[0x21]

Erschreckt musste ich feststellen, dass YouTube die Passwörter im Klartext speichert.

Vor 3 Wochen habe ich mich dann dort registriert um ein kleines Video meinen Freunden zugänglich zu machen. Gestern wollte ich erneut was hochladen, hatte aber das Passwort vergessen. Kein Ding, schnell "Passwort vergessen" ausgeführt und schon die Mail im Briefkasten:

Code:

Hi <username>,

Your YouTube password is <Passwort im Klartext>. We hope this helps.

See you back on YouTube!

Nicht auszudenken, was passieren würde, wenn die Datenbank durch Lecks o.ä. öffentlich zugänglich ist, mit Adresse, Nickname und eMail und Passwörtern im Klartext. Gibt ja viele, die für alles das gleiche Passwort benutzen.

Üblicher Usus ist ja ein md5-Hash.

[c3p]

wie kommst du darauf das das passwort nicht verschlüsselt auf den servern lag und für dich entschlüsselt und dir zugesandt wurde?

[0x21]

Bei einer Ver-/Entschlüsselung gibt es immer einen Schlüssel, der die Daten ver-/entschlüsselt. Sobald man diesen Schlüssel hat, hat man alle Passwörter im Klartext.

Ich wüsste keine Nachteile von md5() außer dass der User beim Vergessen ein neues Passwort kriegt, das er wieder umstellen muss.

[c3p]

hmm ok ich versteh was du meinst. wobei man jetzt sagen muss, das wenn die das bei sich einigermaßen gut verschlüsselt haben doch ziemlich wurst ist. das sicherheitsrisiko das der email account gehackt wird ist vermutlich größer als die gefahr das jemande rausfindet wie man an alle youtube pw kommen würde.

außerdem youtube acc...who cares?

[0x21]

Klar, der Schlüssel muss auch erstmal gefunden werden, aber wenn man ihn hat, dann springen die Datenschützler wieder auf die Barrikaden.

Ich verstehs nur nicht, wie man sowas auf nem großen Projekt (immerhin von Google) laufen lassen kann..

Außerdem haben die Administratoren, welche ja die Schlüssel haben, die Möglichkeit, an jedes Passwort problemlos zu gelangen. An den unverschlüsselten Mailverkehr darf man ja gar nicht denken..