Blaubart: Pflicht zum Paßwortverschlüsseln?

SELF-Forum

Pflicht zum Paßwortverschlüsseln?

Blaubart
Informationen zu den Bewertungsregeln

Morgenschön.

Häufiger sind hier und auch in anderen Foren Themen zu finden, in denen jemand fest davon überzeugt ist, für das Funktionieren seines Programms die Paßwörter seiner angemeldeten User im Klartext kennen und/oder speichern zu müssen. Meist sind dann auch Programmierer nicht weit, die Bedenken bezüglich des grundlegenden Programmdesigns anmelden, welches "nur so funktioniert". Völlig zurecht, wie ich finde.

Meine Frage ist allerdings folgende: Ist euch eine gesetzliche Regelung dafür bekannt, wie beispieltsweise in Internetapplikationen mit Paßwörtern zu verfahren ist? Daß sie so gespeichert werden müssen, daß auch der Admin keinen Klartext daraus rekonstruieren kann, zum Beispiel -- damit meine ich _nicht_ das Bruteforcen nach Kollisionen für Hashes schwacher Paßwörter. Oder hat in dieser Entscheidung jeder Programmierer freie Hand?

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Pflicht zum Paßwortverschlüsseln?

    e7 Homepage des Autors
    Informationen zu den Bewertungsregeln

    Hi,

    imho musst du laut Datenschutzgesetz nur sicherstellen dass niemand (unberechtigt) an genauere personenbezogene Daten herankommt...

    Bislang ist mir zumindest noch kein Fall bekannt geworden, in dem irgendein Admin abgemahnt worden ist, weil er die Klartextpasswörter kannte... Diverse Anbieter für Forensysteme [1] mailen dem Admin die Passwörter von neu angemeldeten Benutzern einfach so im Klartext zu.

    E7

    [1] Ich bin mir nicht sicher, aber ich denke das war u. a. bei the-fog.de so...

    Beitrag melden
    Informationen zu den Bewertungsregeln

  2. Pflicht zum Paßwortverschlüsseln?

    Tim Tepaße
    +1 Informationen zu den Bewertungsregeln

    Hallo,

    Meine Frage ist allerdings folgende: Ist euch eine gesetzliche Regelung dafür bekannt, wie beispieltsweise in Internetapplikationen mit Paßwörtern zu verfahren ist?

    Ich bezweifele, dass es ausser für behördliche Anwendungszwecke (Diplomatische Post, Geheimdienst, Verschlusssachen) genau gesetzliche Regelungen für so etwas gibt.

    Wenn Du offizielles Argumentationsmaterial suchst, bietet sich wohl am besten die Publikationen des Bundesamt für Sicherheit in der Informationstechnik an. Auf die Schnelle habe ich zum Beispiel die die Maßnahme 2.11 Regelung des Passwortgebrauchs im IT-Grundschutzhandbuch gefunden.

    Tim

    Beitrag melden
    +1
    Informationen zu den Bewertungsregeln