Zur Navigation

Zugangsdaten in Aktivierungs-Emails

1 Ranma (Gast)

Meine Suche nach einem passendem Hoster schloß einige Registrierungsversuche ein. Es ist mittlerweile üblich dann eine Email zu erhalten, in der sich ein Link zur Aktivierung befindet. So weit, so sinnvoll. Wenn man den Link benutzt, dann erhält man üblicherweise noch eine Email, in der die Zugangsdaten im Klartext enthalten sind. Manchmal stehen die so (also im Klartext) schon in der ersten Email.

Das bedeutet doch, daß diese Hoster irgendwo Zugangsdaten im Klartext abspeichern? Weil sonst könnten diese Emails ja nicht verschickt werden? Aber es ist doch ein ganz schlimmer Frevel, Zugangsdaten im Klartext abzuspeichern?
Ranma

12.05.2016 02:27

2 Jörg Kruse

Wenn du das Passwort bei der Registrierung angegeben hast, und es dir nach der Aktivierungsmail in einer zweiten Mail nochmals zugesandt wird, dann wurde es wohl entweder im Klartext gespeichert oder so verschlüsselt, dass es wieder entschlüsselt werden kann.

Falls das Passwort generiert wurde, ist das nicht zwangsläufig so. Nach dem Zusenden kann es ja als Hash in der Datenbank hinterlegt werden.

12.05.2016 16:46

3 Ranma (Gast)

Ich habe die Daten jedesmal selbst ausgwählt und eingegeben. Etwas später in ein Hash umzuwandeln ist vielleicht besser als für die Sicherheit garnichts zu tun, aber man sucht sich den Zeitpunkt dafür, angegriffen zu werden, normalerweise nicht selbst aus. Also sollte diese Praxis doch ein No Go sein? Jedenfalls nicht üblich? Obwohl ich den Eindruck gewonnen habe, daß das total üblich ist....
Ranma

13.05.2016 01:20

4 Jörg Kruse

Also sollte diese Praxis doch ein No Go sein?

Wenn dir ein selbst gewähltes Passwort nicht unmittelbar zugesandt wird, ja, weil man dann davon ausgehen muss, dass das Passwort zwischenzeitlich im Klartext oder entschlüsselbar abspeichert wurde.

Wenn es unmittelbar nach Auswahl oder Generierung zugesandt wird, ist das u.U. weniger kritisch, wenn man davon ausgeht, dass das Passwort nur als Hash gespeichert wird. Eine vorhergehende Speicherung im Klartext oder entschlüsselbare Speicherung war dann ja noch nicht vonnöten.

Man könnte es allerdings auch als suboptimal ansehen, ein selbst gewähltes Passwort dem User nochmals über einen unsicheren Kanal (in einer nicht verschlüsselten Email) zuzusenden.

13.05.2016 22:22 | geändert: 13.05.2016 22:24

5 Ranma (Gast)

Dann werde ich das also nicht nachbauen. Manchmal dauert es vierundzwanzig Stunden bis die Email mit dem Aktivierungslink kommt. Bei anderen dauert es nur Sekunden. Das ist seltsam. Wahrscheinlich sind mögliche lange Verzögerungen der Grund, warum die Zugangsdaten über eine nichtverschlüsselte Email im Klartext zugesendet werden. Wenn beide Parteien nicht wissen, ob die Registrierung funktioniert hat, dann weiß man auch noch nicht, ob man sich die Daten merken muß. Das fällt mir auch schwer, wenn ich mich nach nur zwei bis fünf Minuten erstmal einen Tag lang nicht mehr damit beschäftigen kann. Ein paar logins und logouts gleich zum Anfang helfen mir nämlich dabei. Manchmal sind die Daten sogar leicht anders als von mir eingegeben, wahrscheinlich weil immernoch nicht alle Webmaster Unicode verwenden.
Ranma

14.05.2016 01:53

Beitrag schreiben (als Gast)

Die Antwort wird nach der Überprüfung durch einen Moderator freigeschaltet.





[BBCode-Hilfe]