suit: WTF des Tages: vorprogrammierte Datenpanne beim ORF

Der ORF speichert die Kennwörter der Benutzer im Klartext in der Datenbank und verschickt diese auch noch auf Wunsch bequem per E-Mail wieder im Klartext und selbstverständlich unverschlüsselt zu.

Es ist eine Schweinerei dass ein "staatliches Unternehmen" so fahrlässig handeln darf - gut nur, dass ich nicht überall dasselbe Passwort habe.

Also Kinder: überlegt gut wo ihr euch mit welchem Passwort registriert - scheinbar ist nicht jeder Dienst nach guten Standards[1] gebaut.

[1] zu denen "Speichere Passwörter nicht im Klartext" zweifelsfrei gehört

  1. Grüße,
    ist es nicht eins der fälle wo man mit Password "Passwort" registriert? nach dem motto "scheißegal obs einer hackt" oder sind da auch wichtige sachen dabei?
    (P.S:wieso kann OpenOffice Thesaurus das Wort "Kanake" aber nicht "scheißegal"?)
    MFG
    bleicher

    --
    __________________________-

    FirefoxMyth
    1. Hoi!

      (P.S:wieso kann OpenOffice Thesaurus das Wort "Kanake" aber nicht "scheißegal"?)

      Vielleicht kanns der LibreOffice Thesaurus besser? :D

      --
      Vergesst Chuck Norris.
      Sponge Bob kann unter Wasser grillen!
      1. (P.S:wieso kann OpenOffice Thesaurus das Wort "Kanake" aber nicht "scheißegal"?)

        Vielleicht kanns der LibreOffice Thesaurus besser? :D

        Weil die jetzt nicht mehr mit der Firma "scheißegal" verbandelt sind?

        mfg Beat

        --
        ><o(((°>           ><o(((°>
           <°)))o><                     ><o(((°>o
        Der Valigator leibt diese Fische
        1. (P.S:wieso kann OpenOffice Thesaurus das Wort "Kanake" aber nicht "scheißegal"?)

          Vielleicht kanns der LibreOffice Thesaurus besser? :D

          Weil die jetzt nicht mehr mit der Firma "scheißegal" verbandelt sind?

          Eher weil ich vermute, dass LibreOffice der Anfang vom Ende fuer OO sein koennte.

          Was ich mich schon laenger Frage: Gibt es wirklich soviel Interesse an Clouds, in diesem Falle einem Cloud-Office, dass man mal eben auf Desktoploesungen verzichtet? In einem Intranet kommt mir das ja noch brauchbar vor, aber bevor ich als Privatmensch oder auch kleiner Unternehmer meine Daten in irgendeiner Cloud speichere muessen Wunder geschehen.

          --
          Vergesst Chuck Norris.
          Sponge Bob kann unter Wasser grillen!
          1. Hello,

            [...] aber bevor ich als Privatmensch oder auch kleiner Unternehmer meine Daten in irgendeiner Cloud speichere muessen Wunder geschehen.

            Vermutlich liegt ein Spiegel deiner Aktivitäten sowieso schon "irgendwo" in einem Monsterrechenzentrum

            Liebe Grüße aus dem schönen Oberharz

            Tom vom Berg

            --
             ☻_
            /▌
            / \ Nur selber lernen macht schlau
            http://bergpost.annerschbarrich.de
          2. Hi,

            Was ich mich schon laenger Frage: Gibt es wirklich soviel Interesse an Clouds, in diesem Falle einem Cloud-Office, dass man mal eben auf Desktoploesungen verzichtet? In einem Intranet kommt mir das ja noch brauchbar vor, aber bevor ich als Privatmensch oder auch kleiner Unternehmer meine Daten in irgendeiner Cloud speichere muessen Wunder geschehen.

            andere sind da wesentlich schmerzfreier. In einem Blog, das ich gerne lese, gibt es anscheinend viele Leser (und den Autor), die selbst mit geschäftlichen Daten nicht so pingelig sind. Da werden sämtliche Mails und Dokumente online gespeichert, mit Google-Tausendsassa-Tools bearbeitet, gecloudet, gedropboxed und was weiß ich nicht noch alles.

            Ist das die neue Generation von Computerbenutzern, die, vollkommen technikaffin, alles an Online-Gimmicks nutzen, was von Google, Facebook und anderen Anbietern kostenfrei angeboten wird? Ich weiß es nicht, komme aber gelegentlich aus dem Kopfschütteln nicht mehr heraus.

            Und dann wird sich über die Datensammelei gewisser staatlicher Behörden aufgeregt. Passt das zusammen? Warum ist das Vertrauen in globale Konzerne wie Google etc. größer als in die Institutionen des Staates, in dem man lebt?

            @Martin: Die Verhunzung der deutschen Sprache in diesem Beitrag findet in voller Absicht statt. Dass das nicht meine normale Schreibweise ist, weißt du ja. ;)

            Schönen Sonntag noch!
            O'Brien

            --
            Frank und Buster: "Heya, wir sind hier um zu helfen!"
            1. Hallo,

              @Martin:

              meinst du mich? Ich bin doch gar nicht da ...

              Die Verhunzung der deutschen Sprache in diesem Beitrag findet in voller Absicht statt.

              Sprichst du auf sowas an:

              gecloudet, gedropboxed und was weiß ich nicht noch alles.

              Oder doch eher auf "rudivöllär"?

              Dass das nicht meine normale Schreibweise ist, weißt du ja. ;)

              Ja, und wenn du es jetzt nicht so betont hättest, wäre es mir gar nicht aufgefallen. :-)

              Ciao,
               Martin

              --
              Man sollte keinen Senf von sich geben, wenn man nicht auch das Würstchen dazu liefern kann.
              Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
              1. Hi,

                @Martin:

                meinst du mich? Ich bin doch gar nicht da ...

                _jetzt_ schon. ;)

                Die Verhunzung der deutschen Sprache in diesem Beitrag findet in voller Absicht statt.

                Sprichst du auf sowas an:

                gecloudet, gedropboxed und was weiß ich nicht noch alles.

                Ja.

                Oder doch eher auf "rudivöllär"?

                Eigentlich nein, das sollte eher eine Wortspielerei sein, die ich nicht unter Verhunzung einstufen würde. OK, war jetzt nicht sooo witzig, aber auch nicht zu schlecht für das Forum.

                So, jetzt gibt es erstmal Kaffee ...

                Schönen Sonntag noch!
                O'Brien

                --
                Frank und Buster: "Heya, wir sind hier um zu helfen!"
  2. Moin,

    Der ORF speichert die Kennwörter der Benutzer im Klartext in der Datenbank und verschickt diese auch noch auf Wunsch bequem per E-Mail wieder im Klartext und selbstverständlich unverschlüsselt zu.

    Kann ich auch welche bekommen? Nur so 20..30 Passworte, an wen kann ich die Anfrage schicken?

    Hotti

  3. Es ist eine Schweinerei dass ein "staatliches Unternehmen" so fahrlässig handeln darf - gut nur, dass ich nicht überall dasselbe Passwort habe.

    Wahrscheinlich hat jeder mal am Anfang (oder zumindest "früher") sehr fahrlässig mit immer gleichen PWs gearbeitet, ich habe sicher auch noch irgendwo ein "password=passwort" drinne und weiß es nur nicht mehr ^^
    Inzwischen benutze ich einfach einen PW-Manager und Papier-Backups. Wenn die verschütt gehen (sind nämlich unverschlüsselt) ist natürlich Essig. Hmmm ich könnte die mal rudimentär verschlüsseln...

    --
    sh:( fo:| ch:? rl:( br:& n4:& ie:{ mo:} va:) de:µ_de:] zu:) fl:( ss:| ls:[ js:(
    1. Hi,

      Inzwischen benutze ich einfach einen PW-Manager und Papier-Backups. Wenn die verschütt gehen (sind nämlich unverschlüsselt) ist natürlich Essig. Hmmm ich könnte die mal rudimentär verschlüsseln...

      zweifache Anwendung von ROT13 sollte für Skript-Kiddies bereits eine unüberwindbare Hürde sein.

      Alternativ verschlüssele sie rudivöllär.

      Schönen Sonntag noch!
      O'Brien

      --
      Frank und Buster: "Heya, wir sind hier um zu helfen!"
      1. zweifache Anwendung von ROT13 sollte für Skript-Kiddies bereits eine unüberwindbare Hürde sein.

        Ist das ein Witz? Die Wiederholte Anwendung von ROT13 ergibt normalerweise den ursprünglichen Text.

        Allerdings könnte man tatsächlich sowas wie "salz" versuchen, also ROT13 auf das erste PW. Der unverschlüsselte Text wird in einen Integerwert gehasht (z.B. indem man jedem Zeichen einfach eine Ziffer zuweist bspw. die Ordnungszahl in einem bestimmten Zeichensatz). Bildet die Quersumme solange bis irgendwas <26 rauskommt und verschlüsselt damit das nächste.

        Allerdings ist mir ROT13 viel zu aufwendig zu entschlüsseln für mich selber. Wenn ich mal meine PW-Datenbank und das einzige digitale Backup verlieren sollte (HD gecrasht und die SD-Card wo das Backup drauf ist verloren oder so) und ich müsste äääh sehr viele (weiß gerade nicht, 1000?) PWs vom Papier recovern und auf jedes ein ROT13 anwenden, das wäre mir echt zu viel Theater.
        Nein ich dachte an was einfacheres, z.B. dass ich immer an dritter Stelle ein beliebiges Zeichen einfüge, welches ich beim abtippen dann ignoriere. Oder nicht das dritte Zeichen, sondern das n-te Zeichen abhängig von äääh der URI oder dem ersten Zeichen des PWs oder fortlaufend oder so.
        Jedenfalls irgendeine Verschlüsselung, die es mir erlaubt es einfach abzulesen, so ich den Code kenne ohne Verschlüsselungsmatrix oder echter Krypto oder Rechnerei oder sonst was.

        Ich mache das schon recht lange so, wenn ich eine neue PIN für was auch immer erhalte. PINs sind üblicherweise vierstellig. Ich schreibe mir einfach einen Zettel auf dem zwanzig oder dreißig Stellen stehen unter anderem auch jene vier und merke mir welche ich ablesen muss (jede zweite Ziffer oder die vier ab der dritten bis zur sechsten oder so...).
        Nach einem Monat beherrsche ich meine PIN (wenn ich sie oft genug brauche) und dann vernichte ich den Zettel. Manchmal habe ich das auch als Telefonnummer o.ä. getarnt, hat aber den Nachteil dass Telefonnummern recht kurz sind.
        Eigentlich taugt das Verfahren aber nur für Fälle, in denen nach drei Versuchen Schluss ist. Hat man unendlich Versuche und diesen Beitrag hier gelesen kommt man wahrscheinlich auf die ein oder andere Art drauf.

        --
        sh:( fo:| ch:? rl:( br:& n4:& ie:{ mo:} va:) de:µ_de:] zu:) fl:( ss:| ls:[ js:(