2005-08-05, 19:16
bekomme ich auch seit Monaten. Falls jemand dort sein PW schon eingegeben hat: Sofort Passwort ändern.
Normalerweise habe ich bei Online-Seiten immer ein billiges Standard-Passwort gehabt, dass sogar ein paar andere Leute kannten.
Aber vor ein paar Wochen ist mir bewusst geworden, dass man bei Shopping- oder Versteigerungs-Seiten wirklich sichere Passwörter verwenden soll.
Was ja auch voll böse wäre: Jemand macht eine Seite, wo ein User-Login notwendig ist. Wie z.B. diese Forum oder irgendeinen kleinen Onlineshop. Der Betreiber oder ein Programmierer oder sonst jemand, der Zugriff auf den Server hat, sorgt dafür, dass die Passwörter uncodiert abgespeichert oder geloggt werden. Die Wahrscheinlichkeit, dass jemand denselben Usernamen und dasselbe Passwort woanders verwendet, ist relativ groß.
Idealerweise sollte man bei Seiten, wo jemand wirklich Missbrauch machen könnte (Shopping, Aktuionen, ...), sichere Passwörter verwenden, die man sonst nicht für jede Seite im Netz verwendet. Eventuell auch unterschiedliche Usernamen oder E-Mail-Adressen.
Einfach zu einem Passwort würde auch ein Arbeitskollege kommen können - oder jemand, der einen Computer im gleichen Netz wie ihr habt. Der braucht nur seine Netzwerkkarte mit Tools so umstellen, dass sie alle Daten-Pakete im eigenen Netz bekommt. Wenn die Webseite, die ihr besucht, nicht SSL-verschlüsselt ist, dann wird alles im Klartext übertragen. Das kann dann auch jemand anderer im gleichen Netz problemlos mitlesen.
PS: Für einen Seitenbetreiber wäre es kein Problem die Passwörter mitzuschreiben. Ginge auch hier ganz einfach. Bei einer sauberen Anwendung werden die Passwörter allerdings nirgends mitgespeichert sondern mit einem Hashing-Algorithmus "verschlüsselt". Dabei kommt als Ergebnis ein Hashcode raus, der dann in der Datenbank gespeichert wird. Diese Verschlüsselung kann nicht rückgängig gemacht werden. Jedesmal wenn sich jemand einloggt, wird vom eingegebenen Passwort wieder der Hashcode berechnet und mit dem gespeicherten verglichen. Dadurch wird sichergestellt, dass keiner das Passwort im Klartext sieht, auch wenn er in die Datenbank mit den Userdaten sehen kann.
Also vorsichtig sein!
Normalerweise habe ich bei Online-Seiten immer ein billiges Standard-Passwort gehabt, dass sogar ein paar andere Leute kannten.
Aber vor ein paar Wochen ist mir bewusst geworden, dass man bei Shopping- oder Versteigerungs-Seiten wirklich sichere Passwörter verwenden soll.
Was ja auch voll böse wäre: Jemand macht eine Seite, wo ein User-Login notwendig ist. Wie z.B. diese Forum oder irgendeinen kleinen Onlineshop. Der Betreiber oder ein Programmierer oder sonst jemand, der Zugriff auf den Server hat, sorgt dafür, dass die Passwörter uncodiert abgespeichert oder geloggt werden. Die Wahrscheinlichkeit, dass jemand denselben Usernamen und dasselbe Passwort woanders verwendet, ist relativ groß.
Idealerweise sollte man bei Seiten, wo jemand wirklich Missbrauch machen könnte (Shopping, Aktuionen, ...), sichere Passwörter verwenden, die man sonst nicht für jede Seite im Netz verwendet. Eventuell auch unterschiedliche Usernamen oder E-Mail-Adressen.
Einfach zu einem Passwort würde auch ein Arbeitskollege kommen können - oder jemand, der einen Computer im gleichen Netz wie ihr habt. Der braucht nur seine Netzwerkkarte mit Tools so umstellen, dass sie alle Daten-Pakete im eigenen Netz bekommt. Wenn die Webseite, die ihr besucht, nicht SSL-verschlüsselt ist, dann wird alles im Klartext übertragen. Das kann dann auch jemand anderer im gleichen Netz problemlos mitlesen.
PS: Für einen Seitenbetreiber wäre es kein Problem die Passwörter mitzuschreiben. Ginge auch hier ganz einfach. Bei einer sauberen Anwendung werden die Passwörter allerdings nirgends mitgespeichert sondern mit einem Hashing-Algorithmus "verschlüsselt". Dabei kommt als Ergebnis ein Hashcode raus, der dann in der Datenbank gespeichert wird. Diese Verschlüsselung kann nicht rückgängig gemacht werden. Jedesmal wenn sich jemand einloggt, wird vom eingegebenen Passwort wieder der Hashcode berechnet und mit dem gespeicherten verglichen. Dadurch wird sichergestellt, dass keiner das Passwort im Klartext sieht, auch wenn er in die Datenbank mit den Userdaten sehen kann.
Also vorsichtig sein!