Antwort #6 am: 21. August 2014, 16:55:22
...
Ich wurde aufgefordert, diese kritische Sicherheitslücke bis zum 01.12.2014 zu schließen.
Das ist nicht wirklich eine Sicherheitslücke, und schon gar keine kritische. Der Datenschutzbeauftragte hat einfach nur nachgeplappert was er irgendwo gelesen hat.
Eine Sicherheitslücke sind zu kurze Passworte und das Bestehen derselben aus nachvollziehbaren Zeichenfolgen.
Würde ein Shop gehackt und Zugriff auf die Datenbank erlangt, wäre es unter Umständen etwas einfacher von den md5-Passworten durch Querschlüsse einige zu knacken, unter anderem, bei einfachen Passworten, auch mittels Rainbow-Tables, als es mit SHA-1 und Salt Hashes o.ä. möglich wäre.
Eine wirkliche Sicherheitsverbesserung wäre den Kunden zu zwingen sein Passwort mit einer bestimmten Zeichnanzahl und dem Vorkommen von Zeichen aus bestimmten Kategorien zu wählen
(z.B. min.1 Groß.- mind. ein Kleinbuchstabe, mind. eine Zahl, mind. ein nicht alphanumerisches Zeichen
(z.B. (, /, ')).
Daß ein solches Vorgehen manchen Zeitgenossen davon abhält überhaupt ein Kundenkonto zu erstellen ist dabei nicht beachtet.
Gruß,
noRiddle