Wie der Sample'Ist mit Daten umgeht


Faustregel

Wenn es Sinn macht die Daten zu verschlüsseln - werden Sie verschlüsselt gespeichert.
Daten die nur von euch gesehen werden müssen, sind üblicherweise verschlüsselt gespeichert (z.B. Adressen eurer Samplekäufer)


Wie wir euer Passwort behandeln

Fast jede Webseite prüft anhand von Benutzernamen und Kennwort ob der Anwender authentifiziert ist.
Natürlich könnten wir euer Passwort zu diesem Zweck im Klartext abspeichern:

"Mustermann" = "Mustermann"

Wenn Ihr allerdings dieses Passwort auch auf anderen Seiten (z.B. Amazon) verwendet, könnten böswillige Seitenbetreiber ggf. in Versuchung geführt werden.
Solltet Ihr euer Kreditkartenkennwort also ebenfalls auf Sample'Ist verwenden, ehrt uns euer Vertrauen...
Wir wollen euer Kennwort eigentlich gar nicht so genau kennen.
Daher setzen wir auf OWHF (Wikipedia) um euer Passwort in der Datenbank abzuspeichern.

Dabei wird mit Hilfe von Mathe-Vodoo eine Art Kauderwelsch zu euerem Ausgangspasswort gebildet.
Es gibt dabei keine Rückfunktion um von dem Kauderwelsch zurück zum Passwort zu gelangen:


Nachdem diese mathematische Funktion für den gleichen Text wieder den gleichen Wert ergibt, muss man zur Prüfung einer Zutrittsberechtigung also nur:
[In Datenbank gespeicherter Kauderwelsch] = Kauderwelsch(Dein Passwort) (vgl. Mathe y = f(x))
durchführen.

Unser Systemuser sind z.B. mit den folgenden Hashes in der Datenbank abgespeichert:


Nerd Randnotiz: Diese Funktionen sind, wenn keine weiteren Maßnahmen durchgeführt werden, leider anfällig gegenüber Raindbow-Tables (Wikipedia)
Wir verwenden daher sowohl Pfeffer, als auch Salz, sowie unterschiedliche Hashes um eine Datenbankkopie im Zweifel so wertlos wie möglich zu machen.


Die Datenbank liegt derzeit bei einem Webhoster mit halbwegs guter Reputation (Netcup).
Dort ist sie durch ein Passwort und entsprechende Serverkonfigurationen geschützt - aber Computer sind komplex und Menschen - welche die zugehörige Software schreiben - machen Fehler.
Wir Versuchen alles technisch mögliche und "sinnvolle" umzusetzen, aber verwendet doch bitte dennoch ein eigenes Kennwort für den Sample'Ist.


Warum euer Passwort außerdem noch wichtig ist

Die Addressen der Sampleempfänger gehen uns nichts an!
Daher verwenden wir neben der Zugriffskontrolle ebenfalls eine Zwei-Wege Verschlüsselung in Verbindung mit eurem Kennwort.


Im Gegensatz zum Eingangs genannten Mathe-Vodoo ist es hier möglich den Ausgangstext wieder zu entschlüsseln.
Ein Simples Beispiel dieser Technik ist die Caesar-Verschlüsselung/ROT13 (Wiki).
Wir verwenden zu diesem Zwecke euer Passwort als Schlüsselphrase zum Ver- und Entschlüsseln.
Also:
  • Wir kennen euer Kennwort nur als Kauderwelsch
  • Wir verschlüsseln und entschlüsseln bestimmte Daten mit eurem Kennwort
  • Euer Kennwort steht "uns" nur in der Anmelde-Sitzung zur Verfügung und wird sonst (bis auf Kauderwelsch), nirgendwo gespeichert


Warum gibt es keine "Passwort vergessen" Funktion?

Einige schwarze Schafe unter den Webseiten-Betreibern können bei "Passwort vergessen" sogar euer altes Passwort per E-Mail verschicken.
Bitte fragt euch kurz, wie dieses Passwort bei diesem Anbieter abgespeichert sein muss, wenn er dieses im Klartext übermitteln kann und was passiert, wenn jemand die Datenbank dieses Anbieters komplett stiehlt.

Bei uns ist das Gegenteil der Fall: wir können euch natürlich ein neues Passwort setzen, allerdings benötigt man zum Entschlüsseln aller explizit verschlüsselten Texte zwingend das alte Passwort.
Solltet Ihr euer Kennwort dennoch vergessen haben, wendet euch vertrauensvoll an Najzero/Adrian (siehe Impressum).