[Berlin-wireless] Passwörter verwalten für Windows und Mac-User

Smilie smilie at posteo.de
Mi Aug 3 16:57:28 CEST 2016


Ich behaupte aller Wahrscheinlichkeit nach zu Unrecht, wer ein Linux
bedienen kann, weiß wie Passwörter verwaltet werden.
Dass ich hier falsch liege, kann immer noch sehr
wahrscheinlich, aber die Diskussion lohnt sich vielleicht.

Der Sinn und Zweck für solch einen MD5, oder welchen billigen
Crypto-Script wir auch immer zu Hilfe nehmen, ist der folgende...

* Passwörter werden niemals im Klartext gespeichert. Auf welchem
  Computer auch immer.
* Passwörter werden auch nicht in einer verschlüsselten Form
  gespeichert. Nur bei Einwegverscrampelung!

Sollte mein Passwort irgend einmal bei Simyo, Amazon, Telekom,
Freifunk, oder bei der deutschen Bank im Klartext oder in einer
entschlüsselbaren knackbaren verschlüsselten Form abhanden kommen, habe
ich gute Karten diese Leute zu verklagen.
Ich kann bei Frust über Fahrlässigkeit ohne weitere Anstrengungen
behaupten, dass das Passwort dummerweise auch an einer anderen
Stelle gepasst hat. Und dann ist richtig Schaden entstanden.

Das soll heißen...

MD5, ein SHA-Hash oder die Stinkstiefelformel, welche man bekannter
Maßen zur Verschlüsselung von Passwörtern verwendet sind
Verscrampelungen ohne Rückweg.

Der Vergleich der Passwörter geschieht nach der Verscrampelung.

Somit ist es nicht notwendig das Passwort auf der Admin-Seite zu kennen.
Welcher Admin sich aus welcher Neugierde heraus auch immer für die
Passwörter interessiert oder diese ansieht, macht sich nach dem Stand
der Technik eventuell strafbar. 

Die Passwörter trotzdem zu speichern, ist nicht nur moralisch und
strafrechtlich ein Problem, sondern auch weil es den Admin zu
Straftaten verleitet.

Eine Straftat könnte da zum Beispiel lauten:
Die Firma XY hat sich die Passwörter stehlen lassen.
Also hat die die Passwörter im Klartext gespeichert.
Wenn die Datei Shadow gestohlen wird, ist das noch nicht das
Passwort. Zumal die Methode zum Verscrampeln nicht bekannt sein muss.

Ich kann auch immer noch behaupten, der Admin hat die Passwörter
verkauft.



Am Wed, 3 Aug 2016 13:09:49 +0200
schrieb Harald Stürzebecher <haralds at metafly.info>:

> Am 03.08.2016 11:48 vorm. schrieb "André Gaul" <andre at gaul.io>:
> >
> > wow, mit selbstimplementiertem md5crypt:  
> 
> > aber mit js hat man vmtl keine andere wahl (zumindest im browser).  
> 
> SHA-1, z.B.  http://www.movable-type.co.uk/scripts/sha1.
> <http://www.movable-type.co.uk/scripts/sha1.html>html
> <http://www.movable-type.co.uk/scripts/sha1.html>
> 
> Man könnte wohl, wenn man wollte.
> 
> > sehe ich in dem fall aber auch gar nicht so kritisch.  
> 
> Solange den Hash kein Unbefugter in die Finger bekommt, ist dass
> völlig unkritisch. Das gilt AFAICT allerdings auch für
> Klartext-Passwörter.
> 
> Harald




Mehr Informationen über die Mailingliste Berlin