AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Fragen / Anregungen zur DP Sicherheit bei der Anmeldung - Anregung zur DP
Thema durchsuchen
Ansicht
Themen-Optionen

Sicherheit bei der Anmeldung - Anregung zur DP

Ein Thema von Arty · begonnen am 1. Mai 2005 · letzter Beitrag vom 3. Mai 2005
Antwort Antwort
Seite 2 von 5     12 34     Letzte »    
Benutzerbild von Sharky
Sharky

Registriert seit: 29. Mai 2002
Ort: Frankfurt
8.252 Beiträge
 
Delphi 2006 Professional
 
#11

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 1. Mai 2005, 18:25
Zitat von Arty:
... Erzählt mir doch nicht, dass man da nicht mehr dran kann und deswegen ein neues verschicken muss.
Man kommt an das Passwort nicht ran. <- Punkt
Stephan B.
"Lasst den Gänsen ihre Füßchen"
  Mit Zitat antworten Zitat
Benutzerbild von Meflin
Meflin

Registriert seit: 21. Aug 2003
4.856 Beiträge
 
#12

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 1. Mai 2005, 18:26
Zitat von Arty:
Außerdem wie glaubt ihr wird der Ableich der Passwörter beim Login bewerkstelligt? Erzählt mir doch nicht, dass man da nicht mehr dran kann und deswegen ein neues verschicken muss.
wie schon gesagt, die passwörter werden nur gehasht abgespeichert. hast du den hash, hast du nichts. beim login wird der hash deiner eingabe gebildet und mit dem hash in der datenbank verglichen. ganz einfach.

  Mit Zitat antworten Zitat
Benutzerbild von Christian S.
Christian S.

Registriert seit: 19. Apr 2003
Ort: Düsseldorf
835 Beiträge
 
#13

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 1. Mai 2005, 18:26
Zitat von Arty:
Außerdem wie glaubt ihr wird der Ableich der Passwörter beim Login bewerkstelligt? Erzählt mir doch nicht, dass man da nicht mehr dran kann und deswegen ein neues verschicken muss.
Wenn man keine Ahnung hat, ...

Genauso ist es nämlich. Das Passwort wird nicht in der Datenbank gespeichert, sondern lediglich der MD5-Hash. Aus diesem kann man das Passwort nicht mehr rekonstruieren. Gibst Du nun ein Passwort ein, wird davon auch ein MD5-Hash erstellt und dieser mit dem gespeicherten Hash verglichen. Sind die Hashes gleich, stimmt das Passwort.

//edit: Hätte der mir nicht sagen müssen, dass schon so viele andere geantwortet haben?
Christian S.
Admin in der Entwickler-Ecke
  Mit Zitat antworten Zitat
Benutzerbild von mschaefer
mschaefer

Registriert seit: 4. Feb 2003
Ort: Hannover
2.032 Beiträge
 
Delphi 12 Athens
 
#14

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 1. Mai 2005, 19:38
Moin,

letzlich ist das Sache der Admins und des Chefs, denn da stehen auch rechtlichen Konsequenzen hinter. Jeder Nutzer ist über seine EMail erreichbar.

1#
Bei Freeemaildiensten kann es schon mal dazu kommen, dass eine Emailadresse mit zeitlichem Abstand zweimal vergeben wird, da eine vorhergehende freigeworden ist. Insofern ist das Prinzip Benutzername und Email konsequent.

2#
Bei zwei Accounts pro einer Email hilft die Email nicht weiter. Bin mir aber nicht sicher ob das vorkommt, denn eigentlich macht das wenig Sinn (Naja wenn Junghaie ins DP-Wasser gelassen werden dann kann es schon mal passieren das eine Parentalemail verwendung findet, aber das ist Theorie).

Also man könnte sich ja mal die Nutzer anschauen und vielleicht hilft das bei der Erinnerung. Oder ein Blick auf die alten Benachrichtigungsemails hilft auch (auf dem HD-Backup vielleicht).

Fazit: Find es ok, wie es ist.

Grüße // Martin
Martin Schaefer
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#15

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 06:43
Zitat:
Es gibt ja irgendwo eine DB (Datenbank), die speichert deine e-mail Adresse, es sollte kein Problem sein das Passwort und Benutzername zu verschicken, wie es übrigens sehr viele Internetseiten praktizieren.

ich hoffe das die DP dies NICHT so handhabt, ansonsten bin ich weg hier und lösche meinen Account.

Diese Datenbank sollte meinen Benutzernamen, einen MD5 Hash meines Passwortes und allerhöchstens noch meine EMail speichern.

Hat man ein Passwort vergessen so muß das PHP Script folgendes machen:

1.) Benutznamen abfragen und in DB nachschlagen
2.) neues Zufallspasswort erzeugen und als MD5 Prüfsumme in diese DB eintragen
3.) dieses Zufallspasswort an die eingetragene EMail Addresse versenden, nicht irgendeine im Script abgefragte EMail
4.) unter diesem Passwort darf man sich nicht real in der DP einloggen können, sondern nur eine Seite bekommen in der man dieses Passwort ändern muss

Nur so und nicht anders darf es funktionieren. Ich habe nämlich keinen Bock darauf das durch irgendeine andere Lösung die DP meine Passwörter an alle möglichen Hacker verteilt der mein sichtbaren Benutzernamen kennt.

Noch besser wäre es wenn man bei der Anmeldung ein zusätzliches Codewort eintragen muß. Dieses wird dann beim Versenden der neuen Passwörter ebenfalls abgefragt.
Desweiteren wäre es nochmals sicherer wenn in der Datanbank neben dem MD5 Hash noch ein Zufallssalt gespeichert wäre. Bei jedem Login muß dann auf Clientseite dieser Salt bei Server abgefragt werden und dann dieser Salt + Passwort in eine MD5 Prüfsumme umgerechnet werden. Dies verhindert das Hacken der Passwörter falls die DP mal hijackt wird.

Arty, was du also möchtest reduziert die Sicherheit aller Benutzerpasswört auf NULL.

Gruß Hagen
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.640 Beiträge
 
#16

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 07:12
Ich finde es übrigens schon schlimm genug, das bei einer Neuanmeldung das Passwort einmalig im Klartext per eMail verschickt wird! (Ist zumindest beim Standard-phpBB der Fall, ich hoffe das habt ihr in der DP schon rausgenommen?).

Wer mein Passwort da alles mitlesen könnte... *schauder*
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Benutzerbild von FriFra
FriFra

Registriert seit: 19. Apr 2003
1.291 Beiträge
 
Delphi 2005 Professional
 
#17

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 07:32
Zitat von negaH:
Arty, was du also möchtest reduziert die Sicherheit aller Benutzerpasswört auf NULL.
NULL ist hier höchstens daß, was Du von der Frage verstanden hast ...
Es wäre KEIN Sicherheitsrisiko, wenn man bei einer erneuten Passwortanforderung anstelle des Benutzernamens die registrierte e-Mail angeben könnte. Alle Benutzernamen sind im Mitgliederverzeichnis offen einzusehen, die Mailadressen NICHT, wo ist also die potentielle Sicherheitslücke?
"Schlimmstenfalls" bekommst Du vielleicht unaufgefordert ein neues Passwort verpasst... Wobei das mit dem Benutzernamen (s.o.) deutlich leichter wäre

Ich habe auch in ein paar Foren andere bzw. leicht abgewandelte Benutzernamen, weil man eben nicht davon ausgehen kann immer "seinen" Namen zu bekommen. Cookie sei Dank war ich bisher nicht in der Situation den einen oder anderen Namen erraten zu müssen, aber wenn der mal weg ist, was dann?
Elektronische Bauelemente funktionieren mit Rauch. Kommt der Rauch raus, geht das Bauteil nicht mehr.
  Mit Zitat antworten Zitat
Sharkylinchen
(Gast)

n/a Beiträge
 
#18

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 07:47
*blubb*

Ich habe das eben mit meinem Account mal versucht.
Wenn ich mein Passwort vergessen habe muss ich meinen Benutzernamen und meine hinterlegte eMail-Adresse angeben.
Wenn beides übereinstimmt wird ein neues Passwort erzeugt, als MD5-Hash in der DB gespeichert und das Passwort wird an meine eMail Adresse gesendet. Bis ich dann auf den in der eMail vorhandenen Link klicke ist mein Account deaktiviert.

Zur Zeit ist es aber noch so das ich das mir gesendete Passwort nicht ändern muss. Ich frage Papa mal ob er mit Gérome spricht um dies zu ändern.
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#19

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 08:13
@Sharkylinchen: das mit dem aendern muessen finde ich eine gute Idee, und sag dem Franzosen gleich, dass er bei der Registrierung das Passwort nicht mitschicken soll

@Hagen: Es wird ein Aktivierungscode verlangt, der in der eMail ist. Bei der Registrierung wird der Code generiert, in der DB gespeichert und der Benutzer deaktiviert. In der eMail erhaelst du nun den Link zum Account-Aktivieren. Es waere ein leichtes diesen Code in 2 Haelften zu teilen: eine davon wird auf dem Bildschirm ausgegeben, die zweite landet in der eMail. Anstatt auf den fertigen Link zu klicken, muss man fuer die Aktivierung beide Teile eingeben. Das waer schon mal etwas.

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#20

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 08:30
Zitat:
NULL ist hier höchstens daß, was Du von der Frage verstanden hast ...
Es wäre KEIN Sicherheitsrisiko, wenn man bei einer erneuten Passwortanforderung anstelle des Benutzernamens die registrierte e-Mail angeben könnte. Alle Benutzernamen sind im Mitgliederverzeichnis offen einzusehen, die Mailadressen NICHT, wo ist also die potentielle Sicherheitslücke?
na danke auch. Versuche doch mal meine EMail Adresse rauszubekommen. Ich wette es dürfte eine einfache Suche hier in der DP nach meinem Namen ausreichen und schon solltest du meine derzeitge EMail Adresse finden können. Davon mal abgesehen ist es heute üblich seine EMail Adresse nicht zu verstecken.

So wie es jetzt ist, ist es genau richtig, alcaeus Vorschlag wäre eine sinnvolle Erweiterung.
Es geht bei der ganzen Sache primär nicht um den Schutz der Delphi Praxis Seite oder um die Sicherung der Authentizität der Posting der User hier im Forum, das ist erstmal alles sekundär.

Am wichtigsten ist der Schutz des Benutzers selber. Denn so wie ich werden viele Internet Benutzer für ihre Foren immer das gleiche Passwort benutzen. Es gibt drei Arten von Passwortbenutzern:

1.) ein einzigstes sehr langes und kompliziertes Passwort für alle Foren die der Benutzer besucht
2.) viele sehr kurze Passwörter für jedes Forum ein anderes, meistens mit Bezug auf das Forum selber
3.) viele sehr lange Passwörter für jedes Login ein anders

Usergruppe 3.) dürfte wohl am wenigsten vorkommen, schätze mal 1 User im gesammten WEB.
Die meisten Benutzer sind eine Kombination aus 1.) und 2.), sprich immer das gleiche und maximal 4 Buchstaben lange Passwort, selbst für den Account der eigenen Bank und für eBay.

Ergo: um so wichtiger wird, wenn schon die Benutzer so schluderig sind, die Verantwortung der Forenbetreiber im Umgang mit den Login Daten der Benutzer.

Gruß Hagen
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 5     12 34     Letzte »    


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:25 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz