Unverschlüsseltes Forum

[slugs]

Hi,

der Browser Google Chrome wird ab Januar 2017 alle Webseiten als unsicher kennzeichnen, die unverschlüsselt mit ihren Nutzern kommunizieren.
Quelle: computerbase.de

Im Jahr 2013 wurde das Thema in diesem Forum bereits eifrig diskutiert, getan hat sich bisher allerdings nichts. Natürlich kann man nun so argumentieren, dass es einem egal sein kann, was Google so treibt. Aber die Firma ist ja nicht gerade klein und eine deutliche Symbolwirkung hat dieses Vorgehen durchaus. Denn meiner Meinung nach ist dem gemeinen Laien das Ausmaß darüber viel zu wenig bewusst. Oftmals höre ich Argumente wie "ach, die Seite wird schon sicher genug sein." Doch wer die einschlägigen News im Internet verfolgt, wird feststellen, dass immer mehr Websites – und ich rede hier von den ganz "Großen" – gehakt und die Datensätze ins Darknet verkauft werden. Das Thema wird dann richtig interessant, wenn man für viele Seiten die selbe Username/Passwort-Kombination verwendet. Daher meine Frage an die Admins: wie seht ihr dieses Thema drei Jahre später?

Viele Grüße
Oli

 

[Gast_402205]

der Browser Google Chrome wird ab Januar 2017 alle Webseiten als unsicher kennzeichnen, die unverschlüsselt mit ihren Nutzern kommunizieren.

Abgesehen davon, dass HTTPS nicht das Allheilmittel und der Key auch noch recht teuer ist (Let's encrypt mal außen vor, das habe ich aber noch nicht in der Praxis erprobt), was nutzt HTTPS tatsächlich?

Offenbar wurden, wie du selbst schreibst, einige "Große" gehackt und deren Datensätze ins Darknet verschoben -- aber die Großen haben schon die längste Zeit HTTPS am Laufen. Hacks passieren eher nicht auf dem Niveau, wo wir HTTPS oder nicht diskutieren, die passieren ein bisserl tiefer unten.

Der einzige Nutzen von HTTPS ist dort zu sehen, wo sensible Daten über das Web laufen. Wenn jemand überall die selbe Username/Kennwort Kombination nutzt, klassifiziert er doch selbst diese Daten als wenig sensibel und braucht daher keinen Schutz dieser Allerweltsdaten über HTTPS urgieren.

Und wenn jemand alle User-Records vom DSLR Forum abzieht, kommt bei mir auch wohl kaum mehr als 1% mehr Müll im Posteingang an. Kurz danach habe ich die Persil-E-Mail Adresse aus dem System eliminiert und setze eine neue.

Mehr Aufregung ist das Thema m.E. nicht wert -- bei Bank- und Webshop-Sites sehe ich das Thema etwas enger.

 

[tom.w.bn]

Ich bin hier zwar kein Admin, aber https würde ja nur den Datenverkehr von Dir bis vor den Server des Forums gegen Abhorchen sichern (was schnon mal nicht schlecht wäre). Das sorgt noch nicht dafür, dass der Server sicherer ist und dass unsere Daten dort auf dem Server verschlüsselt liegen.

 

[Schranzie]

… Das Thema wird dann richtig interessant, wenn man für viele Seiten die selbe Username/Passwort-Kombination verwendet.…

Ich bin zwar kein Admin, gehe aber mal stark davon aus, dass es im Wesentlichen für deine Bedenken irrelevant sein dürfte.

Für gewöhnlich werden genau aus diesem Grund Passwörter nicht als Plain-Text sondern als Hash Werte gespeichert. Sollte jemand die komplette DB samt Usernames und zugöhrigen Passwörtern haben kann der Dieb davon immer noch nicht direkt auf das Passwort schliessen. Für gewöhnlich funktionieren die Verschlüsselungsverfahren nur in eine Richtung, sprich es gibt keinen Algorithmus für eine Dechiffrierung.
Es wird lediglich geprüft ob die jeweiligen Hash-Sets übereinstimmen.

Klar gibt's da auch mal Ausnahmen, man siehe damals Sony's Playstation Accounts, die Deppen haben die Passwörter ernsthaft als unverschlüsselten Klartext abgespeichert.
Mal abgesehen von solchen wirklich sehr seltenen, unvorsichtigen Ausnahmen kann aber eigentlich wenig bis nichts passieren. Da gibt es genügend andere Wege wie man sehr viel leichter an relevante Daten kommt

 

[Georgius]

Das HTTPS nutzt nur gegen abhören der Verbindung.
Das abspeichern der Usernamen und Paßwörter verschlüsselt ist wie schon geschrieben eher Standard. Nur wurden such schon solche Datenbanken hehackt und dann nachher entschlüsselt.

Das Thema wird dann richtig interessant, wenn man für viele Seiten die selbe Username/Passwort-Kombination verwendet

Das ist generell keine gute Idee. (Auch wenn ich da auch nicht ganz brav bin)

Also HTTPS nutzt nur gegen Abhören der Verbindung User Forum. Also hauptsächlich NSA und ähnliches.

 

[mich.]

Grundsätzlich ist das Übermitteln von Anmeldedaten im Klartext keine gute Idee. Es würde ja auch keiner Passwörter per Postkarte verschicken.

 

[slugs]

Ok, danke schon mal für die vielen hilfreichen Ausführungen.
Und wie sieht es mit (wie eins weiter oben geschrieben) der Übermittlung der Daten aus? Das Passwort wird doch erst nach Ankunft auf dem Server als Nichtklartext umgewandelt und überprüft oder? Wenn also jemand "mithört" käme er an meine Logindaten ran?

 

[Gast_402205]

Wenn also jemand "mithört" käme er an meine Logindaten ran?

Ja, und die kann er dann dazu benutzen, um in deinem Namen Schwachsinn zu verbreiten. Nun frage ich mich gerade: bist du echt, oder …

https://youtu.be/xxuGdWF9goU

 

[Schranzie]

Und wie sieht es mit (wie eins weiter oben geschrieben) der Übermittlung der Daten aus? Das Passwort wird doch erst nach Ankunft auf dem Server als Nichtklartext umgewandelt und überprüft oder?

Das sollte eigentlich, sofern die Seite halbwegs gut geschrieben ist, schon auf der Seite erfolgen.
Es gibt diverse Verschlüsselungsverfahren um so ein Hash-Set zu erstellen.
Dabei gilt, dass bei einer guten Verschlüsselung das Verfahren bekannt ist, nur das Geheimnis (in diesem Fall die Variablen, wie z.B. welche Zahl man Modulo rechnet) wird nicht bekannt gegeben.
Diese Verfahren lassen sich direkt am Frontend (sprich bei dir auf dem Rechner) durchführen.

Der Aufwand dann von diesem Übermittelten Hash Set auf das Passwort zurück zu schliessen wird doch sehr aufwendig. Du kannst dir ja mal "Rainbowtable" googlen.

Edit:
Dein Passwort wird direkt beim Login, vor dem Verschicken, mit der md5 Methode verschlüsselt.

Auch wenn es nicht ganz das sicherste ist, ist es derzeit noch immer "Up To Date" und wird auch von vielen wirklich grossen Internetfirmen verwenden.
Das kann dir aber auch bei vielen anderen passieren, bzw. gibt es da deutlich attraktivere Ziele als dieses Forum hier

 

[slugs]

@f:11 Ja, ich bin ziemlich echt. Mich hat das Thema einfach nur damals interessiert und heute tut es das auch noch.

Auch dir nochmal danke, Schranzie, für die Erklärung!
Ihr seht, ich bin in solchen Dingen alles andere als fit und immer froh, wenn ich bei sowas dazulernen kann.

 

[Gast_402205]

Ja, ich bin ziemlich echt.

Würde das aber nicht auch ein Nicht-Echter sagen, um mich in Sicherheit zu wiegen?

Mich hat das Thema einfach nur damals interessiert und heute tut es das auch noch.

Datensicherheit ist etwas Schönes -- ich habe ein paar zig Kunden am eigenen Server und damit alle Schmeißfliegen der Datenautobahn täglich zu Besuch. Da geht jede Menge Zeit (und somit Geld) für "hardening", wie das so schön heißt, auf. Heute der Hack, morgen der andere. Upgrade um Upgrade auf die Kiste spielen, … Pro Woche gehen wir inzwischen von gut einem Manntag für Systemsicherheit auf unserem Kleinsystem aus, das verursacht also jedes Jahr Kosten in der Höhe von rund zwei Monatsgehältern (plus Nebenkosten).

Das was Google da initiiert dient nicht vorrangig der Sicherheit, sondern propagiert die Idee des Zwei-Klassen-Internet auf eine neue Art. Es werden halt Sites, die durchaus berechtigt kein https anbieten, zu Sites zweiter Klasse mit Nachteilen im Marketing und früher oder später auch Auslieferungsgeschwindigkeit. Bei meinen Kunden muss ich wohl den Erwerb und die Installation eines Zertifikats anregen, aber ich denke, die etwa 150 Euro pro Jahr sind unnötige Ausgaben, die nur der Geldvermehrung bei irgendeiner (US amerikanischen …) Authentifizierungsstelle dient. 150 mal ein paar Millionen Websites, das ist leicht verdientes Geld für keine Leistung …

 

[maxigs]

Dein Passwort wird direkt beim Login, vor dem Verschicken, mit der md5 Methode verschlüsselt.
Auch wenn es nicht ganz das sicherste ist, ist es derzeit noch immer "Up To Date"

Ouch. MD5 ist kein Verschlüsselungsverfahren und absolut nicht mehr ok für den Einsatz zum speichern oder übertragen von Passwörtern.
Passwörter die MD5-gehashed sind bei der Leistung aktueller Cracking-Tools und Rechenpower wirklich kein Schutz mehr.
Und für alle Halbwegs üblichen Passwörter gibt es inzwischen ohnehin Lookup-Tables.

Seiten mit Login ohne SSL zu betreiben, ist meiner Meinung nach auch fahrlässig. Wobei das dann wahrscheinlich das kleinste Problem in der gesamten Kette aus Sicherheit und Datenschutz ist.

Man nimmt deshalb auch einen ordentlichen Passwort-Manager, damit man auf jeder Seite andere Zugangsdaten hat.
Die normalen User, die überall die selbe E-Mail/Username und Passwort Kombination benutzen sind dabei halt die Leidtragenden - nicht ganz zu unrecht, aber ich sehe immer noch den gewerblichen Anbieter in der Verantwortung, dass er die Sicherheit der Daten in seinem Produkt gewährleistet.

Ja, es ist alles eine Frage des Risiko, aber wie "mich." bereits schreibt. Ohne SSL ist alles war ihr hier auf der Seite eingebt wie eine Postkarte.
Doof, wenn da beim Anmelden quasi eure Zugangsdaten für das Online-Banking einfach lesbar (siehe meine oberen kommentar zu MD5) stehen.


PS:

Ich kann nur jedem mal empfehlen seine E-Mail hier einzugeben: https://haveibeenpwned.com/

Dann merkt man vielleicht mal, dass man schneller betroffen ist, als man dachte

In dem Sinne, viel Spass beim Passwörter ändern

 

[Gast_402205]

Ich kann nur jedem mal empfehlen seine E-Mail hier einzugeben: https://haveibeenpwned.com/

Dann merkt man vielleicht mal, dass man schneller betroffen ist, als man dachte

Nicht falsch, aber man sollte auch lesen, was da sonst so steht:

138 pwned Websites.

Hallo? 138 Websites, von total fast 1.000.000.000
Und darunter eine Liste der Websites mit der größten Masse, darunter dann auch Adobe, wobei dieser "Hack" bis heute keine nachweisbaren Kennwort-Decodierungen geliefert hat.

Es ist alles jenseits aller Bedenken weiterhin ganz einfach:

a.) nicht die selbe Benutzer :: Kennwort Kombination auf zwei Websites
b.) das Kennwort möglichst regelmäßig ändern

Wer das berücksichtigt, kann sich die Überwälzung seiner Paranoia auf die Betreiber der (meist kostenlos genutzten) Angebote sparen.

Immer wieder kommt dann die Frage: Aber wie soll ich das denn schaffen?

Easy-peasy, wie man so sagt.
Der Benutzername ist meist irgendwie vorgegeben, die E-Mail ist da gern verwendet. Also lassen wir den Namen einfach außen vor und kümmern uns nur um das Kennwort.

Erste Runde: Wie heiße ich? Nehmen wir an, ich spreche mich selbst mir "Karl" an …
Zweite Runde: Auf welcher Domain möchte ich mich anmelden?
Soll das das dslr-forum.de sein …
Dann lässt sich daraus recht schnell ein Kennwort konstruieren:
dKsAlRrL

und für die regelmäßige Änderung hängt man noch ein Sonderzeichen und einen Code für's Jahr und den Monat dran, z.B.
$1609
Und schon haben wir für eine Site ein eigenes Kennwort, das sich für jede andere Site sehr einfach variieren lässt …

dKsAlRrL$1609

Und bei Adobe wäre das dann
aKdAoRbL$1609

Und im Oktober wird das zu
dKsAlRrL$1610

Voilá. Und wenn es einem wurscht ist, ob ein Account eventuell nicht ganz so sicher ist, der kann die regelmäßigen Änderungen auch sein lassen …

 

[VisualPursuit]

Das betrifft am Ende auch nur PNs oder über das System verschickte E-Mails.

Beiträge auf dem Weg in's Forum zu entschlüsseln
kann sich jeder sparen, wenn er die anschliessend
im Forum im Klartext lesen kann.....

 

[maxigs]

Hallo? 138 Websites, ...

Reicht doch, wenn dort genug Daten drin sind

Und es wird hier keine Paranoia abgewälzt. Ich erwarte lediglich, dass Betreiber gewerblicher Seiten (nichts dafür bezahlen, heißt nicht dass der Betreiber damit nichts "an dir" verdient) oder allgemein solche die, die mit Benutzerdaten hantieren, diesen Umstand nicht komplett ignorieren.

Sich selbst als User schützen ist natürlich lobenswert, aber kein Allheilmittel, weil es eben nicht klappt, sind die dann alle Freiwild und selbst schuld?

PS:
Ein SSL-Zertifikat kostet nun wirklich nicht die Welt, zuverlässige Anbieter gibt es ab ca 30Euro/Jahr.
Und inzwischen gibt es sogar kostenlose Anbieter, leider mit der technische Einschränkung, dass deren SSL-Zertifikate nicht mehr auf alten Browsern gehen.

Wenn einem Anbieter die Sicherheit seiner Kunden das nicht wert ist, .. naja das soll jeder selbst entscheiden. Oder, sofern er es weiß wie, den unzureichenden Schutz selbst ausgleichen.

 

[Schranzie]

Ouch. MD5 ist kein Verschlüsselungsverfahren und absolut nicht mehr ok für den Einsatz zum speichern oder übertragen von Passwörtern.
Passwörter die MD5-gehashed sind bei der Leistung aktueller Cracking-Tools und Rechenpower wirklich kein Schutz mehr.
Und für alle Halbwegs üblichen Passwörter gibt es inzwischen ohnehin Lookup-Tables.

Der Einfachheit halber habe ich es so genannt, genugenommen wird dabei nur ein Hashwert gebildet, sprich das Passwort wird chiffriert.
Ich könnte jetzt weiterausholen und den unterschied zwischen einer Chiffrierung und einer Verschlüsselung erklären, auch wie die Verfahren im einzelnen funktionieren.
Ich denke jedoch dass es hier an dieser Stelle etwas zu weit geht.
Der Standart User wird jedoch verstanden haben was gemeint ist.
Wenn einer der Mitarbeiter Fragen zur DB hat, von welcher ich Admin bin hole ich für gewöhnlich auch nicht soweit aus (bei 15.000 internen und nochmal gut doppelt sovielen Externen, die dort eingetragen sind, hätte ich sonst noch mehr zu tun…)

Man nimmt deshalb auch einen ordentlichen Passwort-Manager, damit man auf jeder Seite andere Zugangsdaten hat.

Das ist jetzt die nächste grosse Lücke, was ist ein wirklich sicherer Passwortmanager? Jede Verschlüsselung kann geknackt werden. Auch die eines Passwortmanagers.
Oder man stelle sich vor, ein Keylogger, oder einmal auf die Tastatur gespickelt et violà schon hat jemand Zugang zu ALLEN Accounts - bravo!

100%ige Sicherheit gibt es ohnehin nicht, man sollte jedoch Aufwand und Kosten abwägen, ob es in Relation steht.
Ich nehme mal an hier werden auch keine so sensiblen Daten weitergegeben.



Sonst, zum Thema Passwörter, da behandle ich es ähnlich. Für die meisten Foren verwende ich ein und das selbe Passwort, das wird natürlich nach einer gewissen Zeit auch mal geändert.
Meinen Banking Zugang verwende ich ein separates Passwort, sowohl fürs Girokonto als auch für das Konto der Kreditkarte (ist auch bei einer anderen Bank ).
Natürlich findet man keines meiner Passwörter in einem Wörterbuch (Stichwort "Bruteforce"). Gehackt wurde von mir bislang noch keiner meiner Accounts

 

[Gast_402205]

Reicht doch, wenn dort genug Daten drin sind

Nur, wenn man überall das selbe Kennwort verwendet, wird das zu einem Problem. Ist halt so, als würde man zu seinem Auto, Haus, Boot, Computer, Kamerakoffer … einen Generalschlüssel haben.

Sich selbst als User schützen ist natürlich lobenswert, aber kein Allheilmittel, weil es eben nicht klappt, sind die dann alle Freiwild und selbst schuld?

Ein unverschlüsseltes Kennwort kann bestenfalls einen unauthorisierten Login auf der Site zur Folge haben -- dann bläst halt irgendwer in meinem Namen Schmarren auf die Site: davor fürchte ich mich nicht

Wenn ich den selben Schlüssel auf allen anderen "meiner" Sites auch benutze, habe ich mir selbst ins Knie geschossen -- das aber ist definitiv grob fahrlässig und nicht Dritten umzuhängen …

Ein SSL-Zertifikat kostet nun wirklich nicht die Welt, zuverlässige Anbieter gibt es ab ca 30Euro/Jahr.

Die billigen Anbieter sind aber nicht vertrauenswürdig im engeren Sinn -- die registrieren das Zertifikat ohne Nachweis der behaupteten Daten und somit sind solche Zertifikate nur eingeschränkt zu empfehlen, weil Google & Co. diese "Billigzertifikate" auch wieder mit einem "nur mäßig sicher" diskreditieren.

Aus Marketinggründen muss man also ein "Vollzertifikat" erwerben, das kostete zuletzt etwa 358 Euro für drei Jahre.

 

[maxigs]

Ein unverschlüsseltes Kennwort kann bestenfalls einen unauthorisierten Login auf der Site zur Folge haben -- dann bläst halt irgendwer in meinem Namen Schmarren auf die Site: davor fürchte ich mich nicht

Oder vielleicht hast du in den PN der Seite mal deine Anschrift, Bankdaten oder "den Mädchennamen der Mutter" stehen gehabt, dann kann man da wieder ganz andere Spässe machen

Du wirst staunen, wie kreativ richtige Hacker sein können. Das einzige, was die meisten Menschen schütze, ist dass sie für gezielte Attacken uninteressant sind.

 

[Georgius]

Also wo das Problem bei Bankdaten ist hab ich noch nie verstanden. Die füllt man ja eh dauernd woaus.

 

[Gast_402205]

Oder vielleicht hast du in den PN der Seite mal deine Anschrift, Bankdaten oder "den Mädchennamen der Mutter" stehen gehabt, dann kann man da wieder ganz andere Spässe machen

Also meine Bankdaten findest du auf meinen Websiten im Impressum -- ich will niemanden daran hindern, seinen Zahlungsverpflichtungen zeitgerecht nachzukommen. Die Bankdaten sind auch auf meiner Seite bei der Wirtschaftskammer und sonst wo hinterlegt. Das alles seit 1998 …

Der Mädchenname meiner Mutter ist meinem Bankkonto ziemlich wurscht. Das einzige was zählen würde wäre eine von mir rechtsgültig unterfertigte SEPA Lastschrift, die ich aber nicht ausgestellt habe. Alles andere ginge zu Lasten der Bank und ist mir auch wieder wurscht.

Du wirst staunen, wie kreativ richtige Hacker sein können.

Da ich mich seit 1984 professionell in IT Gefilden herumdrücke, bis 1997 Datenbank- und Netzwerklösungen für Warenwirtschaft und den bargeldlosen Zahlungsverkehr entwickelt und programmiert habe und seither das Full-Service-Hosting für einige Kunden betreibe, habe ich seit ich meinen ersten öffentlichen Server (1988) in Betrieb genommen habe, schon einiges an Kreativität erleben dürfen. Es macht richtig Spaß, das Log am Server in einem Fenster mitlaufen zu lassen, da geht es zu wie im Bienenhaus …

Aber bislang: nicht ein einziger (erfolgreicher) Angriff auf von meinem Team betreute Kunden. Das schlimmste Problem je war ein zweitägiger Server-Ausfall, weil die Feuerwehr beim Löschen des brennenden Nebenhauses alle Leitungen zum Rechenzentrum unter Wasser gesetzt hat. Sonst: Nix.

Teilweise auch mit extremem Glück (bei einer Hack-Attack, der mehrere Millionen Sites zum Opfer gefallen sind, hatten wir die Site-Updates 15 Minuten vor Beginn der Attacke abgeschlossen …), aber das sind alles Aktionen, die nichts mit http/https zu tun haben, sondern die auf Anwender-Software am Server einwirken, ggf. auch den Server selbst durch Brutal-Attacken übernehmen wollen. Aber Bankdaten? Kreditkarten-Buchungen? Alles Fehlanzeige und wenn aufgetreten innerhalb von 24 Stunden rückgebucht.

Mein Tipp: meine öffentlichen Konten und Kartennummern sind auf sehr limitierte Geldquellen beschränkt. Die Karte ist eine Debit-Karte, was da an Guthaben nicht drauf ist, kann gar nicht abgebucht werden, und das Bankkonto ist ohne Rahmen ebenfalls auf das aktuelle Guthaben beschränkt. Mehr als zwei Monate laufender Zahlungen sind nie auf dem Konto zu finden, also bleibt der mögliche Schaden sehr überschaubar.