[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Re: Vergessene Passwörter
- Date: Fri, 4 Apr 2003 10:47:32 +0200 (MEST)
- From: daniel _at__ roedding.de (Daniel Roedding)
- Subject: Re: Re: Vergessene Passwörter
Hallo,
Manfred Nottebrock schrieb (http und https):
> Dieser Aspekt der ungesicherten Übertragung von Passwörtern zu persönlichen
> Daten ist eigentlich skandalös.
Dem möchte ich entgegenhalten, daß der ganze SSL-Bereich in den letzten
Jahren so viele softwaretechnische Sicherheitslöcher ausgewiesen hat,
daß aus Betreibersicht das Nichtverwenden von SSL zu einer höheren
Gesamtsicherheit geführt hat.
Die ganze Diskussion um kryptographierte Passwörter ist immer wieder
spannend zu beobachten. Natürlich ist "mehr Sicherheit" schön, vor allem
wenn es um das Ausspähen von personenbezogenen Daten durch den
"bösen Unbekannten" im Netz geht. Aber die Leute, die am lautesten
über "unsichere Passwörter" im Internet schreien sind oft auch
diejenigen, die im Restaurant mit Kreditkarte bezahlen und bei
irgendwelchen Online-Käufen völlig freiwillig am anderen End der Welt
ein ganzes Benutzerprofil positionieren... Oder Bibliothekare, die
ihre Benutzer, die mal mailen wollen, zu einem Freemail-Betreiber
irgendwo am anderen End der Welt schicken.
Fakt ist, daß die ganzen "sicheren" Kommunikationsprotokolle implementa-
torisch über die Jahre massive Defizite gezeigt haben. Auf Deutsch:
die Daten waren zwar verschlüsselt, dafür gab es neue Scheunentore,
mit denen man gleich komplett in die Maschine einsteigen konnte.
Ich kann Leute, die sich auf den Standpunkt "einfache Kommunikations-
verfahren = weniger Risiken" stellen, sehr gut verstehen. https bzw.
SSL ist in diesem Zusammenhang definitiv kein "einfaches Kommunikations-
verfahren", sondern im Gegenteil eines, was eigentlich über die
ganzen Jahre auf implementatorischer Seite nicht aus seinen Kinder-
krankheiten erwachsen ist.
Schade eigentlich, aber man sollte ab und an mal der Realität ins
Auge schauen und nicht nur der Propaganda-Windmaschine (neuester
Erguß: "Bündnis für Signaturen" - wollen die nicht schon seit 10
Jahren irgendwelche Bürger-Chipkarten einführen?) nachlaufen.
Manchmal ist weniger tatsächlich mehr.
Viele Grüße von einem durchaus skeptischen Software-Entwickler...
Daniel Rödding
--
Daniel Roedding phone: +49 5252 9838 0
daniel _at__ roedding.de fax: +49 5252 9838 20
Listeninformationen unter http://www.inetbib.de.