. dieser Bericht.

 

1.

Wer beim Online-Banking das gleiche Password benutzt wie beim Midgard-Gildenbrief-Abo ist in meinen Augen selbst schuld.

 

2. Habe ich nie gesagt, dass man Passwörter unverschlüsselt speichern sollte. Das sollten personenbezogene Daten sowieso nicht. Auch keine Kundennummern.

 

3. Es ist nicht weiter schwer Daten verschlüsselt zu speichern. Es bedeutet auch keinen Riesenaufwand.

 

4. Wie bereits geschrieben, bin ich mit der momentanen Lösung zumindest oberflächlich zufrieden. Wie es im Hintergrund aussieht weiß ich nicht.

Link zu diesem Kommentar

Das magst du so sehen, ist aber eine Mindermeinung. Siehe z.B. dieser Bericht.

 

1.

Wer beim Online-Banking das gleiche Password benutzt wie beim Midgard-Gildenbrief-Abo ist in meinen Augen selbst schuld.

 

2. Habe ich nie gesagt, dass man Passwörter unverschlüsselt speichern sollte. Das sollten personenbezogene Daten sowieso nicht. Auch keine Kundennummern.

 

3. Es ist nicht weiter schwer Daten verschlüsselt zu speichern. Es bedeutet auch keinen Riesenaufwand.

 

4. Wie bereits geschrieben, bin ich mit der momentanen Lösung zumindest oberflächlich zufrieden. Wie es im Hintergrund aussieht weiß ich nicht.

Ich bin sicher kein Experte für Computer-Security, aber du scheinst mir noch weniger von der Sache zu verstehen als ich.

Passwörter werden üblicherweise so verschlüsselt, dass eine Entschlüsselung nicht mehr möglich ist. Mit anderen Worten: Eine seriöse Website kann dir dein bei ihr vergebenes Passwort nicht schicken, da sie es selbst nicht mehr ermitteln kann.

Kundennummern werden offenbar nicht so verschlüsselt, sonst könnten sie nicht auf deiner Abrechnung stehen.

Übrigens reicht Verschlüsseln nicht aus, man muss auch noch 'Salzen'.

 

Und der von mir verlinkte Artikel und das Beispiel am Anfang dieses Stranges zeigen, dass auch andere schon an dieser Aufgabe gescheitert sind und sich damit öffentlicher Kritik ausgesetzt haben.

Es ist also durchaus nachvollziehbar, wenn Elsa sich dem nicht aussetzen will.

Wobei es natürlich pure Spekulation ist, ob solche Gedankengänge für Elsa eine Rolle gespielt haben.

Vielleicht betreibt sie ihr Webangebot auch auf einer Plattform, die ihr hier ein Rundumsorglos-Paket zur Verfügung stellt.

Link zu diesem Kommentar

Ich bin sicher kein Experte für Computer-Security, aber du scheinst mir noch weniger von der Sache zu verstehen als ich.

Passwörter werden üblicherweise so verschlüsselt, dass eine Entschlüsselung nicht mehr möglich ist. Mit anderen Worten: Eine seriöse Website kann dir dein bei ihr vergebenes Passwort nicht schicken, da sie es selbst nicht mehr ermitteln kann.

Kundennummern werden offenbar nicht so verschlüsselt, sonst könnten sie nicht auf deiner Abrechnung stehen.

Übrigens reicht Verschlüsseln nicht aus, man muss auch noch 'Salzen'.

 

Und der von mir verlinkte Artikel und das Beispiel am Anfang dieses Stranges zeigen, dass auch andere schon an dieser Aufgabe gescheitert sind und sich damit öffentlicher Kritik ausgesetzt haben.

Es ist also durchaus nachvollziehbar, wenn Elsa sich dem nicht aussetzen will.

Wobei es natürlich pure Spekulation ist, ob solche Gedankengänge für Elsa eine Rolle gespielt haben.

Vielleicht betreibt sie ihr Webangebot auch auf einer Plattform, die ihr hier ein Rundumsorglos-Paket zur Verfügung stellt.

 

In dem verlinkten Artikel ist keiner gescheitert. Die Passwörter waren unverschlüsselt gespeichert. Das heißt es hat niemand versucht ein Stück sicherheit einzubauen.

 

Ich bin jetzt auch kein Sicherheitsesperte, aber ich sag es gerne nochmal:

 

Das verschlüsseln eines Passworts ist kein Akt. Da gibt es fertige Funktionen die man nutzen kann. MD5 / SHA, etc...

Man muss überhaupt nicht salzen. Es erhöht die Sicherung. Dazu wird das Password mit einem Zufallsstring erweitert. Auch kein großes Ding.

Wenn man also einige Dinge beachtet ist etwas Sicherheit nicht schwer.

 

Elsa selbst kann das sicher nicht machen, aber die Firma, die für die Webseite verantwortlich ist sollte dazu in der Lage sein.

 

Hier ist übrigens ein schönes Beispiel dafür:

 

http://blubberbart.blogspot.de/2011/03/passworter-hashen-salzen-speichern.html

Bearbeitet von draco2111
Link zu diesem Kommentar

Ich bin sicher kein Experte für Computer-Security, aber du scheinst mir noch weniger von der Sache zu verstehen als ich.

Passwörter werden üblicherweise so verschlüsselt, dass eine Entschlüsselung nicht mehr möglich ist. Mit anderen Worten: Eine seriöse Website kann dir dein bei ihr vergebenes Passwort nicht schicken, da sie es selbst nicht mehr ermitteln kann.

Kundennummern werden offenbar nicht so verschlüsselt, sonst könnten sie nicht auf deiner Abrechnung stehen.

Übrigens reicht Verschlüsseln nicht aus, man muss auch noch 'Salzen'.

 

Und der von mir verlinkte Artikel und das Beispiel am Anfang dieses Stranges zeigen, dass auch andere schon an dieser Aufgabe gescheitert sind und sich damit öffentlicher Kritik ausgesetzt haben.

Es ist also durchaus nachvollziehbar, wenn Elsa sich dem nicht aussetzen will.

Wobei es natürlich pure Spekulation ist, ob solche Gedankengänge für Elsa eine Rolle gespielt haben.

Vielleicht betreibt sie ihr Webangebot auch auf einer Plattform, die ihr hier ein Rundumsorglos-Paket zur Verfügung stellt.

 

In dem verlinkten Artikel ist keiner gescheitert. Die Passwörter waren unverschlüsselt gespeichert. Das heißt es hat niemand versucht ein Stück sicherheit einzubauen.

 

Ich bin jetzt auch kein Sicherheitsesperte, aber ich sag es gerne nochmal:

 

Das verschlüsseln eines Passworts ist kein Akt. Da gibt es fertige Funktionen die man nutzen kann. MD5 / SHA, etc...

Man muss überhaupt nicht salzen. Es erhöht die Sicherung. Dazu wird das Password mit einem Zufallsstring erweitert. Auch kein großes Ding.

Wenn man also einige Dinge beachtet ist etwas Sicherheit nicht schwer.

 

Elsa selbst kann das sicher nicht machen, aber die Firma, die für die Webseite verantwortlich ist sollte dazu in der Lage sein.

 

Hier ist übrigens ein schönes Beispiel dafür:

 

http://blubberbart.blogspot.de/2011/03/passworter-hashen-salzen-speichern.html

Der Begriff 'etwas Sicherheit' dürfte jeden Fachmann für Computersicherheit erschauern lassen.

 

Der von dir verlinkte Artikel entspricht auch meinem Wissensstand. Aber wer weiß, ob es nicht inzwischen schon wieder einen neueren Stand der Technik gibt?

Auf die Sache mit dem Salzen muss man ja auch erst mal kommen (und ob man Salzen muss hängt von der Bedeutung des Wortes 'muss' ab, es ist jedenfalls heute Stand der Technik).

Rewe hat sich auch darauf verlassen, dass sein Dienstleister die Passwörter sachgerecht behandelt. Und später durfte der Pressesprecher von Rewe sich dann um Schadensbegrenzung bemühen.

Man kann es drehen und wenden wie man will. Wer Passwörter vergibt, muss sich automatisch mit Sicherheitsfragen beschäftigen, die ihm sonst egal sein können.

Wenn er die Fragen an Dritte weiterdeligiert, muss er sich eben mit der Frage beschäftigen, ob der Dritte wohl sachgerecht mit diesen Fragen umgehen wird.

 

Das sind alles natürlich keine unüberwindbaren Hürden. Das Forum verwaltet ja auch Passwörter.

Aber warum soll man sich das ohne Not aufhalsen?

Link zu diesem Kommentar

 

Typischer Post, der zeigt, wie absolut unreif die gesamte Netzgemeinde ist. Ich denke, wir wissen alle, was Angie damit meinte. Das Themen Rechtssicherheit bei Datenschutz, Datensicherheit, Urheberrecht, Markenschutz, Fernabsatz sind zumeist nicht einmal höchstrichterlich geklärt, es gibt selbst zwischen den Hightechländern keinen einheitlichen Konsens was die Rechtslage oder Begrifflichkeiten angeht. Und, auch das ist Fakt, das Gros der Menschen in Deutschland kann mit dem Begriff Web 2.0 und ihren Werkzeugen nichts anfangen.

 

Und ja, das Netz, zumindest das, was heute darunter verstanden wird, ist Neuland. Facebook, Twitter, soziale Netzwerke. Wie lang sind denn das Massenphänomene? Ich gehöre zu denen, die noch Ende der 80er mit einem Akustikkoppler versucht hat, Verbindungen zu Kumpels herzustellen. Jetzt dürfen alle Netz-nicht-Neuland-Nerds mal googlen, was ein Akustikkoppler ist. Dennoch empfinde ich das Internet, obwohl ich zu den Powernutzern gehöre, jeden Tag wieer als Neuland, denn es gibt so viele Ecken wie auch Verfahren, die ich neu entdecken und erlernen muß.

Link zu diesem Kommentar

@Metti: Inhaltlich sehe ich es ähnlich, aber in der Darstellung ist Merkel da sehr ungeschickt (wie viele andere Politiker auch). Die von Dir genannten offenen Punkte müssen angegangen werden, da hilft kein schweigen. Also dürfte die erste Partei, die dieses Thema konstruktiv angeht, einen Vorsprung gegenüber den anderen haben.

Link zu diesem Kommentar
  • 3 Jahre später...
  • 4 Monate später...

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...