Habe mein passwort für das wiki verlegt und mir ein neues zukommen lassen. Was dann folgte, hätte ich mir nicht träumen lassen..
Q: Ich kann mir mein passwort zusenden lassen: Im Klartext? Und wenn dann jemand mitliest, was dann?
A: Das passwort wird verschlüsselt verschickt
Muss ich das dann entschlüsseln? Aber nein, ich kann mich mit dem Passwort-hash ebensogut einloggen wie mit dem Passwort selbst.. WTF? Damit ist doch der Sinn des Hashens von Passwörtern ad absurdum geführt?!?
Kann mir das bitte mal jemand erklären? Wozu dient die Passwort-Verschlüsselung, wenn sie eh überflüssig ist?
Nebenbei bemerkt, die Hashes sind wie es scheint nicht einmal gesalzen.
Password-FAIL
-
mragucci
- Beiträge: 598
- Registriert: 08.09.2004 03:21:24
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Endor
-
Kontaktdaten:
Re: Password-FAIL
Dann kennt Derjenige Dein Passwort. Er wird das Wiki verunstalten, Deinen Namen mit Schimpf und Schande belegen und die natürliche Weltordnung unterminieren...einELCH hat geschrieben: Q: Ich kann mir mein passwort zusenden lassen: Im Klartext? Und wenn dann jemand mitliest, was dann?
Du kannst Dich aber natürlich anmelden und Dein Passwort gleich ändern, um auf Nummer Sicher zu gehen... Per SSL, versteht sich
Wohl eher weniger...einELCH hat geschrieben: A: Das passwort wird verschlüsselt verschickt
Wie kommst Du denn darauf? Mit dem Hash kannst Du Dich wohl nicht anmelden, Deine Passworteingabe wird eher gehashed und dann mit dem gehashten PW in der Datenbank verglichen. Wenn Du Deinen Passworthash nochmals hashesd kommt niemals der Hash aus der DB heraus...einELCH hat geschrieben: Muss ich das dann entschlüsseln? Aber nein, ich kann mich mit dem Passwort-hash ebensogut einloggen wie mit dem Passwort selbst.. WTF? Damit ist doch der Sinn des Hashens von Passwörtern ad absurdum geführt?!?
Kann mir das bitte mal jemand erklären? Wozu dient die Passwort-Verschlüsselung, wenn sie eh überflüssig ist?
Ich will im Schlaf sterben - Wie mein Opa...
Und nicht weinend und schreiend wie sein Beifahrer!
-----
https://www.whisperedshouts.de
Und nicht weinend und schreiend wie sein Beifahrer!
-----
https://www.whisperedshouts.de
Re: Password-FAIL
Hast du das überprüft?einELCH hat geschrieben:Aber nein, ich kann mich mit dem Passwort-hash ebensogut einloggen wie mit dem Passwort selbst.. WTF? Damit ist doch der Sinn des Hashens von Passwörtern ad absurdum geführt?!?
Ich habe mir mal die Passwort-Mail zusenden lassen und die SHA-Prüfsumme meines Passwortes entsprach nicht dem zugesendeten Hash.
Daraufhin habe ich mein Wiki-Passwort geändert und mir dann nochmals eine Passwort-Mail zusenden lassen.
Und der mir zugesendete Hash war wieder der gleiche wie in der ersten Mail!
Also kann es sich unmöglich um den Hash des Wiki-Passwortes handeln, denn dass zwei unterschiedliche Passwörter den gleichen Hash ergeben ist doch sehr unwahrscheinlich.
Wie der zugesandte Hash erzeugt wird würde mich doch mal interessieren, denn wenn jemand an den Hash aus meiner E-Mail kommt, kann ich mein Passwort so oft ändern wie ich will, derjenige der den Hash (der sich ja anscheinend nicht ändert) aus der E-Mail kennt kommt in meinen Account.
Nützt nichts, wegen dem immer gleichen Hash. Siehe oben.mragucci hat geschrieben:Du kannst Dich aber natürlich anmelden und Dein Passwort gleich ändern, um auf Nummer Sicher zu gehen...
SSL gibt es beim Wiki nicht...mragucci hat geschrieben:Per SSL, versteht sich
Gruß,
Daniel