it-swarm.com.de

Die Registrierungsbestätigungs-E-Mail enthält mein Passwort: Bewahren sie es im Klartext auf?

Ich war ein bisschen schockiert, als ich gerade meine Bestätigungsmail von dem Shop erhielt, in dem ich mich gerade registriert habe: Sie haben meinen Benutzernamen (das ist meine E-Mail-Adresse) und das von mir eingegebene Passwort gesendet. Das Passwort wurde nicht teilweise durch * s oder ähnliches ersetzt ;; Es war das nackte, leere Passwort, das ich ausgewählt hatte.

Dies bedeutet, dass Personen, die die vom Shop gesendeten E-Mails abrufen können, theoretisch meine Anmeldedaten sehen können, nicht wahr? Ich glaube, dies ist das erste Mal, dass ich eine Bestätigung mit meinen vollständigen Anmeldeinformationen erhalte. Das scheint also wirklich seltsam und betrifft mich irgendwie. Sollte es?

Aufgrund der Tatsache, dass ich mein Passwort per E-Mail erhalten habe, vermute ich, dass der Shop mein Passwort nicht verschlüsselt. Ist das eine gültige Schlussfolgerung?

27
Alex

Das Senden des Kennworts im Klartext bedeutet nicht unbedingt, dass die Datenbank es im Klartext speichert, insbesondere wenn sie Ihnen die E-Mail vor dem Verschlüsseln und Speichern des Kennworts gesendet haben. Wenn Sie jedoch später nach dem Kennwort fragen (z. B. "Passwort vergessen" -Mechanismus) und es Ihnen auf diese Weise gesendet wird, bedeutet dies, dass sie entweder im Klartext gespeichert werden oder eine leicht umkehrbare Verschlüsselung verwenden. In beiden Fällen gibt es Grund zur Sorge, es sei denn, sie senden nur Sie das Passwort bei der Registrierung und bevor es in verschlüsseltem Format auf ihrem Server speichern.

Bestimmtes:

  • Wenn sie einen Link "Passwort vergessen" haben, der Ihnen das zuvor eingerichtete Passwort sendet, besteht Grund zur Sorge: Sie speichern das Passwort im Klartext oder verwenden eine umkehrbare Verschlüsselung.

  • Wenn sie Ihnen ein neu Passwort senden, bedeutet dies nicht unbedingt, dass sie das Passwort im Klartext speichern oder eine reversible Verschlüsselung verwenden. In diesem Fall verfügen Sie nicht über genügend Informationen, um festzustellen, ob Anlass zur Sorge besteht.

Ein weiteres Problem ist, dass E-Mails in keinem Fall ein sicheres Medium zum Senden von Passwörtern sind. Selbst wenn sie das Passwort nicht im Klartext speichern, wenn sie es Ihnen per E-Mail im Klartext senden, ist dies ein gewisses Risiko.

laut Klartext-Täter :

Man-in-the-Middle-Angriffe lassen sich leicht zwischen dem Server ausführen und das Kommunikationsprotokoll an sich ist nicht verschlüsselt.

44

Geschäfte sollten keine Passwörter per E-Mail senden. Einer der Gründe ist eine Antwort auf eine der Fragen:

Ja, Leute, die die E-Mails überprüfen können, die ihr Shop sendet, könnten theoretisch [immer noch ja, wenn Sie dieses Wort weglassen] siehe meine Anmeldedaten .

Man-in-the-Middle-Angriffe könnten auch erfolgreich sein, wenn der Shop httpS verwendet, aber http genauso gut akzeptiert, siehe Bankrat in den Niederlanden .

4
Dick99999

Nur weil sie Ihnen ein Nur-Text-Passwort gesendet haben, heißt das nicht, dass sie beim Speichern Ihres Passworts keine Kryptografie verwenden.

Erstens gibt es in der Kryptographie Hashes und Verschlüsselung. Sie sollten Ihr Passwort weder verschlüsseln noch im Klartext speichern. Sie sollten es hashen.

Verschlüsselungsfunktion: Eine Zwei-Wege-Funktion, die Daten auf eine Weise transformiert, die ohne Kenntnis des Entschlüsselungsschlüssels schwierig/nahezu unmöglich umzukehren ist (ich werde Sie nicht über Schlüsseltypen langweilen).

Hash-Funktion: Eine Ein-Funktion, die Daten in eine eindeutige Signatur umwandelt, mit der es scheinbar unmöglich ist, fast alles über die Originaldaten (Länge, eingegebener Text usw.) zu bestimmen. Hashes können nicht rückgängig gemacht werden und können nur durch Brute-Forcing/Rainbow-Tisch entdeckt werden. Brute-Forcing ist selbst mit enormen Rechenleistungen nicht realisierbar. Regenbogentabellen können vereitelt werden, wenn die Website beim Generieren ihres Hashs das verwendet, was wir als "Salz" bezeichnen.

Die Website sollte Ihr Passwort also nicht einmal verschlüsselt speichern, aber sie sollte es auf keinen Fall im Klartext speichern.

Was hier passieren könnte, ist jedoch einfach. Wenn Sie sich registrieren, wird das aufgerufene Skript möglicherweise automatisch Ihr Kennwort hashen, den Hash zur Datenbank hinzufügen und innerhalb derselben Instanz die E-Mail mit der Funktion mail() von PHP versenden. Bei Verwendung dieser Funktion wird das Klartextkennwort niemals in einem Ordner "Gesendete E-Mails" gespeichert, da die Funktion mail() keine festgelegte E-Mail zum Senden verwendet.

Das Senden des Passworts im Klartext per E-Mail an den Benutzer ist immer noch sehr unsicher. Dies bedeutet jedoch nicht unbedingt, dass er es nicht sicher an seinem Ende speichert.

verkürzte Version:

Ich weiß, dass das langwierig und technisch war, aber die kurze Version ist, dass sie bei der Registrierung möglicherweise Klartext per E-Mail senden, ihn dann aber unwiederbringlich sicher speichern. Es ist immer noch eine Sicherheitslücke, aber wenn sie dies tun, ist es kein so großes Problem. Nur weil sie es als E-Mail senden, bedeutet dies nicht unbedingt, dass es in einem Ordner "Gesendete E-Mail" gespeichert ist.

4
Spencer D

Ok - viele gute Antworten hier auf Klartext-Passwörter, Hashs und Speicher ...

Das überzeugendste Anliegen ist jedoch:

E-Mail ist normalerweise keine sichere Methode zur Datenübertragung. Es ist wahrscheinlich ungefähr so ​​sicher, wie wenn Sie eine Nachricht über die Straße rufen, wo jemand sie hört und in der Richtung wiederholt, die Sie als Zieladresse angegeben haben ...

Egal wie sicher ihr Server ist, mit E-Mail haben Sie normalerweise keine Verschlüsselung beim Senden und in vielen Fällen keine Authentifizierung. Es gibt also eine Menge Leute in der Mitte, die angreifen, um den Inhalt dieser E-Mail zu erhalten, die höchstwahrscheinlich von verschiedenen Viren-/Spam-Scannern, Werbeanalysen und wer weiß, welche Tools auf ihrem Weg gespeichert und analysiert werden ... Der Inhalt der E-Mail, einschließlich Ihres Klartext-Passworts, könnte auf unzähligen Computern eines Spam-Scan- oder Text-Index-Cloud-Netzwerks herumfliegen ...

2
Falco