Ergebnis 1 bis 3 von 3

Thema: Hinweis: OTR-Passwörter werden im Klartext gespeichert, daher diese nirgends sonst ve

  1. #1
    Administrator
    Guest

    Unhappy Hinweis: OTR-Passwörter werden im Klartext gespeichert, daher diese nirgends sonst ve

    Hinweis: OTR-Passwörter werden im Klartext gespeichert, daher diese nirgends sonst verwenden.

    1. Die Passwörter wurden im Klartext abgespeichert und auch sehr wahrscheinlich im Klartext entwendet/vom Hacker im Februar 2015 kopiert.

    2. Warum haben wir nicht auf salted hash umgestellt? Das haben wir schon vor einiger Zeit zu 99% programmiert und hausintern war ein Teil der Mitarbeiter daher der Meinung, das sei so schon aktiv. Tatsächlich kam aber kurz vor Umstellung raus, daß die Decoder dann nicht richtig funktionieren und alle Decoder umgestellt werden müssen. Das wiederum hat Entwicklungs-Projekte bei Zulieferern ausgelöst und das Ganze ist im Sande verlaufen, bzw. in der Prioritätenliste nach unten gerutscht.

    3. Was können wir tun? Wir haben gestern alle User angeschrieben, alle Logins zum Passwortwechsel gezwungen und weisen Neu-Anmelder darauf hin, daß das Passwort nur für OTR und sonst nirgends verwendet werden soll (in der Kombination mit der Email zumindest).

    4. Letztlich ist es zumutbar bzw. eben ein hinzunehmender Nachteil, daß der User sich ein Passwort ausdenkt, was er nur bei OTR benutzt. In der Praxis ist aber schon klar, daß es für viele User Lieblingspasswörter gibt, die sie auch auf Amazon etc. einsetzen. Insofern dient das Problem hier auch dazu, einmal mehr dem User klarzumachen, daß er seine Passwörter individuell vergeben muß. Denn jeder Dienst bekommt das Passwort vor dem Speichern ja unverschlüsselt übergeben und jeder Mitarbeiter jedes Dienstes könnte es potentiell dazu mißbrauchen, es auf anderen Diensten einzusetzen.

    5. Die Sicherheitslücke selbst, die zum Einbruch führte ist geschlossen und ein Hack in 10 Jahren ist jetzt auch nicht wirklich viel. OTR-Passwörter selbst sind auch an sich nicht lohnend, viel lohnender waren wohl die Emailadressen, die dazu benutzt wurden, Fake-Rechnungen zu versenden. Es wurde dabei ein größerer Pool verwendet, also auch nicht-Otr-User angeschrieben.

    6. Natürlich arbeiten wir nun daran, die Decoder umzustellen. Aber auch hier kann ich nicht versprechen, ob und wann das zu einem Ergebnis führt. Es kann also dazu führen, daß die Passwörter weiterhin im Klartext gespeichert bleiben. Aber es wird in jedem Fall deutlichst darauf hingewiesen.

    Die IP des Hackers: 109.195.181.44
    Tula, Russland, vielleicht kann jemand damit was anfangen.

    Wir bedauern das Ganze natürlich sehr, aber obige Erklärung mag vielleicht etwas zum Verständnis beitragen.

  2. #2
    Administrator
    Registriert seit
    Oct 2006
    Ort
    Where the wild things are
    Beiträge
    15.883

    AW: Hinweis: OTR-Passwörter werden im Klartext gespeichert, daher diese nirgends sons

    Hallo,

    aus gegebenen Anlass ein wichtiger Hinweis:

    Ich hatte gerade mehrere User im Support, die einfach das alte Passwort wieder eingetragen haben. Davon raten wir dringendst ab! Bitte benutzt ein neues Passwort und dieses auch ausschließlich für OTR!

    MfG
    MCMUPPET

  3. #3
    Administrator
    Registriert seit
    Oct 2006
    Ort
    Where the wild things are
    Beiträge
    15.883

    AW: Hinweis: OTR-Passwörter werden im Klartext gespeichert, daher diese nirgends sons

    Passwort im Dekoder eintragen

    Standarddekoder starten:

    Anhang 7561

    eintragen:

    Anhang 7562

    MfG
    MCMUPPET

Ähnliche Themen

  1. Film dekodiert, aber nirgends auf dem PC gespeichert... wieso das?
    Von mazz im Forum Decodierung der Aufnahme
    Antworten: 2
    Letzter Beitrag: 08.01.2015, 20:58
  2. Antworten: 0
    Letzter Beitrag: 21.06.2014, 12:03
  3. Antworten: 3
    Letzter Beitrag: 02.01.2007, 09:36
  4. username,password und filename wird Klartext uebertragen
    Von skorpion im Forum Neue Vorschläge & Ideen
    Antworten: 10
    Letzter Beitrag: 21.12.2006, 19:24
  5. Wie lange werden Recordings gespeichert?
    Von jh88 im Forum User-Interface / Neulingsfallen
    Antworten: 14
    Letzter Beitrag: 31.07.2006, 07:15

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •