Hadmut Danisch

Ansichten eines Informatikers

Passwords are stored in a secure way.

Hadmut
30.7.2012 9:14

Seltsame Aussage der britischen Handelskette Tesco auf Twitter (falls der Account echt ist):

Passwords are stored in a secure way. They’re only copied into plain text when pasted automatically into a password reminder mail.

Au weia. Das hat ja schon De-Mail-Niveau.

(Danke für den Link)


21 Kommentare (RSS-Feed)

Kaiser
30.7.2012 11:27
Kommentarlink

Ob er Sicherheitsberater dort ist? http://www.bash.org/?244321


Mephane
30.7.2012 13:03
Kommentarlink

Wenn ein Passwort per E-Mail verschickt wird, ist es sowieso egal wie es mal irgendwo gespeichert war. “Secure way” bei jemand der so etwas tut kann genausogut ROT13 meinen…


Hanz Moser
30.7.2012 16:11
Kommentarlink

Naja, jetzt kommt es darauf an, ob der “password reminder” das bestehende Passwort raus schickt, oder ein neues generiert und versendet.

Wenn das Alte verschickt wird ist definitiv was faul. Wenn ein Neues generiert wird und es wirklich nur in der Form jemals im Klartext gespeichert wird (natürlich nicht in irgend einem Emaillog des Versenders, sondern nur in der Email an den Kunden selbst), sehe ich momentan das Problem nicht so ganz.
Dem Kunden muss ich das Passwort ja im Klartext mitteilen, er kann ja nicht irgendeinen Hashwert einfüllen.

Natürlich könnte man das besser machen, aber skandalös schlecht klingt das nicht.


Johanna
31.7.2012 11:55
Kommentarlink

@Hanz Moser: “Dem Kunden muss ich das Passwort ja im Klartext mitteilen…”

Schon, die Frage ist aber auch, ob man ihn nach dem ersten Einloggen mit dem autmatisch generierten Passwort auffordert, ein eigenes Passwort festzulegen. Ansonsten darf man – vor allem wenn (was anzunehmen ist) die E-Mails mit dem Ersatzpasswort unverschlüsselt versendet wurde – getrost davon ausgehen (man darf nicht nur, man muss), dass das Passwort im Klartext vorliegt und Dritten bekannt ist. Das bedeutet auch, dass das vorübergehende Passwort streng genommen nur zeitlich begrenzt gültig sein darf.

Wie auch immer: Die im Tweet gemachte Äußerung ist wirklich auf einem dem Kunden gegenüber höchst respektlosen Niveau. Etwas mehr Infos hätten auch in einen Tweet gepasst – zumal auch für die Speicherung von Passwort-Hashes Kerckhoffs Maxime der Offenlegung des Verfahrens gelten sollte.


Hanz Moser
31.7.2012 15:38
Kommentarlink

@ Johanna

Alles durchaus richtig. Ich würde ja sogar sagen, dass eine verschlüsselt versendete Email auch kein Kriterium ist, weil kaum ein normaler Nutzer die Dinger verschlüsselt abruft.

Ich sehe aber den großen Aufreger nicht. Vermutlich war die Antwort auch nicht respektlos gemeint, sondern der Antwortende hat einfach keine Ahnung, muss aber natürlich Sicherheit zusichern. Tweets sind ja öffentlich…

Mir scheint das der übliche Wahnsinn zu sein. Eine Meldung wert wäre es, wenn sie die Passwörter einfach als Klartext oder ROT13 in die DB schreiben. Und das passiert noch oft genug…


Johanna
31.7.2012 17:55
Kommentarlink

Ja, es ist der “übliche Wahnsinn” – aber das ist ja gerade der Aufreger: Leute stellen eine ernst gemeinte Frage und werden von ahnungslosen Mitarbeitern mit Belanglosigkeiten abgebügelt. Früher bekam man bei Fragen noch Antworten aus der Abteilung, die dafür zuständig war.


techniknörgler
2.8.2012 11:04
Kommentarlink

Nachfrage wegen des Seitenhiebes auf de-mail:

Was ist an dieser denn nun so schlimm? Das keine End-zu-End-Verschlüsselung als Standard vorgesehen ist (aber explizit erlaubt und durch einen öffentlichen Verzeichnisdienst auch erst einaml praktikabel gemacht werden soll)? Für den Aufwand (auch wenn man ihn verringert) hat Otto Normalnutzer eh keine Zeit und Lust. Kann man also nicht als Standard festsetzen, wenn die Einstiegshürde niedrig seien soll.

Im Gegensatz zum nPA, bei dem die Abwegung zwischen Sicherheit und Praktikabilität misslungen ist, wirkt die de-mail auf mich inzwischen durchdacht.

Der nPA mag auf den ersten Blick sicherer wirken. Dafür hätte man sich aber den öffentlichen Aufwand und Kosten sparen können. Wenn ich für die Nutzung einer qualifizierten elektronischen Signatur mir eh noch von einem privaten Anbieten ein Zertifikat besorgen muss (gegenüber dem ich mich noch einmel extra identifizieren muss), um es dann auf den nPA zu laden, wenn ich dann auch noch zusätzliche Hardware um die 100€ erwerben muss, um diese nPA-Funktion zu nutzen, dann hätte man es auch bei den bisherigen Möglichkeiten lassen können. Da benötige ich zwar auch ein gesondertes Gerät, damit es sicher ist und eine extra Chipkarte zum speichern des Zertifikates, aber die dafür notwendige Karte bezahlt nur, wer sie braucht. Oder es wird ein dafür ausgelegter USB-Stick-Token verwendet, auf dem das Zertifikat und der private key abgelegt ist.


Hadmut
2.8.2012 11:23
Kommentarlink

An de-Mail ist einiges schlimm. Nämlich dass es für den Bürger eine Menge rechtlicher Nachteile und signifakter Kosten und Pflichten mit sich bringt, aber keinen einzigen klar spezifizierten und rechtlich einforderbaren Vorteil, der einer Nachprüfung standhält. De-Mail ist prima – für Behörden und Unternehmen. Nicht für den Bürger. Und dafür soll er noch zahlen.

Bringt aber nichts, das hier jetzt auszubreiten, das ist andernorts und hier in diversen Blog-Artikeln (und auch in meinem Buch) ausführlich erläutert. Muss man nicht ständig wiederholen.


techniknörgler
2.8.2012 15:47
Kommentarlink

“An de-Mail ist einiges schlimm. Nämlich dass es für den Bürger eine Menge rechtlicher Nachteile und signifakter Kosten und Pflichten mit sich bringt, aber keinen einzigen klar spezifizierten und rechtlich einforderbaren Vorteil, der einer Nachprüfung standhält. De-Mail ist prima – für Behörden und Unternehmen. Nicht für den Bürger. Und dafür soll er noch zahlen. ”

Oft gelesen, auch hier im Blog, wirkt auf mich aber eher konstruiert.

Wenn zum Beispiel der Bürger eine de-mail versendet und eine Bestätigung dafür erhält (digital signiert) dann soll das für ihn kein Beweis sein, wenn er von einem Unternehmen oder einer Behörde eine de-Mail erhalten sollte und das Absenden vom de-mail Anbieter bestätigt wurde, dann soll der Bürger keine Möglichkeit haben das Gegenteil zu beweisen. Fällt etwas auf? Die beiden Vorwürfe gegen de-mail widersprechen sich. Ich sehe im De-Mail-Gesetz keine unterschiedlichen Beweisregeln für Bürger und Unternehmen.

Mehrkosten für den Bürger? Das Porto bei de-mail ist niedriger als bei der klassischen Post. Mehr noch: Aufgrund der Einsparungen durch de-mail könnte es sich für Unternehmen eventuell sogar rentieren Kunden zur Nutzung von de-mail zu überreden, in dem den Kunden Portoguthaben (auf Kosten des Unternehmens!) versprochen wird. Eine gewisse Anzahl an de-Mails sind dann für den Kunden kostenlos. Das Unternehmen zahlt also nicht nur seine eigenen de-Mails, sondern auch einen Teil der vom Kunden versendeten de-Mails an Unternehmen. Entsprechende Idee gibt es wohl. Selbst wenn sich das so nicht durchsetzt: Der Bürger spart trotzdem gegenüber der klassischen Post.

Zustellfiktion: Gibt es auch bei der klassischen Post. Natürlich muss man dann regelmäßig in seinen de-mail-Account reinschauen. Das ist der einzige Nachteil – und der Preis für die Kosteneinsparungen auf Seiten des Bürgers.


Hadmut
2.8.2012 15:52
Kommentarlink

Das ist eben der Denkfehler. Eine digitale Signatur ist noch lange kein Beweis. Insbesondere nämlich dann nicht, wenn sie von jemand anderem kommt bzw. jemand anderes den Schlüssel hat als der Empfänger.

Es kann zu falschen Bestätigungen kommen.

Und die Asymmetrie, die Du als Argument hernimmst, ist kein Widerspruch, sondern real, weil die Behörden und Großkonzerne da ganz andere Zugänge haben als der Privatbenutzer. Die Asymmetrie liegt wirklich vor.


techniknörgler
2.8.2012 15:55
Kommentarlink

Zustellfiktion: Gibt es auch bei der klassischen Post. Natürlich muss man dann regelmäßig in seinen de-mail-Account reinschauen. Das ist der einzige Nachteil – und der Preis für die Kosteneinsparungen auf Seiten des Bürgers und die rechtliche Sicherheit durch Eingangsbestätigungen.


Hadmut
2.8.2012 15:59
Kommentarlink

Worauf willst Du eigentlich hinaus?

Momentan habe ich den Eindruck, dass Du hier trollst bzw. Kommentar-Ping-Pong spielst, denn ich seh beim besten Willen nicht, was Du eigentlich sagen willst, sondern nur, dass Du irgendwas suchst, um dagegen zu sein.

Zumal es hier in diesem Blog-Artikel eigentlich auch nicht mehr um de-mail geht.

Wenn Dir de-mail gefällt, dann benutz es doch, und gut is. Du musst Dir doch nicht vorher meine Zustimmung und Billigung erstreiten.


techniknörgler
2.8.2012 16:06
Kommentarlink

“Und die Asymmetrie, die Du als Argument hernimmst, ist kein Widerspruch, sondern real, weil die Behörden und Großkonzerne da ganz andere Zugänge haben als der Privatbenutzer. Die Asymmetrie liegt wirklich vor.”

Zugänge zu was? Zur technischen Infrastruktur? Kann sein, würde vor Gericht als Argument aber eher umgekehrt wirken: Der kleine, schwache Bürger hat quasi keine Möglichkeit zur Manipulation. Seine Zustellbestätigungen, die ihm belegen etwas versendet zu haben, sind daher entsprechend glaubwürdig. Behörden und Unternehmen habe eher die finanziellen Mittel und technischen Möglichkeiten zur Manipulation und Bestechung, daher sind deren Eingangsbestätigungen tendenziell unglaubwürdiger als die der Bürger.

In der Praxis dürfte regelmäßig in beiden Fällen drauf vertraut werden, denn hier wird der falsche Maßstab angelegt:

Wenn ich heute zum Gerichtsvollzieher gehe, um eine Willenserklärung zustellen zu lassen, dann bestätigt mir der Gerichtsvollzieher (also ein Dritter!) das ich diese Willenserklärung habe zustellen lassen.

Wenn ich heute ein Einschreiben verschicke und dieses wird vom Empfänger bewusst nicht angenommen, dann bestätigt mir die Post, dass die Zustellung ankam, dann aber abgeleht wurde (der potentielle Empfänger also in eigener Verantwortung, bewusst und absichtlich die Zustellung verhindert hat). Bei einem Einwurfeinschreiben bestätigt mir nicht der Emfpänger die Entgegenahme, sondern nur der Postbote (ein Dritter!) den Einwurf beim Empfänger.

Neue (aus meiner Sicht fortschrittliche) Ideen werden hier, (vermutlich aus rationalisierten Vorbehalten heraus) an fiktiven, theoretischen Idealzuständen gemessen. Aber wenn ich die Zustellung bestätigt haben will, auch wenn der Empfänger die Zustellung verhindern möchte, dann brauche ich einen unabhängigen Dritten, der mir den Versuch bestätigt, so dass ich einen Nachweis bei Gericht habe.

Diese Vorbehalte sind nachvollziehbar, kam doch bisher viel Müll auf dem Gebiet der IT aus der Politik. Trotzdem handelt es sich hier um eine abgehobene Kritik aus einer theoretischen (um nicht zu sagen fiktiven), technischen Idealwelt, in der offenbar viele ITler schweben.


Hadmut
2.8.2012 16:14
Kommentarlink

Tja, das „aus meiner Sicht”-Argument ist so ein Null-Argument, mit dem man alles behaupten kann und nichts belegen muss.

Wenn Dir meine Aussagen nicht gefallen, warum liest Du sie dann überhaupt, und suchst Dir nicht ein Blog, das Deinen Vorstellungen entspricht?

Niemand erwartet von Dir, dass Dir meine Meinung gefällt oder Du sie akzeptierst.

Und wenn Du mal oben auf die Überschrift guckst, dann wirst Du sehen, dass dieses Blog der Darstellung meiner und nicht Deiner Ansichten dient.

Und solche Moving-Target-Trolle, die erst mit Lob an de-mail anfangen und letztlich damit rüberkommen, dass ihnen die IT-Sicht nicht passt, kann ich eh nicht leiden.

Du kannst gerne de-mail benutzen, so viel du willst (was übrigens den Vorteil hätte, dass Du da nicht mehr unter Pseudonym trollen kannst), aber hier nicht weiter in meinem Blog rummüllen.


Sven
6.8.2012 0:21
Kommentarlink

Sorry, das ich euren lustigen Disput störe…
Aber einige Dinge stellst Du, Hadmut, nicht ganz richtig dar …

1: De-Mail kennt auch Pseudonyme.
2: Zur Beweiskraft der Signatur: Mit dem E-Government Gesetz wird
De-Mail in der Kommunikation mit Behörden (Rest folgt) der Schriftform
gleichgesetzt sein (in beide Richtungen).
3: Behörden und Firmen haben technisch – wenn sie sollen – einen anderen
Zugang (Gateway statt WebFrontend). Aber das Ergebnis ist immer die gleiche De-Mail mit gleicher Beweiskraft.

Just my $0.02


Hadmut
6.8.2012 0:27
Kommentarlink

@Sven: Du hast nicht verstanden, was ich gesagt habe.

Technisch hat De-Mail keine Beweiskraft. Dass trotzdem per Gesetz eine Beweiskraft fingiert wird, wo keine ist, ist doch gerade der Schwindel und das Problem. Da machen Leute Gesetze über etwas, was sie nicht verstanden haben, und der Bürger ist im Zweifel der Dumme. Da kann es vorkommen, dass etwas nicht passiert ist und technisch nicht beweisbar ist, aber dann Leute wie Du daherkommen, die sagen, dass es aber im Gesetz steht, dass es ein Beweis wäre. Da ist man dann der Gelackmeierte, weil man gegen eine gesetzliche Beweiskraft nicht mehr ankommen kann.

Es kann einfach nicht angehen, dass das Gesetz Beweiskraft fingiert, obwohl tatsächlich nicht gewährleistet ist, dass die Sendung auch angekommen ist.


yasar
6.8.2012 10:10
Kommentarlink

@Sven:

Das ist in etwas so, als ob Du per gesetz beschließt, daß Pi ab sofort 3 ist – ohne nachkommastellen. Villeicht macht es das klarer.


yasar
6.8.2012 10:13
Kommentarlink

Ach wenn ich Wikipedia inzwischen nicht (mehr) für eine seriöse Quelle halte: https://en.wikipedia.org/wiki/Indiana_Pi_Bill

(Auf die deutsche mag ich gar nicht mehr verlinken.)


Stefan
6.8.2012 10:19
Kommentarlink

Witziger Standpunkt. Man veröffentlicht einen Blog mit seinen Gedanken und lässt dann keine kritische Diskussion zu.

Aber zum Thema: Die technische Beweisbarkeit ist bei einer digitalen Signatur weshalb denn nicht gegeben? Man sollte vielleicht erwähnen, dass es sich hierbei um eine qualifizierte Signatur handelt, die bekanntermaßen nur unter besonderen technischen Voraussetzungen erstellt wird (sieht dazu auch § 2 VII SigG). Zum einen ist das das verwendete Zertifikat nur von bestimmten, akkreditierten Herausgebern erstellt worden. Des Weiteren ist inkludiert, dass ein Vertretungsberechtigter des DMDA-Provider sich mit Personalausweis identifiziert hat um das Zertifikat zu beantrage. Des Weiteren kommt das Zertifikat grundsätzlich auf einer Smartcard daher und schützt den privaten Schlüssel zusätzlich vor Missbrauch. Mit diesem Zertifikat wird dann die Zustellungsquittung signiert. Der Empfänger kann nun nachweisen, dass die E-Mail zum einen unterwegs nicht verändert wurde und er kann nachweisen, von wem sie kommt. Was fehlt zur technischen Beweisbarkeit?


Hadmut
6.8.2012 10:28
Kommentarlink

> Man veröffentlicht einen Blog mit seinen Gedanken und lässt dann keine kritische Diskussion zu.

Erstens setzt das erste nicht das zweite voraus.

Zweitens ist noch lange nicht jeder Quatsch oder jede Andermeinung eine „kritische Diskussion”.

Es ist leider so eine Modeerscheinung geworden, das jeder, der irgendwas rummotzen will, seine eigenen Ergüsse als „kritische Diskussion” adeln und damit gegen den Mülleimer immunisieren will.

Nicht jedes Geblubber ist eine „kritische Diskussion” und „kritische Diskussion” ist auch kein Buzzword, das mit zur Publikation von allem auf meiner Webseite zwingt, was mir irgendwer hinwirft. Ich muss nicht den Publikationskasper machen um „kritische Diskussionen” zuzulassen. Eine gewisse Mindestqualität kann gefordert werden.


Stefan
7.8.2012 16:33
Kommentarlink

Letzteres wurde ja nun deutlich herabgesetzt. Auf meine eigentliche Frage kam auch keine Antwort, schade eigentlich.