Serverquery Passwort in der Datenbank als Klartext

Started by Pierre, May 16, 2016, 01:22:08 PM

Previous topic - Next topic

Pierre

Guten Tag,
mir viel beim erneuten aufsetzen auf, dass das Passwort des Serverquery im Klartext gespeichert wird, wäre es nicht besser im Hash oder etwas derartiges abzuspeichern damit es sicherer ist?

Stefan1200

Nun, der TS3 Server benötigt in jedem Fall das Passwort unverschlüsselt, das schließt die üblichen Maßnahmen von Einwege-Hashes wie SHA-256 aus. Zudem wird es auch unverschlüsselt zum TS3 Server übertragen (es ist halt eine einfache unverschlüsselte Telnet Verbindung).

Wenn ein Angreifer das System so stark infiltriert hat, das er die Datenbank komplett auslesen kann, hätte er auch noch andere Möglichkeiten, die Passwörter auszulesen.

Daher habe ich von Verschlüsselungssystemen abgesehen, die nur wenig bringen (da ich den Zweiwege-Hash ja auch irgendwo ablegen muss), mir und dem Nutzer aber nur unnötig Arbeit bereiten.

Die Passwort Hashes der Benutzeraccounts sind aber verschlüsselt. Zwar inzwischen auch nicht mehr auf dem heutigen Stand der Technik, aber eine Änderung würde bedeuten, das alle Passwörter bisheriger Nutzerkonten ungültig werden. Zudem sind die Passwörter immerhin schon in einer Art verschlüsselt, die die Verwendung von Rainbow Tabellen sinnlos machen.

Pierre

Okay, das ist gut zu wissen, dann wünsche ich dir mal angenehme Pfingsten :)

Stefan1200

Quote from: Pierre on May 16, 2016, 02:43:35 PM
Okay, das ist gut zu wissen, dann wünsche ich dir mal angenehme Pfingsten :)

Die wünsche ich dir auch. :)

PS: Generell kann ich aber nur empfehlen, den MySQL Server mit den üblichen Wegen abzusichern. D.h. alle MySQL Accounts an feste IP Adressen binden, von denen diese benötigt werden. Den MySQL Root Account nach Möglichkeit nur von localhost erlauben. Shell Zugriff auf die Maschine ebenfalls so gut es geht absichern, root Anmeldung per SSH (bei Linux) verbieten. So muss ein Angreifer erstmal zwei Passwörter knacken, bevor er root Rechte hat. Und generell gilt es natürlich die bekannten Maßnahmen einzuhalten, wenn es um die Passwörter selbst geht (egal ob für SSH, FTP oder MySQL), d.h. Zahlen und Buchstaben in gemischter Groß- und Kleinschreibung mit mindestens 10 Zeichen. Für die Root Accounts vielleicht sogar 20 Zeichen.