Benutzer-/Mitglieder-Passwörter anzeigen

**medianetic** · 24.10.2012, 18:53

Guten Abend,

mir ist es jetzt schon öfters passiert, dass ich zur Verifikation das Passwort eines Benutzers oder Mitglieds überprüfen wollte. Leider gibt es in Contao standardmäßig keine Funktion, um die Passwörter sichtbar zu machen. Oft gibt es an anderen Stellen da doch eine Checkbox 'Passwörter anzeigen'. Ich finde das sollte ebenso implementiert werden.

Übrigens lässt sich das Passwort trotz Asterisks, wie ich gerade heraus gefunden habe, per Copy&Paste kopieren und dann anzeigen (Chrome). Also sicher ist das vermutlich so nicht?

Grüße
Nick

**Andreas** · 24.10.2012, 20:57

Contao kennt die Passwörter nicht, ist auch gut so.

Wie machst du das denn da bei Chrome, das dürfte eigentlich nicht gehen.

**fiedsch** · 25.10.2012, 05:12

Ich denke mal, er tippt es ein, kopiert es sofort und speichrt erst dann in Contao ab.

**Russe** · 25.10.2012, 06:41

Zitat von fiedsch

Ich denke mal, er tippt es ein, kopiert es sofort und speichrt erst dann in Contao ab.

Aus Passwortfeldern kann man normalerweise nichts kopieren. Würde mich doch sehr wundern.

@medianetic
Aus welchem Feld genau sollte das mit Copy & Paste gehen? Und, welcher Browser und auf welchem System?

**fiedsch** · 25.10.2012, 07:42

ich dachte an den Unterschied von Passwort frisch eingegeben vs. Konto mit bereits gesetztem Passwort aufgerufen, wo die "Sternchen" nur ein vorhandenes Passwort symbolisieren.

**medianetic** · 25.10.2012, 09:50

Ich kann alle beruhigen

Das funktioniert wahrscheinlich doch so nicht. Ich dachte gestern, dass ich die Sternchen einfach selektiert hatte und dann Copy&Paste gemacht habe. Anscheinend hatte ich das Passwort für den Account aber aus anderer Stelle in der Zwischenablage. Trotzdem wäre diese Funktion ja sinnvoll. Man könnte ja auch eine Checkbox machen, die mit einem Request an die DB verbunden ist. So kann sich der User/Admin ja selbst entscheiden, ob er die Funktion nutzen will. Alternativ könnte man auch darüber nachdenken eine Passwort-vergessen Funktion für den Admin zu integrieren.

**MacKP** · 25.10.2012, 10:42

Ich bin der Meinung, das es sehr gut so ist, das man auch als Admin nicht an die Passwörter kommt.
Datenschutz ist da so ein Stichwort.
Wenn user ein Passwort für mehrere Dinge benutzen, wüßte ich dadurch direkt alle möglichen Zugangsdaten. Das will ich mal so gar nicht.
Wenn man sowas weiß, dann ist das Misstrauen auch relativ groß, wenn der Kunde dann mal Probleme damit hat -> in der Art: du kannst doch da gucken, vllt hast du da 'ausversehen'...

Nene, das sollte es bitte auf keinen Fall geben.

Noch ein Sicherheitsaspekt:
Wenn ein Admin das kann, dann können das relativ schnell auch andere Leute, die sich unerlaubt zugriff verschaffen (klar, Knacken kann man sowas auch, aber alle Hürden entfernen und denen dann praktisch alles in die Hand legen?)

Viele Grüße

**medianetic** · 25.10.2012, 10:59

Jein, ich finde man könnte das optional durchaus anbieten, denn bei mir ist der Fall gerade anders:

Ich habe alle Mitgliederdaten selber eingetragen. Die Mitglieder selber kennen nur ihren Zugang.
User X sagt mir jetzt, der Zugang würde mit seinen Logindaten nicht funktionieren. Die Verwaltung der Mitgliederlogins läuft über mich, weil die User wahrscheinlich zu unerfahren sind um das autonom zu machen.
Ich habe die Daten selbst eingetragen und kann sie nicht mehr verifizieren?

Alles was ich machen könnte ist, sämtliche Zugangsdaten extern zu speichern und abzugleichen oder neue Passwörter zu definieren und jeden User darüber informieren.

Ich denke, wenn mein Adminzugang gehackt wird, gibt es eine Vielzahl von anderen Problemen ... Das Beispiel mit gleichen Passwörtern für verschiedene Logins mag stimmen, finde ich aber ziemlich weit hergeholt. Das ist ja keine Systemfrage. Jeder User ist selbst für seine Passwörter verantwortlich.

**MacKP** · 25.10.2012, 11:09

Also an sich kann ich immer noch nicht verstehen wo der Sinn dahinter stehen soll Passwörter von anderen Leuten zu kennen.
Ich war auch mal Admin in der Uni und kannte da kein einziges Kennwort.
Wenn ein User nicht (mehr) mit seinen Daten rein kommt, dann vergibt man da einfach ein neues und gut ist.
Dafür gibts sogar ne Erweiterung, die das dann auf Knopfdruck macht und direkt ne E-Mail an den User schickt mit dem neuen Passwort -> eS_ResetPassword

Es gibt definitiv KEINEN Grund Passwörter irgendwo im Klartext zu haben. Egal wo.
(noch nicht mal meine Frau hat ein Passwort von mir, da geb ich das doch nicht irgendwem anders...)

Viele Grüße

**Oden** · 25.10.2012, 11:10

Zitat von MacKP

Noch ein Sicherheitsaspekt:
Wenn ein Admin das kann, dann können das relativ schnell auch andere Leute, die sich unerlaubt zugriff verschaffen (klar, Knacken kann man sowas auch, aber alle Hürden entfernen und denen dann praktisch alles in die Hand legen?)

Das zu mal was aktuelles... http://www.heise.de/newsticker/meldu...n-1736347.html

Zitat: Im heise online vorliegenden Entwurf wird betont, dass die Auskunftspflicht auch für Daten wie PIN-Codes und Passwörter gilt, mit denen der Zugriff auf Endgeräte oder damit verknüpfte Speichereinrichtungen geschützt wird. Dies könnte sich etwa auf Mailboxen oder in der Cloud vorgehaltene Informationen beziehen.

**MacKP** · 25.10.2012, 11:19

Hallo Oden,
sind wir jetzt alle Provider für Telekommunikationsanschlüsse?
(Mal davon ab, das die Politik von Datenschutz anscheinend eh nichts hält)

Viele Grüße

**Oden** · 25.10.2012, 11:24

Das ist erst der Anfang! ;-)

**medianetic** · 25.10.2012, 11:49

Zitat von MacKP

Also an sich kann ich immer noch nicht verstehen wo der Sinn dahinter stehen soll Passwörter von anderen Leuten zu kennen.

Das ist doch Theorie. Meinst Du Google kennt die Passwörter seiner Nutzer nicht? Als Anbieter ist man verpflichtet alle Zugangsdaten Datenschutz-berücksichtigend aufzubewahren.
Gerade wenn eine Selbstverwaltung nicht gewährleistet ist, benötigt man diese Möglichkeit.

Als Reseller von Webhosting, habe ich Zugriff auf sämtliche Passwörter bspw. von E-Mail-Accounts. Ich glaube nicht dass das Datenschutzrechtlich momentan ein Problem ist, denn dann würde es das in dieser Form nicht geben.

**BugBuster** · 25.10.2012, 12:34

Wie MackP schon sagt, auch ich als ehemaliger Admin kannte nie ein Passwort von jemandem anders. Ich halte das auch für nicht nötig.
Eine Neusetzfunktion gibt es immer, und das reicht.
Auch Google muss mein (Klartext) Passwort nicht kennen, wozu auch, die kommen an die Daten ja auch direkt ran, die sind ja nicht mit meinem PW verschlüsselt.

Zurück zum eigentlichem Thema. Die Anzeige der Klartext Passwörter ist nach der Art der jetzigen Verschlüsslung die Contao verwendet einfach nicht möglich, wegen einer Einwegverschlüsslung + einem Salt der per Zufallszahl/string (mehrstellig) gebildet wird.

Klar, ein Großrechner, lange Rechenzeit, Brute-Force Methoden etc. und irgenwann könnte man auf die selben verschlüsselten Werte kommen, aber wer hat das schon zur Verfügung.

**medianetic** · 25.10.2012, 12:42

Wenn denn ein Neusetzen reichen soll, dann könnte man wenigstens einen Button integrieren: User informieren.
Problem gelöst. Kann man natürlich auch selber machen

PS: Allerdings wird das neue Passwort dann auch per Mail im Klartext verschickt

Edit: Das würde in meinem Fall das Problem auch nicht lösen, da nicht jedes Mitglied eine E-Mail-Adresse angegeben hat.

**BugBuster** · 25.10.2012, 12:54

Wenn du nur das Passwort eines Nutzer prüfen willst, dann brauchst ja nur das nehmen, den Nutzer Salt aus der DB, es verschlüsseln wie Contao und vergleichen mit dem DB Eintrag.
Das in eine Backend Erweiterung gekippt (login + pw eingeben, ausgabe ob pw passt oder nicht).

**medianetic** · 25.10.2012, 13:04

Ja, könnte man so machen - ist mir zu aufwendig. Ich besorge mir jetzt aber erstmal alle E-Mail-Adressen, dann werd ich das über die Neusetzen-Funktion machen.