infostudium.de

[pavel]

bei einer mio. benutzer (oder wasauchimmer) bringt ein einfaches wörterbuch ein shitload of treffer in kürzester zeit...

[burst]

bei einer mio. benutzer (oder wasauchimmer) bringt ein einfaches wörterbuch ein shitload of treffer in kürzester zeit...

naja gut, woerterbuch ist aber immernoch recht aufwendig. aber mit einer entsprechend umfangreichen rainbow table wuerde man wahrscheinlich so 10% der passwoerter oder mehr knacken. aber manchmal geht es auch viel einfacher: bei alten phpbb versionen wars zum beispiel so dass der hash relativ nackt in das authenifizierungs-cookie geschrieben wurde. dh. du brauchst das klartext-passwort nicht mal herausfinden um dich einloggen zu koennen .

[fw]

abgesehen davon würde es mich auch nicht wundern wenn die passwörter da nicht gehasht sondern klartext gespeichert worden wären...

[O.D.]

wozu das?
irgend nen Nutzen haben die da ja nicht von. Und die teile zu hashen werden se ja wohl so grade noch hinbekommen haben ... naja obwohl ...

oh man studiVZ

nur gut, dass ich da nicht (mehr) drin bin
Die Daten scheinen aber gelöscht worden zu sein. Zumindest gibts keinen Zugriff von außen mehr darauf.

[heipei]

Die Daten scheinen aber gelöscht worden zu sein. Zumindest gibts keinen Zugriff von außen mehr darauf.

das ist wahrscheinlich ein flag in deren datenbank dass "officially-deleted-but-still-in-database" heisst und beim abmelden auf "true" gesetzt wird oder so

[p0llux]

das ist wahrscheinlich ein flag in deren datenbank dass "officially-deleted-but-still-in-database" heisst und beim abmelden auf "true" gesetzt wird oder so

Würde ich auch so machen. Spart den Overhead beim DELETEn.

[fw]

und man hat hinterher noch die kostbaren Daten für die man soviel Geld bezahlt hat..

Ich glaube manche Leute sind nicht skeptisch genug gegenüber solchen Sachen... Immer davon ausgehen, dass die Leute böses mit deinen Daten vorhaben! Wenn ich ne Millionen Euro für Daten bezahlt habe dann behalte ich die auch dann noch wenn die Person nichtmehr will, dass andere sie sehen..

Und wenn eine Firma mit so einer Einstellung so eine Seite betreibt dann würde es mich auch nicht wundern wenn sie absichtlich die Passwörter klartext speichern um damit hinterher was weiss ich nich zu machen..

Mag sein, das erscheint manchen etwas paranoid.. Aber man muss auch nicht blind vertrauen und alles mit "ach, das ist so unrealistisch, das passiert eh nicht" abstempeln..

[foogy]

Wenn ich ne Millionen Euro für Daten bezahlt habe dann behalte ich die auch dann noch wenn die Person nichtmehr will, dass andere sie sehen..

Naja so einfach ist das zumindest in der Theorie nicht. Da wir ja in Deutschland alle an das Datenschutzgesetz gebunden sind, hat auch jeder ein Recht darauf zu erfahren, welche Daten bei einer Firma gespeichert sind und kann über deren mögliche Verwendung entscheiden. Wenn also jemand seine dort gespeicherten Daten einsehen möchte oder verlangt, dass diese gelöscht werden, so muss in dem Fall StudiVZ dem Anliegen nachkommen.

Aber wie gesagt, alles Theorie. Funktioniert in der Praxis ja eh nicht, weil kaum einer seine Ansprüche (zur Not mit "Gewalt") geltend macht.

Hier eine kleine Zusammenfassung über die Paragraphen, die das Recht der Betroffenen regeln:
http://de.wikipedia.org/wiki/Bundesdate ... etroffenen

[fw]

oh, ok, ich sage denen also "löscht meine daten".. die sagen "ok, machen wir", machen aber nichts..

du siehst das problem, ja? woher will ich wissen, dass die das wirklich machen.. überprüfen tut (und kann) das sowieso keiner

[Hexa]

woher will ich wissen, dass die das wirklich machen.. überprüfen tut (und kann) das sowieso keiner

Hack Dich doch in die DB, soll ja recht einfach gehen wie die Vergangenheit gezeigt hat. *scnr*

[foogy]

oh, ok, ich sage denen also "löscht meine daten".. die sagen "ok, machen wir", machen aber nichts..

du siehst das problem, ja? woher will ich wissen, dass die das wirklich machen.. überprüfen tut (und kann) das sowieso keiner

Natürlich überprüft das keiner und du selbst hast da dann auch kaum Möglichkeiten, als ggf. Rechtsmittel in Anspruch zu nehmen. Aber das ist riskant und kann teuer werden, daher geht kaum jemand diesen Weg, auch wenn er befürchtet, dass die Firma seinem Anliegen nicht nachgekommen ist.

Der Gesetzgeber hat ja lediglich eine gesetzliche Grundlage geschaffen, um solche Fälle zu regeln. Ich kann mich nur wiederholen: in der Theorie funktioniert es.

[nathan99]

aber mit einer entsprechend umfangreichen rainbow table wuerde man wahrscheinlich so 10% der passwoerter oder mehr knacken.

Ein Erfahrungswert den im vom Betreiber eines der grössten deutschen "Untergrund"-Foren habe, dass 10% deutlich zu niedrig gegriffen sind.
10% knackt man schon wenn "ficken" "$Plattformname" und "hitler" drinn sind.

Insgesamt kommt man mit Rainbowtable auch auf ~50%.

[heipei]

... eines der grössten deutschen "Untergrund"-Foren habe, dass 10% deutlich zu niedrig gegriffen sind.

gulli.com?

[O.D.]

bang. Und da isses schon. Am wichtigsten finde ich den letzten Abschnitt!
http://www.heise.de/newsticker/meldung/ ... rom/atom10

Gruß

[kb]

Tjo, warum sollten die Daten auch verschlüsselt sein? Wie soll man die denn dann wieder anzeigen können!?
Und dass man woanders die Passwörter austauschen sollten, kann man sich ja denken. Jedenfalls die, die nicht "passwort" o.Ä. als Passwort hatten -_-