Passwort vergessen: gespeichertes PW wird per Mail gesendet

Vermeidung von Viren & Spam, Datenschutz, technische Absicherung
Antworten
bauti
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 1877
Registriert: 21. Dez 2014 15:48

Passwort vergessen: gespeichertes PW wird per Mail gesendet

Ich habe gerade bei einem recht alt wirkenden Shop (Afterbuy-Shop) etwas gekauft. Ich war da schon mal Kunde und habe die Passwort vergessen Funktion verwendet. Mir wurde dann aber nicht wie üblich ein neues Einmalpasswort oder ein Link für die Neuvergabe eines Passwortes gesendet, sondern mein ursprünglich vergebenes Passwort wurde mir per Mail versendet. Wenn ich es richtig verstehe sind die Passwörter in diesem Shop unverschlüsselt gespeichert, sonst wäre dies ja technisch vermutlich nicht möglich. Sehe ich das richtig?


3 Monate gratis Händlerbund
Benutzeravatar
hissenit
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 465
Registriert: 16. Mär 2021 15:52
Land: Deutschland
Firmenname: Hissen IT
Branche: Datenverarbeitung | PaketConnector | InvoiceCreator | Webservices
Wohnort: Bensheim / Südhessen
Kontaktdaten:

Re: Passwort vergessen: gespeichertes PW wird per Mail gesendet

Theoretisch könnte man Passwörter tatsächlich verschlüsseln und als Betreiber dann auch entschlüsseln und per Mail versenden (was sowieso gegen einige Sicherheitsstandards verstößt), aber eine solche Umsetzung richtig gemacht ist kompliziert und daher unüblich.
Das Standardverfahren ist das Passwort-Hashing. Da kommt dann auch der Betreiber nicht mehr ran. Insofern ist stark davon auszugehen, dass hier Passwörter im Klartext abgelegt werden, was natürlich nicht dem geforderten „Stand der Technik“ entspricht.
PaketConnector und InvoiceCreator: Lösungen für kleine und mittelständische Unternehmen https://hissenit.com/pcic
bauti
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 1877
Registriert: 21. Dez 2014 15:48

Re: Passwort vergessen: gespeichertes PW wird per Mail gesendet

Man muss dann vermutlich auch davon ausgehen das noch weitere Sicherheitslücken bestehen.

Ich bin ja eigentlich der Meinung das der ganze Datenschutz komplett übertrieben ist. Aber sowas wie bei diesem Shop ist natürlich nicht akzeptabel.

Ich werde den Shopbetreiber auf den Missstand aufmerksam machen.
Benutzeravatar
hissenit
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 465
Registriert: 16. Mär 2021 15:52
Land: Deutschland
Firmenname: Hissen IT
Branche: Datenverarbeitung | PaketConnector | InvoiceCreator | Webservices
Wohnort: Bensheim / Südhessen
Kontaktdaten:

Re: Passwort vergessen: gespeichertes PW wird per Mail gesendet

Veraltete Software heißt in der Regel zwangsläufig Sicherheitslücken, ja. Bei Klartextpasswörtern geht es weniger um den Datenschutz (sicher auch), aber mehr um Basis-IT-Sicherheit.
PaketConnector und InvoiceCreator: Lösungen für kleine und mittelständische Unternehmen https://hissenit.com/pcic
Antworten

Zurück zu „Internet-Sicherheit“

  • Information