Text only | Text with Images

Stefan1200's Forum

JTS3ServerMod Hosting Edition => JTS3ServerMod MySQL & WebInterface => Topic started by: Pierre on May 16, 2016, 01:22:08 PM

Title: Serverquery Passwort in der Datenbank als Klartext
Post by: Pierre on May 16, 2016, 01:22:08 PM
Guten Tag,
mir viel beim erneuten aufsetzen auf, dass das Passwort des Serverquery im Klartext gespeichert wird, wäre es nicht besser im Hash oder etwas derartiges abzuspeichern damit es sicherer ist?
Title: Re: Serverquery Passwort in der Datenbank als Klartext
Post by: Stefan1200 on May 16, 2016, 02:26:35 PM
Nun, der TS3 Server benötigt in jedem Fall das Passwort unverschlüsselt, das schließt die üblichen Maßnahmen von Einwege-Hashes wie SHA-256 aus. Zudem wird es auch unverschlüsselt zum TS3 Server übertragen (es ist halt eine einfache unverschlüsselte Telnet Verbindung).

Wenn ein Angreifer das System so stark infiltriert hat, das er die Datenbank komplett auslesen kann, hätte er auch noch andere Möglichkeiten, die Passwörter auszulesen.

Daher habe ich von Verschlüsselungssystemen abgesehen, die nur wenig bringen (da ich den Zweiwege-Hash ja auch irgendwo ablegen muss), mir und dem Nutzer aber nur unnötig Arbeit bereiten.

Die Passwort Hashes der Benutzeraccounts sind aber verschlüsselt. Zwar inzwischen auch nicht mehr auf dem heutigen Stand der Technik, aber eine Änderung würde bedeuten, das alle Passwörter bisheriger Nutzerkonten ungültig werden. Zudem sind die Passwörter immerhin schon in einer Art verschlüsselt, die die Verwendung von Rainbow Tabellen sinnlos machen.
Title: Re: Serverquery Passwort in der Datenbank als Klartext
Post by: Pierre on May 16, 2016, 02:43:35 PM
Okay, das ist gut zu wissen, dann wünsche ich dir mal angenehme Pfingsten :)
Title: Re: Serverquery Passwort in der Datenbank als Klartext
Post by: Stefan1200 on May 16, 2016, 02:49:03 PM
Quote from: Pierre on May 16, 2016, 02:43:35 PM
Okay, das ist gut zu wissen, dann wünsche ich dir mal angenehme Pfingsten :)

Die wünsche ich dir auch. :)

PS: Generell kann ich aber nur empfehlen, den MySQL Server mit den üblichen Wegen abzusichern. D.h. alle MySQL Accounts an feste IP Adressen binden, von denen diese benötigt werden. Den MySQL Root Account nach Möglichkeit nur von localhost erlauben. Shell Zugriff auf die Maschine ebenfalls so gut es geht absichern, root Anmeldung per SSH (bei Linux) verbieten. So muss ein Angreifer erstmal zwei Passwörter knacken, bevor er root Rechte hat. Und generell gilt es natürlich die bekannten Maßnahmen einzuhalten, wenn es um die Passwörter selbst geht (egal ob für SSH, FTP oder MySQL), d.h. Zahlen und Buchstaben in gemischter Groß- und Kleinschreibung mit mindestens 10 Zeichen. Für die Root Accounts vielleicht sogar 20 Zeichen.
Text only | Text with Images