Dienstag, 16. September 2008

Unsicheres Kennwort entdeckt - was heißt hier unsicher?

Heute habe ich eine E-Mail vom Citroen Club Forum erhalten (ja, ich habe wirklich einen Citroen C5 gehabt, 4 Jahre, und war sogar ziemlich zufrieden mit dem Auto).

Hallo xxxx,

es wurde festgestellt, dass das von Ihnen benutzte Kennwort im Forum 'André Citroën Club Forum' nicht sicher ist.

Dritte könnten Ihr Benutzerkonto übernehmen und ohne Ihre Erlaubnis oder Ihr Wissen in Ihrem Namen alle Ihnen erlaubten Aktionen im Forum ausführen.

Diese Aktionen könnten nicht nur dem Forum, sondern auch Ihnen und anderen Benutzern schaden. So könnte in Ihrem Namen Spam im Forum und über Private Nachrichten an andere Benutzer geschrieben werden.
Um diesen Schaden zu vermeiden, mussten wir Ihr Kennwort ändern.

Hier sind Ihre Zugangsdaten zum Forum:
Benutzername: xxxx
Kennwort: xyz

Hm, da bin ich mal wieder überrascht, dass es immer noch Anbieter gibt, die ihre Passwörter unsicher, also im Klartext abspeichern. Jede Plattform, egal ob PHP oder ASP.NET ermöglicht heute jeden das einfache Verschlüsslen von Texten (Passörtern). Um das Passwort hinterher bei der Anmeldung zu überprüfen, braucht man das eingegebene Passwort ja einfach nur genauso verschlüsseln, und die beiden dann miteinander zu vergleichen. Wer sein Passwort vergessen hat, lässt sich einfach ein neues generieren.

Interessant ist auch, dass das neue Passwort zusammen mit dem Benutzernamen per E-Mail verschickt wurde. Ist das etwa sicherer?

Liebe Web Entwickler, denkt doch daran, was mit geklauten Daten alles gemacht wird. Wie viele Benutzer nehmen immer das gleiche Passwort (ja, denen könnte man auch mal was erzählen)?

Keine Kommentare:

Kommentar veröffentlichen