WebStyleBoard

Hi, ich habe da mal einige Fragen die nicht so ganz in ein Kategorie passen.

Also da ich mich ja hier beim wsb angemeldet habe, und bei der Anmeldung
ein Passwort benötigt wurde, muss diese natürlich in der Datenbank gespeichert
werden. Wie TNS glaub ich sagte, geschieht das verschlüsseln mit MD5, was glaube
ich so eine Art Fall-tür algo ist, also ein Algo der nur in eine Richtung geht.
Ich glaube einmal ging mein Passwort nicht und ich konnte über die Email-anfrage
einen Link bekommen auf einen Bereich, wo ich mir dann ein neues Passwort, anlegen
konnte.
Meine Erste Frage, Ist diese möglichkeit von verschlüsselung zwangsweise immer an so einen
Link per email gebunden?
Müsste ja eiegntlich, da das passwort nicht im Klartext vorhanden ist.

Ich glaub das gleiche Prinzip (link) macht auch der freeemail anbieter GMX, wo man an seine
mailaddy einen link bekommt. (habe das gerade ausprobiert es ist so!)
Also kann ich davon ausgehen, das GMX ebenfalls diese Verschlüsselungstechnik (md5)
verwendet?


Wie sieht das mit emailprovidern aus, die auf richtiges Antworten der "Sicherheitsfrage"
das Passwort im Klartext ausgeben? Ja, es gibt so einen kleinen provider
der macht das noch. Da wird das Passwort doch wohl kaum verschlüsselt abgespeichert
oder sehe ich das falsch?

Was gibt es eigentlich noch ausser blowfish und md5 für verschlüsselungs-algos?


Wie ist das eiegntlich, wenn ich per pop3 meine emails bei gmx abrufen tue.
Ich habe irgendwo gehört,
das die Komunikation zwischen client und server ungeschützt ist. Also das Passwort
wird im klartext übertragen, das gleich tritt glaube ich auch auf, wenn man sich auf
der GMX webseite einloggen tut.
Mein Schule ist an eiene FH-angeschlossen, glaube (100MBit), die ganz Komunikation geht
über einen Proxyserver (squid). Ist dann der Administrator in der Lage Passwörter
ala GMX übder die weboberfläche mitzulesen?

Wie sieht das bei ssl verbindungen aus?
Müsste doch eigentlich unmöglich sein bei ssl am proxy was mitzulesen.




Was mich jetzt eiegntlich auch noch interessiert ist icq, wenn man da sein passwort
vergessen hat und eine Alternative addy angegeben hat, kann man sich über die alternative
addy sein passwort abrufen. ICQ sendet das passwort aber im Klartext aus ohne diesen oben
beschriebenen LINK der meistens übrigends nur 24 Stunden gültig ist.
Also kann ich davon ausgehen, das die Passwörter in der icq-db im klartext gespeichert werden?
Muss wohl so sein oder zumindest ohne fall-tür-algo. Wie läuft da die komunikation zwischen
client und server ab. Könnte der sysadmin wie oben beschrieben wieder das pw mitlesen.

Achja, lernet man so verschlüsselungs algo im detail auch kennen wenn man InFo an der
Uni studiert?



So das war jetzt recht viel stuff.
Ich würde mich aber trotzdem freuen, wenn jemand antworten würde

thx, in advance

danke das du geantwortet hast.

Zitat

Original von Alex
Es soll ja irgendwie möglich sein, nach Zusendung einer Perso-Kopie das Passwort mitgeteilt zu bekommen.

Ja, das ist richtig.
Bringt allerdings nix, wenn man sich bei gmx mit fake-daten angemeldet hat

Zitat

Bei Providern, die das Passwort nach einer Antwort auf ne Geheimfrage ausgeben oder es an die Mail-Adresse senden, wird entweder unverschlüsselt gespeichert, oder es wird mit einem Zwei-Richtungs-Algorithmus gearbeitet (aber was bringt der schon )

Also kann ich dann davon ausgehen, das unverschlüsselt gespeichert wird.


Wie ist das eigentlich bei dem root-passwort eines Linuxs computers? Hier arbeitet doch ein echter Einbahnstrassen-algo.

Zitat

Ein Proxyserver kann natürlich die gesamte Kommunikation mitloggen, aber ich denke nicht dass auch POST-gesendete Sachen gespeichert werden. Normalerweise werden etwa die URIs gespeichert.

Also wenn man 100% sicher gehen will muss man sich immer direkt ins i-net einwählen ohne proxy. Am besten noch en router der Auf (NAT network adress Translation) oder wie das heist arbeitet und es könnte normalerweise niemand was mitlesen