Speicherung von Klartext-Kennwörtern

Threads aus der Wunschecke landen hier, wenn eine Umsetzung geplant ist.
Antworten
Benutzeravatar
Linus
Moderator
Beiträge: 1028
Registriert: 14.02.2005, 20:31
Wohnort: NRW
Kontaktdaten:

Speicherung von Klartext-Kennwörtern

Ungelesener Beitrag von Linus » 09.05.2018, 16:37

Da sicherheits-/datenschutztechnisch derzeit ohnehin einige Umstellungen anstehen möchte ich noch einmal auf das Problem der Speicherung von Klartext-Kennwörtern aufmerksam machen. Ich habe das schon einmal im Rahmen einer Erhöhung der maximalen Länge besagter Kennwörter angesprochen (siehe: https://webkicks.de/forum/viewtopic.php ... 73#p147697).

Derzeit benutzte Standards sind wohl bcrypt, scrypt und Argon (wegen mir auch noch pbkdf2), daher wäre mein Vorschlag natürlich, einen davon einzusetzen.

Was hat das auf den ersten Blick für Auswirkungen?
1.) Es bräuchte eine ordentliche "Kennwort zurücksetzen"-Funktion, die dem Nutzer per Mail einen einmalig und zeitlich begrenzt gültigen Link zukommen lässt, unter dem er sein neues Kennwort eingeben kann.

2.) Die SID als Parameter ist ja im wesentlichen schon ein (wenn auch nach heutigen Maßstäben eher schwacher) Hash, der zudem auch nur die ersten 8 Zeichen des Kennworts verwertet. Ob diese im gleichen Zug abgeschafft würde ist natürlich die Frage, da zumindest die wkAPI diese noch verwenden könnte (je nachdem, welche Funktionen man nutzt). Das dürfte also zumindest für einige kaputte Dinge sorgen. Man könnte zwar in die URLs bzw. Parameter stattdessen das Klartext-Kennwort nehmen (wie auch in der API, die der wkAPI die Daten bereitstellt), das hat aber die Unschönheit, dass das Kennwort in euren Access-Logs auftauchen könnte, was ich auch eher als ungünstig bezeichnen würde. Evtl. kann für sowas ein separates API-Token vorgesehen werden? Lohnt sich der Aufwand hierfür im Hinblick auf die Größe der Entwicklergemeinde? Wahrscheinlich eher nicht :mrgreen: Je nachdem, ob ihr die SID bisher speichert oder bei jedem Gebrauch frisch generiert könnte man das ja evtl. zu einem späteren Zeitpunkt machen.

Ich habe auf Anhieb nicht herausfinden können, ob die DSGVO auch für dieses Thema eine Regelung hat, aber Stand der Technik ist die jetzige Vorgehensweise sowieso schon seit Jahren nicht mehr, insofern erschien mir der Zeitpunkt passend, das nochmal anzusprechen. Wie ihr das priorisiert müsst ihr letztlich selbst entscheiden :)
Kein Support per PN!

Webkicks
Webkicks - Team
Beiträge: 604
Registriert: 02.05.2003, 00:16
Kontaktdaten:

Re: Speicherung von Klartext-Kennwörtern

Ungelesener Beitrag von Webkicks » 10.05.2018, 12:10

Um es ganz kurz zu machen: Du hast komplett Recht und es wird hier in den nächsten Wochen eine entsprechende Änderung geben ;)

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste