Passwortverschlüsselung - Pflicht?

[markus_so]

Hallo!

Registriert sich ein User auf einer Website (mit Passwort etc.), ist es üblich das Passwort verschlüsselt (md5-Verschlüsselung) in der Datenbank abzuspeichern. Es handelt sich dabei um eine Verschlüsselung, die durch diverse Rechenoperationen nur in eine Richtung funktioniert. Eine Entschlüsselung ist also nicht mehr möglich.

Trotzdem fällt mir doch immer wieder auf, dass ich mein Passwort im Klartext zugeschickt bekomme, wenn ich z.B. auf "Passwort vergessen" klicke. Wo hat der Admin in dem Falle mein Passwort her?? Einzige Möglichkeit: Mein Passwort steht unverschlüsselt in der Datenbank des Administrators.

Theoretisch könnte ein Administrator also regelmäßig in der Datenbank nachschauen und die Passwörter seiner User spionieren. Das ist natürlich klar, dass das verboten ist. Doch sollte es beispielsweise zu einem Angriff auf die betroffene Website kommen, könnte auch der Hacker sein Unwesen mit den Passwörtern treiben.

Sicher währe das ganze also nur, wenn die Passwörter bei der Registrierung sofort verschlüsselt werden und nicht im Klartext in der Datenbank gespeichert werden

Außerdem wird der User vor der Registrierung nicht über eine evtl. fehlende Verschlüsselung informiert.

Was sagt zu soetwas das Datenschutzgesetz bzw. evtl. der Verbraucherschutz? Ist das Verschlüsseln der Passwörter Pflicht für den Webmaster?


Gruß Markus

[Unregistriert]

Nun ja ich denke es könnte auch sein das die Passwörter in der Datenbank verschlüsselt sind, der Admin so keinen Klartext davon hat, und sie anschließend bei der E-Mail Antwort auf "Passwort vergessen" entschlüsselt werden und dann gesendet. Natürlich hat ein schlauer Admin immer die Möglichkeit PW's zu entschlüsseln, jeder Admin hat allerdings meiner Meinung nach so viel Anstand um sie nicht ein zu sehen.