Datenklau bei Gameware?
nfin1te 25.08.2011 - 14:06 5497 44
userohnenamen
leider kein name
|
Danach läufts so wie Colo das schon oben beschrieben hat. das halt ich nicht für praktikabel bzw. glaub ich nicht daran wenn jemand das passwort im klartext verschickt ist das imho auch zu 99% als klartext in der datenbank
|
Neo-=IuE=-
Here to stay
|
befürchte auch eher, dass ein klartextpasswort in einer mail gleichbedeutend mit klartextpasswort in der DB ist
|
EG
thinking with portals
|
Lassts mir halt meine Hoffnung...die Alternativen sind so grausig...
|
Luzandro
OC Addicted
|
Also ich habe ein neu generiertes Pwd zugeschickt bekommen, mit dem Hinweis das sofort zu ändern. Das Sicherheitsproblem in so einem Fall ist halt, dass das Mail trotzdem unverschlüsselt übertragen wird, aber das sieht für mich eigentlich nicht danach aus, dass das Passwort im Klartext gespeichert wird
|
Smut
takeover & ether
|
befürchte auch eher, dass ein klartextpasswort in einer mail gleichbedeutend mit klartextpasswort in der DB ist wie soll man das passwort anders zusenden als im klartext? sehe hier die verbindung nicht. gibt viel software die gehasht ablegt aber in klartext versendet, einfach weils keine andere einfach funktionierende möglichkeit gibt, wenn man sich dafür entscheidet das passwort per mail zuzusenden. ob ich bei einem passwort reset dem user eine magic-url zusende oder ein klartext-passwort ist egal. eine magic-url sehen halt die wenigsten als authentifizierung an.
|
userohnenamen
leider kein name
|
wenn das mail mit dem klartext passwort in fremde hände gerät, kannst halt überall die passwörter ändern wost das selbe verwendest (also bei 90% der leute (fast) überall) bei ner magic-url hast nur auf der seite/dem login ein problem
aber ich bin schon mal verwundert das es wirklich software gibt die das so betreibt
|
Smut
takeover & ether
|
ok, ich hab jetzt vom reset passwort gesprochen. das initialpasswort des users würde ich ihm auch nicht schicken, wird aber trotzdem bei gewissen php boards standardmäßig gemacht obwohl die passwörter md5 gehasht sind - also das eine hat mit dem anderen nix zu tun. wenn ich dir den hash schicke dann kennst dich erst recht nicht aus. bei der magic-url hast kein problem beim login, da diese nix anderes als eine url+resetpasswort ist. gameware kann das in diesem fall nicht anders machen. entweder klartext resetpasswort oder magic-url die dir erlaubt das passwort zu ändern - beides kann genauso von einem dritten ausgeführt werden, ganz klar.
|
Bumblebee
OC Addicted
|
juhuu auch diese mail bekommen hatte bei gameware genau ein pswd verwendet was ich sonst nirgens verwendet habe. nur das mit den KK daten beunruhigt mich. steht zwar, sie haben nur die letzten 4 stellen...aber wer weiß!?
|
XXL
insomnia
|
im grunde ists eh egal, selbst wenn wer deine kreditkarte belastet, ein anruf und die buchung ist weg, für das zahlt man ja die gebühren bei der KK ...
|
zankarne
Legend no Custom User Text
|
Zu sichere Passwörter sind auch schlecht. Ich konnte mich bei Midtowncomics.com nicht mehr einloggen. 20 Zeichen, Groß/klein, Zahlen und 3 Sonderzeichen ergeben folgende Supportantwort: Clark Kent: Ok, we have sent you a password that should work. the previous one was causing system problems. Let me know if it works... Ich: are there any characters I'm not allowed to use? Clark Kent: one moment... Clark Kent: Not necessarily, the combination that was created was being interpreted as some sort of code by our system. It was a freak combination. Other than that you can use whatever suits your purpose.
|
Smut
takeover & ether
|
Gratulation du hast einen exploit entdeckt
|
zankarne
Legend no Custom User Text
|
der mich aus meinem kundenkonto ausloggt...
|
Viper780
ModeratorEr ist tot, Jim!
|
im grunde ist jedes passwort sicher solang man die login versuche begrenzt und die login zeit (künstlich) bremst damit bruteforce nicht klappt.
dazu die klassischen verfahren um PAsswörter zu speicher sprich Salt und mehrfaches hashen
|
e-Lummi-N@tor
NewsposterProvocateur D`Automobile
|
so auch gerade die Mail bekommen und das Passwort zurückgesetzt.
|
paulus
Addicted
|
Ich hab gar nicht mehr gewusst, dass ich bei Gameware registriert bin. Bestellt hab ich zum Glück nie etwas, Zahlungsinfos waren auch keine hinterlegt. Sicherheitshalber aber mal alle Passwörter erneuert, die schon lange überfällig waren.
|