Ich hab mich grade registriert. In der Bestätigungs-E-Mail wurde mir mein Anmeldename und mein Passwort mitgeteilt. Gibt es dafür einen plausiblen Grund? Vielleicht bin ich etwas übervorsichtig, aber ich hab das Passwort gleich noch mal geändert.

Gruß,
Bertel

Das Passwort wird definitiv nur verschlüsselt in der Datenbank abgelegt.

Das phpBB (und die DP ist im Unterbau ja ein phpBB) schickt jedoch bei der Registrierung das Passwort vor der Verschlüsselung jedoch mit der Registrierungsmail raus.

Um ganz erhlich zu sein stört mich das am phpBB selber ein wenig, aber das ist halt nunmal so. Wenn man das weiss, dann kann man bei phpBB's ja ein Registrierungspasswort verwenden und das dann nach der Mail in sein 'normales' PW ändern.

Was spricht dagegen ?

Ich habe beispielsweise bei so gut wie allen Seiten die ich häufig besuche AutoLogin aktiviert, wenn ich nun mein System neu aufsetze kenne ich die Passwörter die ich vor 6 Monaten oder mehr zugewiesen bekommen habe nicht mehr auswendig.

So brauch ich nur mein gesichertes Outlook durchwühlen und habe mein Passwort.

Ich finde das auch recht praktisch und aus eben diesem Grund würde ich bitten dieses _nicht_ zu ändern oder vielleicht eine Auswahl anbieten, mit welcher man das Zusenden der Zugangsdaten abwählen kann.

Nun, ein Problem tritt dann erst auf, wenn man sich in der E-Mail-Adresse geirrt hat, und die Mail zurueckbounct. Ich habs in meinen Foren aus dem Grund rausgeworfen. Ich geh mal davon aus dass man sich seine Foren-Passwoerter auch woanders aufschreiben koennte.

Das Passwort wird aber wie von Phoenix bestaetigt nur gehasht (nicht verschluesselt) in der Datenbank abgespeichert, ein Reversen des Passworts ist also nur fuer Leute mit Datenbankzugriff (= Daniel und iirc auch Gérome) moeglich, und dann auch nur mit grossem Aufwand (Rainbow-Tables). Ich glaub kaum dass die beiden ein solches Interesse an Passwoertern haben, dass sie so einen Aufwand auf sich nehmen

@all: warum sollte man das nicht aendern? Ihr habt ja eure Passwoerter schon, und falls ihr es vergesst gibts immer noch diesen kleinen aber feinen Link im Login-Formular

Greetz
alcaeus

würdest du den Pin deines Kontos auf eine Ansichtskarte geschrieben durch die Welt senden ?
e-Mails sind von der "Vertrauchlichkeit" her vergleichbar mit Ansichtskarten (wenn nicht noch schlechter, ausser man verschlüsselt sie, was aber in diesem Fall konzeptuell nicht sinnvoll möglich ist)...

Also sorry, aber das sind zwei völlig andere Dinge.

Der HTTP-Request an den Foren-Server wenn Du Dich anmeldest aber auch
Da die DP nicht https-Verschlüsselt geht auch bei jeder Anmeldung das Passwort im Klartext durchs Netz. Als ob das schonmal jemanden gestört hätte.

Morgen!

Die LogIn-Daten per e.mail zu versenden, fällt eigentlich schon unter ein Sicherheitsleck. Ist ja schon angesprochen worden: e.mails werden im Klartext übertragen, und es dürfte nicht sonderlich schwer sein, sich diese z.B. über einen Proxy zu beschaffen. Allerdings stellt sich immer die Frage nach dem Kosten-Nutzen - was hat jemand davon, sich bei der DP unter einem fremden Account einzuloggen? Man kann höchstens ein paar Spaßpostings rauschicken...
Abgesehen davon werden bei jedem Anmelden die LogIn-Daten auch im Klartext im HTTP-Header gesendet, wenn kein HTTPS-Protokoll verwendet wird.

Viel gefährlicher sind da schon AutoLogins, vor allem, wenn man sie z.B. für Seiten zum Online-Banking verwendet. Hier werden die LogIn-Daten automatisch gesendet.
Diese Zugangsdaten werden im "Passwortsafe" auf der Festplatte gespeichert, und dort - weil sie ja wieder ausgelesen werden müssen - natürlich auch im Klartext (auch wenn im Passwortfeld ein ******* erscheint).
Findet dann jemand ein XSS-Problem in einer Webanwendung, kann er dich über einen präparierten Link auf die entsprechende LogIn-Seite lenken und per injiziertem Javascript und dem DOM deine LogIn-Daten abfangen.

Die Idee mit dem Passwort-sofort-ändern ist für Sicherheitsfanatiker ergo richtig, es kommt einem temporären Registrierungspasswort gleich, dass nur eine gewisse Zeitspanne gültig ist und man nach einem Klick auf den im e.mail verschickten Bestätigungslink sofort ändern muss.

LGs Steve

P.S.: Noch dümmer sind die Passwort-Erinnerungsfragen der Art "Was ist dein Lieblingshaustier", ... . Diese sind meist leichter zu beantworten als die richtigen Passwörter. Meistens reicht ein bisschen googlen... "Social Engeneering"

ich frage mich, was das passwort ändern bewirken soll, dann nach muss man sich doch mit dem neuen pw anmelden, das wiederum genau so ungesichert durchs netz saust (oder nicht).

die sicherheitsfrage, das ist ne sache die die welt nicht braucht, am sichersten ist es, wenn man eine total schwachsinnige antwort hinschreibt, wie zum beisiel die anfangsbuchstaben der wörter die in der frage stehen, um ein feld auf der tastatur versetzt, so kommt man auf die lösung, ohne das jemand die antwort im netz sucht (bzw findet)

(keine angst, ich habe keine sicherheitsabfragen, ich lasse mir lieber neue passwörter zusenden)


mfg