Information: You can change the language with the flags at the left site.

Registrierung

Hier geht es um technische Probleme im Zusammenhang mit dem Forum(technische Probleme zu Diabetes-Produkten bitte in ein anderes Forum schreiben) und alles andere zum Forum selbst.

Registrierung

Beitragvon Pepasila » 28. Dezember 2005 18:16

Hallo lieber Webmaster :)

ist es wirklich notwendig, bei der Registrierungsmail das Passwort im Volltext hinzuschreiben?
Wenn ja, sollte man vielleicht bei der Anmeldung darauf hinweisen, dass das passiert.
Für mich ist es zwar zu spät, aber für andere hoffentlich nicht.
Benutzeravatar
Pepasila
Teststreifenhörnchen
Teststreifenhörnchen|Teststreifenhörnchen|Teststreifenhörnchen
offline offline
 
Beiträge: 69
Registriert: 28.12.2005
Wohnort: Homburg
Geschlecht: keine Angabe
Alter: 33

Beitragvon Richard » 28. Dezember 2005 19:06

Dies Mail bekommst geht nur an dich und wird mittels php versendet, es ist allgemein bei Foren so üblich damit du das Passwort, wenn du deinen Mails Verwaltest, auch nachschlagen kannst. Zudem ist es einen Art Überprüfung für dich ob du das Passwort auch richtig geschreiben hast und kannst so bei einem Tippfehler handeln.

Für mich gibt es keine Möglichkeit dein Passwort zusehen, auch in der Datenbank wird es nur verschlüsselt hinterlegt.

oder warum meinst du ist es nicht notwendig ?
Richard - incurably himself
Benutzeravatar
Richard
Diabetes-Zentrale
Diabetes-Zentrale|Diabetes-Zentrale|Diabetes-Zentrale
offline offline
 
Beiträge: 5553
Bilder: 21
Registriert: 26.04.2005
Wohnort: Köln
Geschlecht: männlich
Alter: 29

Beitragvon Pepasila » 28. Dezember 2005 19:15

also, es ist nicht "allgemein bei Foren so üblich". Manche Foren machen das, und mich nervt es jedes (seltene) Mal, wenn ich so eine Mail bekomme.
Ja, die Mail geht nur an mich. Aber völlig unverschlüsselt. Wenn die jetzt an meinem Uni-Arbeitsplatz ankommt und da nicht sofort vollständig vernichtet wird, kann jeder Admin, wenn er denn will, das Zeug aus Sicherheitsgründen auslesen.
Ist im Prinzip das gleiche wie Passwort-Speichern im Browser. Man sollte das nur tun, wenn man sich 100%ig sicher ist, dass niemand sonst dran kommt.
Und auch verschlüsselte PHP-Skripte sind nicht der Sicherheit letzter Schluss.
DIR unterstelle ich übriigens keine böse Absicht hinsichtlich meines Passwortes. Ich will's eben nur nicht ausgeschrieben sehen. Wenn es nicht notwendig ist, schreibt niemand Passworte im Klartext, wenigstens niemand, der es besser weiß ;) .
Übrigens ist eine sehr beliebte Praxis, entweder zuerst ein vorläufiges Passwort zu vergeben, oder einfach davon auszugehen, dass sich jemand nicht zweimal vertippt, wenn er sein Passwort bestätigt.
Benutzeravatar
Pepasila
Teststreifenhörnchen
Teststreifenhörnchen|Teststreifenhörnchen|Teststreifenhörnchen
offline offline
 
Beiträge: 69
Registriert: 28.12.2005
Wohnort: Homburg
Geschlecht: keine Angabe
Alter: 33

Beitragvon Richard » 28. Dezember 2005 20:03

lso, es ist nicht "allgemein bei Foren so üblich". Manche Foren machen das, und mich nervt es jedes (seltene) Mal, wenn ich so eine Mail bekomme.

also bei phpBB ist üblich :D

Ja, die Mail geht nur an mich. Aber völlig unverschlüsselt. Wenn die jetzt an meinem Uni-Arbeitsplatz ankommt und da nicht sofort vollständig vernichtet wird, kann jeder Admin, wenn er denn will, das Zeug aus Sicherheitsgründen auslesen.

Wenn die die PW dann verwenden sollte man sie von ihrem Posten entfernen, denn das dürften sie aus Datenschutzgrüden nicht.

DIR unterstelle ich übriigens keine böse Absicht hinsichtlich meines Passwortes. Ich will's eben nur nicht ausgeschrieben sehen. Wenn es nicht notwendig ist, schreibt niemand Passworte im Klartext, wenigstens niemand, der es besser weiß .

Bin ja auch ein ganz lieber, und kenne das Spiel mit den PWs gut und finde das so in ordnung ist denn was bring dir diese mail ohne PW ?
in der mail steht es ja auch :

Code: Alles auswählen
Bitte halte diese E-Mail gespeichert, falls du dein Passwort vergessen solltest. Deine Login-Daten sind die Folgenden:

Code: Alles auswählen
Das Passwort wurde nur verschlüsselt in unserer Datenbank gespeichert, wenn du es also vergisst, können wir es dir nicht mehr zusenden. Wenn du es trotzdem vergessen solltest, kannst du aber jederzeit ein neues anfordern.



Übrigens ist eine sehr beliebte Praxis, entweder zuerst ein vorläufiges Passwort zu vergeben, oder einfach davon auszugehen, dass sich jemand nicht zweimal vertippt, wenn er sein Passwort bestätigt.

Es gibt viele Forensysteme und somit auch viele möglichkeiten der registrierung. Ich habe mich für dieses system entschieden.

Meine Empfehlung
verwendet verschiedene PWs für verschiedene aufgaben für Mails eins und für Foren ein anderes zb eines was ihr euch leicht merken könnt so das ihr es auch von öffentlichen PCs anwenden könnt. Alle anderen sollten mind 8 Zeichen haben und sowohl Zahlen, Buchstaben und Sonderzeichen enthalten. Hier im forum sind 6 Zeichen pflicht Zahlen und Buchstaben kombinationen sind ausreichend.

Bei öffentlichen PCs immer den Cache(speicher), Verlauf (chronik) und cookies löschen so kann der der nach euch an diesem PC ist nicht herrausfinden wo ihr wart.
Richard - incurably himself
Benutzeravatar
Richard
Diabetes-Zentrale
Diabetes-Zentrale|Diabetes-Zentrale|Diabetes-Zentrale
offline offline
 
Beiträge: 5553
Bilder: 21
Registriert: 26.04.2005
Wohnort: Köln
Geschlecht: männlich
Alter: 29

Beitragvon Pepasila » 28. Dezember 2005 20:18

Wenn die die PW dann verwenden sollte man sie von ihrem Posten entfernen, denn das dürften sie aus Datenschutzgrüden nicht.

Würde mir dann auch nix mehr nützen ;) .
Fakt ist, dass die nicht die einzigen sind, die es lesen können, wenn es irgendwo im Netzwerk uncodiert steht.
Was dann in der Datenbank verschlüsselt ist, ist dann auch für'n Eimer.

denn was bring dir diese mail ohne PW ?

Aktivierung meines Accountes, ggf. Senden eines vorläufigen Passwortes ;), bestätigung meines Loginnamen, generelle Informationen zu An- und Abmeldung...
Hach, es gibt so viel, was solche Mails bezwecken. Ich hab' glücklicherweise schon ziemlich viele Emails ohne Passwörter bekommen.

Deine Tipps zum Thema Passwort- und Browsersicherheit sind richtig und nützlich.
Hier meiner: Schreibe nie ein Passwort im Klartext. :)
Was irgendwo als Text steht, kann verdammt einfach - viel zu einfach - von außen ausgelesen werden.
Und wenn Du's mir nicht glaubst - frag' all die Informatiker, warum sie es an ihren Instituten so handhaben.
Übrigens kann bei vergessenen Logindaten ggf. ein neues, vorläufiges Passwort vergeben werden.
Aber bitte nicht dieses hübsche PHP-Skript, wo man durch einfache Wiederholung ein neues Passwort machen kann, auch, wenn man gar nicht Accountinhaber ist. ;)

Ich mein's nicht böse, wirklich nicht. Ist ja auch nur eine Anregung, und für mich jetzt schon egal - ICH hab' die Mail ja schon. :)
Benutzeravatar
Pepasila
Teststreifenhörnchen
Teststreifenhörnchen|Teststreifenhörnchen|Teststreifenhörnchen
offline offline
 
Beiträge: 69
Registriert: 28.12.2005
Wohnort: Homburg
Geschlecht: keine Angabe
Alter: 33

Beitragvon Richard » 28. Dezember 2005 20:48

Fakt ist, dass die nicht die einzigen sind, die es lesen können, wenn es irgendwo im Netzwerk uncodiert steht.
Was dann in der Datenbank verschlüsselt ist, ist dann auch für'n Eimer.

Das stimmt, aber man sollte bedenken nicht jeder sitzt an einem PC der in einem öffentlichen Netzwerk hängt.

Aber bitte nicht dieses hübsche PHP-Skript, wo man durch einfache Wiederholung ein neues Passwort machen kann, auch, wenn man gar nicht Accountinhaber ist.

Hoffe du meinst nicht unserer denn hier ist diese nur möglichen wenn Benutzername und Mail mit den Daten aus der DB übereinstimmen.

Aktivierung meines Accountes, ggf. Senden eines vorläufigen Passwortes , bestätigung meines Loginnamen, generelle Informationen zu An- und Abmeldung...
Ich mein's nicht böse, wirklich nicht. Ist ja auch nur eine Anregung, und für mich jetzt schon egal - ICH hab' die Mail ja schon.

Alles gut und schön aber ich denke einfach man sollte die Kirche im Dorf lassen, es handelt sich ja hier um eien normales Forum und die PWs sind ja keine Server-PWs oder sonstige wichtige. Sie dienen ausschließlich dem komfort und der personialisierung des Forums so das du als Autor da stehst (sollte es dabei Missbrauch geben wendet euch an mich).
Man könnte über ein vorläufiges PW nachdenken aber dies ist auch wieder mit Problemen verbunden sowohl system seitig als auch bei den User.

Werde aber einen Hinweis an geeigneter Stelle anbringen das einem das PW unverschlüsselt zugesandt wird. (kleiner Kompromiss)
Richard - incurably himself
Benutzeravatar
Richard
Diabetes-Zentrale
Diabetes-Zentrale|Diabetes-Zentrale|Diabetes-Zentrale
offline offline
 
Beiträge: 5553
Bilder: 21
Registriert: 26.04.2005
Wohnort: Köln
Geschlecht: männlich
Alter: 29


Zurück zu Technische Probleme und Rummelplatz



Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

cron