Checkt eure Passwörter!

[mrx1983]

(02.09.2016)rainbowdash28 schrieb:  Ach speziell zu diesem Fall, offenbar betreibt eine gewisse Person ja ein Forum in dem er das Script/Server soweit manipuliert hat, dass er das Passwort ebenfalls als Klartext abspeichert/abrufen kann. Ich bin mir nicht ganz sicher, könnte mir aber gut vorstellen, dass dies eine Straftat wäre, aber dazu müsste man jemand befragen der sich in Deutschland mit den § auskennt und das nötige Know-How hat.

das abspeichern im klartext selbst würde ich erstmal nicht als straftat sehen.
ob man es als hash speichert od. im klartext da gibt es glaube ich keine regelung zu.
od. ob man sich das nochmal separat speichert.
man sollte als seitenbetreiber aber möglichst nur hash werte speichern.
was allerdings eine straftat ist, ist das passwort zu nehmen und sich hier dann einzulogen.
das wäre so als wenn sich jemand eine kopie eines schlüssels anfertigt und dann zugang zu fremden eigentum verschaft.
das sollte derjenige jetzt mal unterlassen.

Zitat:Jeder User hat bei mir in der AGB zusgestimmt, dass sie mir als Admin die vollen Ŕechte über ihre Mails/Passwörter geben, und mir erlauben sie auf anderen Seiten zu benutzen.

AGBs haben Einschränkungen.
Man kann nicht alles darein schreiben.
Und das gehört dazu.
Mit sowas muss man als User nicht rechnen, das der Admin sich mit den eigenen Zugangsdaten woanders einlogt.
AGB hin od. her aber sowas ist nicht wirksam.

[Crash Override]

Hab' das vorhin entdeckt, und gedacht, das es interessant sein könnte (es handelt sich dabei um ne art Online-Banking), da es zum Thema passt - auch wenn das hier nicht so brisant ist:

Spoiler (Öffnen)

- Wie lang muss das Passwort sein? Muss ich Sonderzeichen, Buchstaben und/oder Ziffern eingeben?

Das Passwort muss folgenden Anforderungen genügen:

• Das Passwort muss 6 bis 12 Zeichen lang sein.
• Es darf nur aus folgenden Zeichen bestehen: Buchstaben (A-Z, a-z), Ziffern (0-9) und den Sonderzeichen  ? ! $ & %  * _ = - + . , : ; / ( ) { } [ ] ~ @ #
• Groß- und Kleinschreibung wird bei jeder Abfrage überprüft.

-  Wie sollte ein Passwort sein, um als sicher zu gelten?

Wir empfehlen aus Sicherheitsgründen ein Passwort mit den folgenden Eigenschaften:
min. 8 Zeichen  ¦  min. 1 Zahl  ¦  min. 1 Buchstabe in Großschrift  ¦  min. 1 Buchstabe in Kleinschrift  ¦  min. 1 Sonderzeichen

- Aus welchen Zeichen muss die Sicherheitsfrage bzw. die Antwort bestehen? Kann ich Sonderzeichen, Buchstaben oder Ziffern eingeben?

Die Sicherheitsfrage muss folgenden Anforderungen genügen:

• Mindestens 5 Zeichen, maximal 255 Zeichen
• Sie darf aus folgenden Zeichen bestehen: Buchstaben (A-Z, a-z) inkl. Umlauten, Ziffern (0-9), Leerzeichen und den Sonderzeichen  ? ! $ % * _ = - + . , : ; / ( ) { } [ ] ~ @ #

Die Antwort muss folgenden Anforderungen genügen:

• Die Antwort muss 3 bis 12 Zeichen lang sein.
• Sie darf aus folgenden Zeichen bestehen: Buchstaben (A-Z, a-z), Ziffern (0-9) und den Sonderzeichen  ? ! $ % * _ = - + . , : ; / ( ) { } [ ] ~ @ #
• Groß- und Kleinschreibung wird nicht überprüft.

[Scootadash]

Wenn man die Begrenzung auf 12 Zeichen, die die da haben weglässt, kann man aber auch ohne Sonderzeichen ein sehr sicheres Passwort bauen.

[Purple Star]

meine passwörter kann der so oder so nicht knacken
hab alle passwörter in einer verschlüsselten datei auf meinem usb stick gespeichert dank meinem vater der mir gezeigt hat wie das geht
dadurch hab ich einmalige 30 zeichen passswörter bestehend aus zeichen und buchstaben in einer xbeliebigen reihenfolge
ist eigendlich ganz praktisch

ganz ehrlich irgendwer hat merlight in den kopf ge*******n meiner meinung.
#aufmerksamkeitsstörung

[rainbowdash28]

(03.09.2016)mrx1983 schrieb:  das abspeichern im klartext selbst würde ich erstmal nicht als straftat sehen.
ob man es als hash speichert od. im klartext da gibt es glaube ich keine regelung zu.
od. ob man sich das nochmal separat speichert.

Das vielleicht nicht, meines Bezog sich nicht darauf ob es eine Straftat darstellt die Kennwörter ungenügend (z.B. Klartext oder normale Verschlüsselung) zu speichern, ganz ehrlich da kenne ich einige - sogar große - Portale die das machen, sieht man ja schon daran wenn ein Anbieter einem das Kennwort in Klartext per Passwort vergessen-Funktion zuschicken kann. (Neopets zumindest früher, Lugner Kino City in Wien uvm)

Darum ging es mir nicht, mir ging es um den Aspekt dass man ein Portal nutzt, dieses manipuliert entgegen der Sicherheit (!) und damit Kennwörter für fremde Zwecke entnimmt. Also ein gesichertes Portal absichtlich unsicher macht, um diese Kennwörter in anderen Portalen zu nutzen.. na ich weiß nicht so recht wie darauf ein Gericht so reagiert. Und damit dann noch in anderen Beiträge zu prahlen teilweise Eingeständnisse zu machen, da geht es schnell zu einem "begründeten Tatverdacht".

Aber wie bereits gesagt, ich möchte jetzt keine Zeit dafür verschwenden.

Und zu den AGB stimme ich mit dir überein, ja. Soweit ich weiß sind die AGB im BGB bestimmt und geregelt. Es gab sogar lt. einem Freund sogar schon ein gerichtliches Urteil in denen die AGB nicht als bindender Vertrag akzeptiert, geschweigenden zugemutet, werden konnten.

[Xenothris]

Ich hab für alles, egal ob wichtig oder net, ein eigenes generiertes Passwort.

Nur hier macht es halt keinen Sinn. Auf meinen Acc hier waren schon mal unbekannte drauf, die meine Signatur ect geändert haben. Deswegen ändere ich mein Passwort hier auch net mehr weils halt sinnlos ist ohne SSL/TLS.

Und wer hier sein universal Passwort verwendet, tja dem ist halt echt net mehr zu helfen.

[Rennfahrer2]

Danke, dass mir nicht mehr zu helfen ist..
Ich bin halt so dumm

[rainbowdash28]

(04.09.2016)Xenothris schrieb:  Nur hier macht es halt keinen Sinn. Auf meinen Acc hier waren schon mal unbekannte drauf, die meine Signatur ect geändert haben. Deswegen ändere ich mein Passwort hier auch net mehr weils halt sinnlos ist ohne SSL/TLS.

Also die Aussage find ich sehr komisch.. Natürlich macht es Sinn das Passwort zu ändern. Ich würde so oder so bei Netzwerken bei denen eventuell mitgelauscht werden könnte, beziehungsweise die von anderen bereitgestellt werden, generell eine verschlüsselte VPN-Verbindung empfehlen. Mach ich auch so und das hat nichts mit den Forum zu tun sondern eine generelle Empfehlung. SSL ist immerhin auch nur ein weiterer Layer of Security - mehr nicht. Kein Allheilmittel oder Ähnliches.

Zu sagen das PW zu ändern habe kein Sinn nur weil die Kommunikation zwischen Client & Server nicht verschlüsselt ist, finde ich schon komisch und stark zu bezweifeln. Wenn man wirklich so oft in unsicheren Netzwerken unterwegs ist sollte man sich eine andere Lösung einfallen lassen.

(04.09.2016)Xenothris schrieb:  Und wer hier sein universal Passwort verwendet, tja dem ist halt echt net mehr zu helfen.

So lange das Passwort sicher ist. Wie gesagt das muss jeder für sich abschätzen, ich verwende auch in diversen Foren ein Universal-Passwort weil es mir eher egal ist bei diesen Foren - nur um 2-3 Beiträge zu lesen wäre ich echt zu faul mir ein neues Kennwort auszudenken oder ein Passwort-Manager zu nutzen. (Die ich auch generell nicht nutze, weil sich da da der Kreislauf wieder schließt bezüglich Sicherheit..)

(04.09.2016)Sonicfan1 schrieb:  Danke, dass mir nicht mehr zu helfen ist..
Ich bin halt so dumm

Ich denke mehrere Nutzer haben jetzt gute Tipps gegeben um ein sicheres Kennwort zu wählen.
Es liegt bei dir ob du den verschiedenen Tipps folgst oder nicht. Manchen fehlt einfach das nötige Hintergrund-Wissen meiner Meinung nach - ich sehe es ja auch ständig bei Familie & Verwandten, dann erkläre ich warum man nicht gerade sein Namen, Geburtsjahr oder andere persönliche Informationen als Passwort verwenden sollte (Insbesondere wenn die nochmal in der E-Mail / Benutzername vorkommen). Aber das Sie dumm seien würde ich nie behaupten, es gibt auch Bereiche in denen ich mich nicht auskenne, da würde ich auch nicht so blöd daherreden oder andere beleidigen bzw. das von Anderen hören.

[Chase]

(02.09.2016)MerlightV4 schrieb:  Jeder User hat bei mir in der AGB zusgestimmt, dass sie mir als Admin die vollen Ŕechte über ihre Mails/Passwörter geben, und mir erlauben sie auf anderen Seiten zu benutzen.

Wer die AGB nicht liest ist iwie selber schuld...

Wer das BDSG nicht liest ich iwie selber schuld. Das nutzen von Passwörtern und Benutzerdaten auf anderen Seiten ist ein Verstoß gegen das BDSG, genauer gegen die Regelungen zur Verwendung personenbezogener Daten.

Zudem fällt das ganze je nach Sachlage unter den Bereich der Computermanipulation und ist damit erneut strafbar.

Wie hier bereits mehrfach beschreiben dürfen auch die AGBs nicht gegen geltendes Recht verstoßen.

[rainbowderpy]

#cloudbleed -> es ist mal wieder Zeit zum Passwörter ändern, falls ihr irgend welche privaten Daten hier habt.
Details siehe https://bugs.chromium.org/p/project-zero...il?id=1139 - es geht darum, dass Cloudflare Speicher geleakt hat und darin auch HTTP POST content usw zurück geliefert wurde - also z.B. auch die Passwörter von der Anmeldeseite usw.

[Leon]

Abgesehen davon, dass die Wahrscheinlichkeit eines Leaks sehr gering ist, wäre es interessant zu wissen, ob B.de überhaupt betroffen sein könnte, da der Fehler scheinbar nur Seiten betrifft, die den Parser von Cloudflare nutzen.

[rainbowderpy]

Der Speicherleak tritt nur in dem HTML Parser auf, was dann geleakt wird ist allerdings ziemlich zufällig und dadurch sind wirklich alle Seiten betroffen, die den Cloudflare Reverseproxy genutzt haben. (Siehe dazu auch was die Sicherheitsforscher von PZ wie oben verlinkt geschrieben haben.)
Hoffen wir mal, dass nur "gute" Menschen/Behörden/... die Daten mitgespeichert haben und die User ihre Passwörter nicht überall wiederverwenden...

[Ayu]

(24.02.2017)Leon schrieb:  Abgesehen davon, dass die Wahrscheinlichkeit eines Leaks sehr gering ist, wäre es interessant zu wissen, ob B.de überhaupt betroffen sein könnte, da der Fehler scheinbar nur Seiten betrifft, die den Parser von Cloudflare nutzen.

Glaube nicht, dieser wird nämlich nur für die Anzeigen von Offline Versionen der Seiten verwendet, den Service nutzt Bronies.de soweit ich weiß nicht und es sind laut der Ankündigung auch nur maximal 150 Kunden davon betroffen und die Opfer davon bekammen auch per Mail ein Backup der Daten die geleakt wurden.

Matthew Prince, CEO of Cloudflare schrieb:"Your domain is not one of the domains where we have discovered exposed data in any third party caches. The bug has been patched so it is no longer leaking data. However, we continue to work with these caches to review their records and help them purge any exposed data we find. If we discover any data leaked about your domains during this search, we will reach out to you directly and provide you full details of what we have found."

Nennenswerte Seiten, die diesen Service nutzen:

Spoiler (Öffnen)

   authy.com
   coinbase.com
   bitcoin.de
   betterment.com
   transferwise.com
   prosper.com
   digitalocean.com
   patreon.com
   bitpay.com
   news.ycombinator.com
   producthunt.com
   medium.com
   4chan.org
   yelp.com
   okcupid.com
   zendesk.com
   uber.com
   poloniex.com
   localbitcoins.com
   kraken.com
   23andme.com
   curse.com (and some other Curse sites like minecraftforum.net)
   counsyl.com
   tfl.gov.uk
   account.leagueoflegends.com
   myaccount.nytimes.com
   technicpack.net
   namecheap.com (no evidence of compromised data)
   discordapp.com (affected)
   glassdoor.com (no evidence of compromised data)
   vultr.com (no evidence of compromised data)
   fastmail.com (not affected, #2)
   1password.com (not affected)

Also wenn man nicht gerade dort ein Konto mit den selben Daten hat muss man sich keine sorgen machen.