Ankündigung

Einklappen
Keine Ankündigung bisher.

Wordpress User Hinzufügen über script

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    Das was ich in #13 geschrieben habe auf jedenfall

    LG
    https://github.com/Ma27
    Javascript Logic is funny:
    [] + [] => "", [] + {} => object, {} + [] => 0, {} + {} => NaN

    Kommentar


    • #17
      Zitat von Sakron Beitrag anzeigen
      Wieso sollte man Passwörter hashen ? Wenn man die nachher wieder im Klartext sehen will (was auf Nachfrage eines Users gut möglich sein kann), bringt dir ein hash garnix.
      Und wenn du daraus wieder dein Passwort kriegst, bringt er dir erst recht nichts.
      Wieso bietet man die Kennwort-Liste nicht direkt als Download an? Dann muss man sich a) nicht vor Hackern schützen und b) kann der User sein Kennwort selbst nachgucken.

      ...

      [SIZE="1"]Atwood's Law: any application that can be written in JavaScript, will eventually be written in JavaScript.[/SIZE]

      Kommentar


      • #18
        Warum lässt man Passwörter nicht einfach weg und Kunden können sich rein mit ihrem Benutzernamen anmelden? Nie mehr Passwörter merken!

        Kommentar


        • #19
          Zitat von rkr Beitrag anzeigen
          Warum lässt man Passwörter nicht einfach weg und Kunden können sich rein mit ihrem Benutzernamen anmelden? Nie mehr Passwörter merken!
          Wozu dann noch Benutzernamen? Jeder sollte alles sehen und verändern können!
          [SIZE="1"]Atwood's Law: any application that can be written in JavaScript, will eventually be written in JavaScript.[/SIZE]

          Kommentar


          • #20
            Genau, es gibt nur noch ein großes, für alle offenstehendes PayPal-Konto. Wo kann ich unterschreiben?

            Kommentar


            • #21
              [SIZE="1"]Atwood's Law: any application that can be written in JavaScript, will eventually be written in JavaScript.[/SIZE]

              Kommentar


              • #22
                Meine Aussage bezog sich auf den Unterschied zwischen Hashen und Verschlüsseln.
                Viele Anbieter (Apple z.B.) haben das Passwort im Klartext vorliegen (-> die Verschlüsseln das, und hashen es nicht). Wenn man bei denen anruft können die einem das Passwort nennen.

                Wieso also sollte man ein Passwort hashen (was man nicht wieder rückgängig machen kann) anstatt es zu verschlüsseln ?
                Was ich im ursprünglichen Beitrag überlesen hatte war, dass Sie einen Hash zum verschlüsseln benutzen, nicht das Passwort hashen. Kp wieso da so doofe Antworten kommen,
                jeder weiß dass man ein Passwort nicht ungesichert wo rumliegen haben sollte ? Aber danke für die schlechte Bewertung, nur weil ihr einen Beitrag nicht verstanden habt
                No Sacrifice , no Glory--

                Kommentar


                • #23
                  Zitat von Sakron Beitrag anzeigen
                  Meine Aussage bezog sich auf den Unterschied zwischen Hashen und Verschlüsseln.
                  Viele Anbieter (Apple z.B.) haben das Passwort im Klartext vorliegen (-> die Verschlüsseln das, und hashen es nicht). Wenn man bei denen anruft können die einem das Passwort nennen.

                  Wieso also sollte man ein Passwort hashen (was man nicht wieder rückgängig machen kann) anstatt es zu verschlüsseln ?
                  Was ich im ursprünglichen Beitrag überlesen hatte war, dass Sie einen Hash zum verschlüsseln benutzen, nicht das Passwort hashen. Kp wieso da so doofe Antworten kommen,
                  jeder weiß dass man ein Passwort nicht ungesichert wo rumliegen haben sollte ? Aber danke für die schlechte Bewertung, nur weil ihr einen Beitrag nicht verstanden habt
                  Ich habe dir zwar keine negative Bewertung gegeben (weil ich das eigentlich nie tue), aber verdient haettest du die...
                  Warum sollte jemand mein Passwort sehen dürfen?

                  Niemand sollte in der Lage sein mein Passwort sehen zu dürfen! Und schon gar nicht, wenn ein User bei mehr als einem Portal das gleiche Passwort verwendet. Das öffnet Missbrauch Tür und Tor.
                  Eine gute "Zugang wiederherstellen"- / "Passwort vergessen"-Funktion ist absolut ausreichend.

                  Kommentar


                  • #24
                    Verdient, weil du (und Andere) den Beitrag nicht verstanden haben?
                    > Es ging um die Sicht des Admins, dass dieser durch eine Verschlüsselung zur Not Zugriff auf das Passwort hat (was durch Hashen ja "unmöglich" sein sollte) und meine subjektive Meinung, dass Verschlüsseln besser ist als nur hashen.
                    Viele große Firmen machen das so.

                    > Eine Passwort-Reset Funktion ist natürlich eine andere Alternative.
                    No Sacrifice , no Glory--

                    Kommentar


                    • #25
                      Ich habe diesen Schwachsinn sehr wohl verstanden...

                      Kommentar


                      • #26
                        Wieso ist das Schwachsinn ? Stell dir mal vor, jmd. kann die automatische Passwort-Reset Funktion nicht nutzen, da er auch die Antwort auf die Geheimfrage vergessen hat ? Und Sie nur grob weiß. Würdest du die Antwort auch hashen (sodass er garkeine Chance mehr hat drauf zuzugreifen, selbst wenn er Anruft und die Antwort fast richtig nennen kann) ? Oder beim Passwort einen Groß und Kleinbuchstaben vertauscht?

                        edit: auch egal jetzt, ich sehe nur dass ich massig negative Bewertung kriege nur weil einige nicht weiter drüber nachdenken, was ich damit überhaupt gemeint habe.
                        No Sacrifice , no Glory--

                        Kommentar


                        • #27
                          Verschlüsseln ist nur etwas sicherer, als das Passwort in Klarform zu speichern. Viele User, die diesen Beitrag lesen, haben keine Idee, wie man eine sichere Infrastruktur aufbauen kann, um den Schlüssel zum Entschlüsseln eines Passworts sicher zu verwaren. Wenn ein Angreifer Zugriff auf den Server erlangt hat, dann hat er in aller Regel auch Zugriff auf den Encryption-Schlüssel, mit dem er alle Passwörter entschlüsseln kann.

                          Die einzige Möglichkeit das von dir angesprochene Szenario halbwegs sauber umzusetzen besteht in der Nutzung einer Public-Private-Key-Architektur (Beispielsweise RSA) und ggf. des Einsatzes eines Hashes für die direkte Passwort-Vergleichsfunktion für PHP. Heisst, der Server selbst kann niemals an die Klarform des Passwortes kommen - und so auch kein Angreifer, der nur auf diesen Server Zugriff hat.

                          Wohl aber ein MA der (super großen) Firma, dem man an der Stelle vertrauen muss, dass er sein Wissen nicht ausnutzt und der auch nicht durch SocialEngineering zur Herausgabe des Masterschlüssels oder eines Kundenpassworts gebracht werden kann.

                          Ein Passwort geht nur den unmittelbaren Besitzer etwas an.

                          Kommentar


                          • #28
                            Gebe ich dir Recht, da gilt der Grundsatz "Mehr Komfort-> weniger Sicherheit", und "Weniger Komfort-> mehr Sicherheit" ..
                            Man darf eben nach RSA Implementierung nicht irgend einen Jockel an den Master Schlüssel "setzen", sondern nur eine sehr vertrauenswürdige Person. Nun denn, lässt sich drüber diskutieren, gehört aber hier nicht weiter rein.. sonst krieg ich noch mehr schlechte Bewertungen :'D
                            No Sacrifice , no Glory--

                            Kommentar


                            • #29
                              //OT:
                              Zitat von rkr Beitrag anzeigen
                              Ein Passwort geht nur den unmittelbaren Besitzer etwas an.
                              ja, und wenn er es vergessen hat braucht er halt ein neues.
                              ausser man hat google, da komm ich nicht mehr ran, muss mal schauen die tage.

                              ps: die bewertung war auch nicht von mir; grau oder rot?

                              Kommentar


                              • #30
                                Zitat von Sakron Beitrag anzeigen
                                > Es ging um die Sicht des Admins, dass dieser durch eine Verschlüsselung zur Not Zugriff auf das Passwort hat (was durch Hashen ja "unmöglich" sein sollte) und meine subjektive Meinung, dass Verschlüsseln besser ist als nur hashen.
                                Viele große Firmen machen das so.
                                Ich hoffe und denke, das nicht viele Firmen das so machen. Hab das so auch noch nie gehört. Kannst du ein paar Besipiel-Unternehmen nennen?

                                Ein Alternative für den Admin wäre, das er im den Account (PW, Sicherheitsabfrage) zurücksetzen kann (leeren) und dann dem Benutzer eine Email zukommen lässt mit einerm Link (24h gültig) wo der Benutzer sein PW/Sicherheitsabfrage neu setzen kann. So sieht auch der Admin nicht das PW, was ich für sehr sinnvoll halte.

                                Kommentar

                                Lädt...
                                X