AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Fragen / Anregungen zur DP Bitte Passwort bei Registrierung nicht per EMail verschicken
Thema durchsuchen
Ansicht
Themen-Optionen

Bitte Passwort bei Registrierung nicht per EMail verschicken

Ein Thema von dp_bertel · begonnen am 21. Sep 2006 · letzter Beitrag vom 22. Sep 2006
Antwort Antwort
Seite 1 von 2  1 2      
dp_bertel

Registriert seit: 21. Sep 2006
4 Beiträge
 
#1

Bitte Passwort bei Registrierung nicht per EMail verschicken

  Alt 21. Sep 2006, 23:17
Ich hab mich grade registriert. In der Bestätigungs-E-Mail wurde mir mein Anmeldename und mein Passwort mitgeteilt. Gibt es dafür einen plausiblen Grund? Vielleicht bin ich etwas übervorsichtig, aber ich hab das Passwort gleich noch mal geändert.

Gruß,
Bertel
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#2

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 21. Sep 2006, 23:28
Das Passwort wird definitiv nur verschlüsselt in der Datenbank abgelegt.

Das phpBB (und die DP ist im Unterbau ja ein phpBB) schickt jedoch bei der Registrierung das Passwort vor der Verschlüsselung jedoch mit der Registrierungsmail raus.

Um ganz erhlich zu sein stört mich das am phpBB selber ein wenig, aber das ist halt nunmal so. Wenn man das weiss, dann kann man bei phpBB's ja ein Registrierungspasswort verwenden und das dann nach der Mail in sein 'normales' PW ändern.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
MrKnogge

Registriert seit: 9. Jun 2003
Ort: Pforzheim
2.458 Beiträge
 
Delphi 2007 Professional
 
#3

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 21. Sep 2006, 23:31
Was spricht dagegen ?

Ich habe beispielsweise bei so gut wie allen Seiten die ich häufig besuche AutoLogin aktiviert, wenn ich nun mein System neu aufsetze kenne ich die Passwörter die ich vor 6 Monaten oder mehr zugewiesen bekommen habe nicht mehr auswendig.

So brauch ich nur mein gesichertes Outlook durchwühlen und habe mein Passwort.
Christian Bootz
Einstein ist tot, Newton ist tot,
und mir ist auch schon ganz schlecht...
  Mit Zitat antworten Zitat
Benutzerbild von GuenterS
GuenterS

Registriert seit: 3. Mai 2004
Ort: Österreich > Bad Vöslau
760 Beiträge
 
Turbo Delphi für Win32
 
#4

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 21. Sep 2006, 23:52
Ich finde das auch recht praktisch und aus eben diesem Grund würde ich bitten dieses _nicht_ zu ändern oder vielleicht eine Auswahl anbieten, mit welcher man das Zusenden der Zugangsdaten abwählen kann.
Günter
Pünktlichkeit ist die Fähigkeit vorherzusagen um wieviel sich der Andere verspäten wird.
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#5

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 22. Sep 2006, 01:01
Nun, ein Problem tritt dann erst auf, wenn man sich in der E-Mail-Adresse geirrt hat, und die Mail zurueckbounct. Ich habs in meinen Foren aus dem Grund rausgeworfen. Ich geh mal davon aus dass man sich seine Foren-Passwoerter auch woanders aufschreiben koennte.

Das Passwort wird aber wie von Phoenix bestaetigt nur gehasht (nicht verschluesselt) in der Datenbank abgespeichert, ein Reversen des Passworts ist also nur fuer Leute mit Datenbankzugriff (= Daniel und iirc auch Gérome) moeglich, und dann auch nur mit grossem Aufwand (Rainbow-Tables). Ich glaub kaum dass die beiden ein solches Interesse an Passwoertern haben, dass sie so einen Aufwand auf sich nehmen

@all: warum sollte man das nicht aendern? Ihr habt ja eure Passwoerter schon, und falls ihr es vergesst gibts immer noch diesen kleinen aber feinen Link im Login-Formular

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Basilikum

Registriert seit: 9. Aug 2003
389 Beiträge
 
Delphi 7 Professional
 
#6

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 22. Sep 2006, 07:25
Zitat von MrKnogge:
Was spricht dagegen ?
würdest du den Pin deines Kontos auf eine Ansichtskarte geschrieben durch die Welt senden ?
e-Mails sind von der "Vertrauchlichkeit" her vergleichbar mit Ansichtskarten (wenn nicht noch schlechter, ausser man verschlüsselt sie, was aber in diesem Fall konzeptuell nicht sinnvoll möglich ist)...
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#7

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 22. Sep 2006, 07:36
Zitat von Basilikum:
würdest du den Pin deines Kontos auf eine Ansichtskarte geschrieben durch die Welt senden ?
Also sorry, aber das sind zwei völlig andere Dinge.
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#8

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 22. Sep 2006, 07:44
Zitat von Basilikum:
e-Mails sind von der "Vertrauchlichkeit" her vergleichbar mit Ansichtskarten
Der HTTP-Request an den Foren-Server wenn Du Dich anmeldest aber auch
Da die DP nicht https-Verschlüsselt geht auch bei jeder Anmeldung das Passwort im Klartext durchs Netz. Als ob das schonmal jemanden gestört hätte.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Steve9825679

Registriert seit: 21. Jun 2005
Ort: Gmunden
24 Beiträge
 
Delphi 2010 Professional
 
#9

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 22. Sep 2006, 07:54
Morgen!

Die LogIn-Daten per e.mail zu versenden, fällt eigentlich schon unter ein Sicherheitsleck. Ist ja schon angesprochen worden: e.mails werden im Klartext übertragen, und es dürfte nicht sonderlich schwer sein, sich diese z.B. über einen Proxy zu beschaffen. Allerdings stellt sich immer die Frage nach dem Kosten-Nutzen - was hat jemand davon, sich bei der DP unter einem fremden Account einzuloggen? Man kann höchstens ein paar Spaßpostings rauschicken...
Abgesehen davon werden bei jedem Anmelden die LogIn-Daten auch im Klartext im HTTP-Header gesendet, wenn kein HTTPS-Protokoll verwendet wird.

Viel gefährlicher sind da schon AutoLogins, vor allem, wenn man sie z.B. für Seiten zum Online-Banking verwendet. Hier werden die LogIn-Daten automatisch gesendet.
Diese Zugangsdaten werden im "Passwortsafe" auf der Festplatte gespeichert, und dort - weil sie ja wieder ausgelesen werden müssen - natürlich auch im Klartext (auch wenn im Passwortfeld ein ******* erscheint).
Findet dann jemand ein XSS-Problem in einer Webanwendung, kann er dich über einen präparierten Link auf die entsprechende LogIn-Seite lenken und per injiziertem Javascript und dem DOM deine LogIn-Daten abfangen.

Die Idee mit dem Passwort-sofort-ändern ist für Sicherheitsfanatiker ergo richtig, es kommt einem temporären Registrierungspasswort gleich, dass nur eine gewisse Zeitspanne gültig ist und man nach einem Klick auf den im e.mail verschickten Bestätigungslink sofort ändern muss.

LGs Steve

P.S.: Noch dümmer sind die Passwort-Erinnerungsfragen der Art "Was ist dein Lieblingshaustier", ... . Diese sind meist leichter zu beantworten als die richtigen Passwörter. Meistens reicht ein bisschen googlen... "Social Engeneering"
Man strahlt hier nicht in Wien,
denn bald strahlt es aus Temmelin
  Mit Zitat antworten Zitat
panzerfischer

Registriert seit: 18. Sep 2006
Ort: Ilmenau
33 Beiträge
 
#10

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 22. Sep 2006, 08:53
ich frage mich, was das passwort ändern bewirken soll, dann nach muss man sich doch mit dem neuen pw anmelden, das wiederum genau so ungesichert durchs netz saust (oder nicht).

die sicherheitsfrage, das ist ne sache die die welt nicht braucht, am sichersten ist es, wenn man eine total schwachsinnige antwort hinschreibt, wie zum beisiel die anfangsbuchstaben der wörter die in der frage stehen, um ein feld auf der tastatur versetzt, so kommt man auf die lösung, ohne das jemand die antwort im netz sucht (bzw findet)

(keine angst, ich habe keine sicherheitsabfragen, ich lasse mir lieber neue passwörter zusenden)


mfg
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:19 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz