WebSite X5Help Center

 
Martin R.
Martin R.
User

Passwörter in DB verschlüsseln - Passwortänderung ermöglichen!  de

Auteur : Martin R.
Visité 2807, Followers 2, Partagé 0  

Hatte gerade ein Gespräch zu dem Thema mit einem Fachanwalt, daher aus gegebenem Anlass hier nochmal:

Noch immer werden die Passwörter unverschlüsselt in der Datenbank gespeichert. Nach dem Aufruf des Links "Passwort vergessen" wird das Passwort im Klartext an den User übermittelt. Viele Benutzer verwenden bei mehreren Portalen das gleiche Passwort und melden sich natürlich mit Ihrer Mailadresse an. Somit hat jeder Seitenbetreiber und deren Webhoster Zugrif auf diese Daten.  Haarsträubend!!!

Der Anwalt hat folgendes Szenario dargestellt:

Ein X beliebieger Account eines Users wird gehackt, es entsteht großer finanzieller Schaden, möglicherweise ist noch eine weitere Straftat im Spiel. Der Geschädigte hat sich penibel notiert wo er diese Zugangsdaten überall verwendet hat.

Es ist dann davon auszugehen das sämtliche Betreiber der betreffenden Seiten von der ermittelnden Behörde, aufgefordert werden ihr Verfahrensverzeichnis sowie die zugehörigen Auftragsverarbeitungsverträge vorzulegen. (Für alle die es noch nicht wissen, im Verarbeitungsverzeichnis müssen die Art der Daten, der Zweck und die getroffenen Sicherheitsmaßnahmen expliziit dokumentiert sein.)

So, nun mach denen mal klar das die Zugangsdaten unverschlüsselt abgelegt wurden!!

Keiner meiner Kunden dürfte diesen Fall überleben!

Falls es nicht ganz so hart kommt, ist es auf jeden Fall schon mal keine vertrauensbildende Maßnahme das ein Benutzer sein Passwort nicht ändern kann.

Das BSI empfiehlt ganz öffentlich: "Passwörter sollten in regelmäßigen Zeitabständen geändert werden..." Quelle

In der Produktbeschreibung wird mit folgender Aussage geworben:"Sicherheit und DSGVO: Der mit WebSite X5 generierte Code wurde überprüft und ist konform mit der europäischen Datenschutz-Grundverordnung. Sie erhalten alles Benötigte, einschließlich der neuen Regeln für Nutzer bei der Erstellung von Passwörtern. Nun müssen Sie nur noch Ihre Website korrekt konfigurieren."

Identitätsdiebstahl leichgemacht. wer bitteschön hat das denn geprüft??

Posté le
10 RéPONSES - 3 UTILE
Andreas S.
Andreas S.
Moderator
Meilleur utilisateur du mois DE

Für welche Sparte benötigst oder speicherst du diese Kundendaten?  Für Geheimagenten oder im Pornobereich?  Für Shops so groß wie Amazon?

Lire plus
Posté le de Andreas S.
Martin R.
Martin R.
User
Auteur

Ich verstehe die Frage nicht?

Lire plus
Posté le de Martin R.
Martin H.
Martin H.
User

Was kann Website dafür wenn User sich mit den gleichen Passwörter und der gleichen Email bei verschiedenen Diensten anmeldet?

Wenn das Szenario deines Anwalt Eintritt, hilft eine verschlüsselte Datenbank auch nicht mehr - jedoch kenne ich mich mit der Materie Datenbank zu wenig aus um dies richtig abschätzen zu können.

Lire plus
Posté le de Martin H.
Andreas S.
Andreas S.
Moderator
Meilleur utilisateur du mois DE

Die Frage war nur gezielt auf dein Produkt gewesen, weil du und dein Anwalt schon im Vorhinein glauben, dass es eine Hackerattacke gibt oder hundert Abmahnanwälte deine Website auf den Kicker haben.

Weil wenn du nur ein paar Anmeldungen hast die in der Datenbank gespeichert werden oder nicht so einen großen Kundenstock gespeichert hast, ist das mit der unverschlüsselten Datenbank den Hackern oder Anwälten komplett egal.

Wenn du aber einen großen SHOP hast der schon mal aufgefallen ist, dann bist du bei dem integrierten Warenkorbsystem bei WSX5 falsch und benötigst eine "echte" Shopsoftware die alle Stücke spielt.

Lire plus
Posté le de Andreas S.
Rainer M.
Rainer M.
User

@Andreas S. - Ich verstehe deine Antwortfrage auch nicht ganz. Egal ob ein Shop groß, klein oder sonstwas ist, gehört ein Passwort nicht unverschlüsselt in eine Datenbank.

Andreas S.
... Weil wenn du nur ein paar Anmeldungen hast die in der Datenbank gespeichert werden oder nicht so einen großen Kundenstock gespeichert hast, ist das mit der unverschlüsselten Datenbank den Hackern oder Anwälten komplett egal. ...

Es ging nicht um die Datenbank, sondern nur wie die Passwörter abgelegt werden.

Gruß Rainer

Lire plus
Posté le de Rainer M.
Incomedia
Stefano G.
Incomedia

Hi Martin.

This concern has already been reported by other users, and I can confirm that this has been communicated to the developers, which are already discussing the matter in order to always improve the security of the software and the websites generated by it.

This matter is most important to us, and for this reason, it is one of the top priorities.

I will leave this topic open, so that other users can contribute to this Idea for an improvements, and thank you for your feedback

Stefano

GOOGLE TRANSLATE ---

Hallo Martin.

Diese Bedenken wurden bereits von anderen Nutzern gemeldet, und ich kann bestätigen, dass dies den Entwicklern mitgeteilt wurde, die bereits die Angelegenheit diskutieren, um immer die Sicherheit der Software und der von ihr erzeugten Webseiten zu verbessern.

Diese Frage ist uns am wichtigsten und deshalb ist sie eine der obersten Prioritäten.

Ich werde dieses Thema offen lassen, damit andere Nutzer zu dieser Idee für Verbesserungen beitragen können, und ich danke Ihnen für Ihr Feedback

Stefano

Lire plus
Posté le de Stefano G.
Martin R.
Martin R.
User
Auteur

@Stefano: Thank`s a lot

@Andreas S: Ich habe die Frage an sich schon verstanden, mein Kommentar sollte zum Ausdruck bringen das die Frage  überhaupt keinen Sinn macht, als Antwort auf eine ernstgemeinte Anregung.

Lire plus
Posté le de Martin R.
Andreas S.
Andreas S.
Moderator
Meilleur utilisateur du mois DE
Martin R.
Keiner meiner Kunden dürfte diesen Fall überleben!

Es ist mir eigentlich um diesen Satz gegangen. Wenn du geheime Daten von Kunden hast würde ich es verstehen.

Wenn man aber z.B. angenommen "Quietschenten" verkauft und du hast 20 Kunden in der Datenbank mit Nutzername und Passwort (unverschlüsselt) wird das keinen Hacker interessieren ob das Passwort verschlüsselt oder unverschlüsselt ist. Und glaube mir verschlüsselte Passwörter sind Profihackern auch kein Hindernis.

Lire plus
Posté le de Andreas S.
Hans-Günter K.
Hans-Günter K.
User

Dieses Problem besteht nicht nur, wenn man eine Datenbank eingebunden hat.

Ich hatte bereits am 22.05.2018 in meinem Thread darauf hingewiesen, dass die Passwörter, welche man in der Zugangsverwaltung festlegt, unverschlüsselt auf dem Server in der Datei "res\access.inc.php" abgelegt sind (siehe hier: https://helpcenter.websitex5.com/fr/post/193999).

Das ein eingetragener Nutzer sein Passwort nicht selbst, sondern immer über eine erneute WebSiteX5-Anpassung ändern kann, ist ebenfalls ein Unding und überhaupt nicht zeitgemäß und sicher auch nicht im Sinne der DSGVO. Das man hier nicht wenigstens ein eigenes Objekt anbietet, über das sich ein potentieller Nutzer registrieren und ein eigenes Passwort anlegen kann (natürlich verschlüsselt abgespeichert), ist für mich unverständlich, das ist schon seit Jahren Stand der Technik.

Und die Frage nach der Verschlüsselung des gespeicherten Passworts sollte nicht davon abhängen, ob ich "nur" Quietschentchen verkaufen will oder etwas anspruchsvolleres. Unverschlüsselt gehört kein Passwort abgespeichert!

Und die Bemerkung von Andreas "...glaube mir verschlüsselte Passwörter sind Profihackern auch kein Hindernis" ist ja nun wirklich kein Argument dafür, auf Verschlüsselung zu verzichten.

Ich habe mir in der Zwischenzeit mit PHP und HTML ein eigenes Passwort-Handling gebastelt, mit dem sich wenigstens ein in der Datenbank eingetragener Nutzer (es handelt sich hier um Mitglieder eines Vereins)  selbst ein neues Passwort anfordern kann. Er bekommt dann eine Mail mit einem Link, über welchen er sich dann innerhalb einer bestimmten Zeit ein neues Passwort vergeben kann. Das Passwort wird dann mittels eines hash-Codes auf 60 Zeichen verschlüsselt und in der Datenbank hinterlegt.

Nachteil dieser Lösung: ich muss jedesmal, wenn ich mit WebSiteX5 an der Homepage etwas verändere, diesen Codeanteil manuell nachtragen, weile es etwas tiefer in die originale Zugangsverwaltung von WebSiteX5 eingreift und dies jedesmal bei Veröffentlichung überschrieben wird. Aber es hilft zumindest ein wenig, um DSGVO-konform zu sein.

Es wäre also wirklich mal ein neues Objekt für die Zugangsverwaltung dringend erforderlich. Notwendiger, als neue Text-Animationen!

Regards,

Hans-Günter

Lire plus
Posté le de Hans-Günter K.