Dienstag, 26. Juli 2016
Wie wäre es damit, das Passwort nicht mehr per Mail zu verschicken?
Blogger.de is HTTPS-only mit einer A+ Bewertung bei SSL Labs - das ist super. Dann kann man ja bei der Registrierung gleich ein sicheres Passwort generieren, und dann sollte nichts mehr schief laufen können. Aber was ist das in der Bestätigungsmail? Mein sicheres Passwort im Klartext? Super, damit kennt nun mein Mail-Provider und möglicherweise mehrere Zwischenstationen auf dem Weg dieser Mail mein Passwort ebenfalls. Das kann doch eigentlich nicht der Sinn der Sache sein?
Das Passwort kann ich wieder ändern, kein Problem. Aber ist es vielleicht möglich, in Zukunft von Passwörtern in Mails abzusehen?
Das Passwort kann ich wieder ändern, kein Problem. Aber ist es vielleicht möglich, in Zukunft von Passwörtern in Mails abzusehen?
Ok, ich habe das Problem unterschätzt. Es bringt nichts, das Passwort zu ändern - es ist jederzeit möglich, unter "Passwort vergessen" meine Email-Adresse einzugeben, und dann wird dieselbe Mail wieder verschickt. Mit dem derzeit eingestellten Passwort!
Es sieht also so aus, dass Passwörter auch in der Datenbank im Klartext abgelegt sind. Eigentlich wäre zu erwarten, dass heutzutage bcrypt oder eine ähnlich sichere Hashfunktion für Passwörter zum Einsatz kommt. Scheint aber auf Blogger.de nicht der Fall zu sein.
Nur zur Info: üblicherweise wird bei "Passwort vergessen" lediglich ein Link verschickt, über den sich ein neues Passwort setzen lässt. Das ursprüngliche Passwort sollte die Webseite nicht kennen, sonst freut sich der nächste Hacker, der die Datenbank in die Finger bekommt...
Es sieht also so aus, dass Passwörter auch in der Datenbank im Klartext abgelegt sind. Eigentlich wäre zu erwarten, dass heutzutage bcrypt oder eine ähnlich sichere Hashfunktion für Passwörter zum Einsatz kommt. Scheint aber auf Blogger.de nicht der Fall zu sein.
Nur zur Info: üblicherweise wird bei "Passwort vergessen" lediglich ein Link verschickt, über den sich ein neues Passwort setzen lässt. Das ursprüngliche Passwort sollte die Webseite nicht kennen, sonst freut sich der nächste Hacker, der die Datenbank in die Finger bekommt...
dad877216, 26. Jul 2016, 13:58
| link
... kommentieren