Können die Admins aus Facebook mein Passwort sehen?

Wenn ich mich in Facebook einlogge, dann gebe ich ja auch meine ID und mein Passwort ein und können die Admins von Facebook mein Passwort einsehen oder nicht?

Kann der Seiten Betreiber mein Passwort sehen?

11 Antworten

Florabest

03.04.2020, 16:15

Wozu sollte er dein Passwort benötigen?

Da sowohl der Admin als auch "SeitenBetreiber" direkten Zugang auf alle deine Daten haben brauchen sie dein komische Passwort doch gar nicht.

Dass alles was Du einstellst denen völlig zur Verfügung stellst und auf jegliche Eigentums- oder Urheberrechte verzichtest, hast Du akzeptiert als Du einen Facbook Account angelegt hast.

huxbux1999

03.04.2020, 16:13

Es werden meines Erachtens nur Hashwerte der Passwörter gespeichert. Die werden beim Login verglichen und bringen einem ohne die zugehörige Verschlüsselung nichts.

Vermutlich verfügt der Seitenbetreiber allerdings über diese Information. Daher kann er dein Passwort herausfinden - was aber nicht wichtig ist, da er als Administrator ohnehin Vollzugriff auf alle deine Daten besitzt (zumindest theoretisch)

Functional

03.04.2020, 16:25

Der Seitenbetreiber kennt zwar natürlich den Verschlüsselungsalgorithmus, der bringt ihm in der Regel nur nichts, da ein Algorithmus, der für Passwörter genutzt werden sollte, mit heutiger Rechenleistung nicht reversibel ist. Das ist der Kerngedanke einer Hashfunktion: Geht in die eine Richtung, aber nicht in die andere.

Wird z.B. mit Primzahlen etc. gearbeitet.

huxbux1999

03.04.2020, 16:27

@Functional

Im letzten Semester hatte ich ein wenig Kryptographie mit SHA etc. :D

Kommt mir bekannt vor ^^

Functional

03.04.2020, 16:14

Wie genau das bei Facebook - oder sonst irgendeiner Seite ist - kann dir niemand sagen, nur Facebook selbst.

Facebook wäre aber schön dumm, würden sie die Passwörter im Klartext speichern. Jede halbwegs seriöse Seite führt jedes Mal, wenn du dich registrierst und einloggst, erst eine "Hash" Funktion auf das Passwort aus, was im Endeffekt eine mathematische Funktion ist, die irreversibel ist (bzw. ist sie schon, aber nicht mit der heute verfügbaren Rechenleistung...). Sprich, man kann z.B. aus dem Passwort "hgZtsr$3tY" den Bcrypt-Hash "$2y$12$iODe8PMlwBUjI0jt4m9sAOftt8SO89LKiDmzNH0HmCdTsrycjaH/G" machen, aber nicht umgekehrt.

In der Datenbank ist dann nur der Hash gespeichert. Wenn du dich das nächste Mal einloggst, wird dein Passwort einfach wieder gehashed und dann mit dem Hash in der Datenbank verglichen. Das Passwort selbst wird nicht in Klartext gespeichert.

Ein Indiz dafür, dass Seiten Passwörter nicht hashen und damit auf jeden Fall gemieden werden sollten, ist, wenn die Seite dir einfach dein Passwort per E-Mail zusendet, wenn du es vergessen hast. Eine Seite, die Passwörter ordnungsgemäß speichert, kennt dein Passwort nicht und kann es dir daher auch nicht zusenden, weshalb du in diesem Fall ein neues Passwort anlegen musst (welches dann wiederum gehashed und erst dann gespeichert wird).

Falls du Englisch kannst, erklärt dieses Video von Tom Scott das Ganze evtl. noch anschaulicher: https://www.youtube.com/watch?v=8ZtInClXe1Q

Und hier noch ein Wiki Artikel zum Thema Hash: https://de.wikipedia.org/wiki/Hashfunktion

Kurzum: Sehr wahrscheinlich nicht, und wenn es so wäre, wäre das ein riesiger Datenschutzverstoß.

Woher ich das weiß:Berufserfahrung – Inhaber einer App-Agentur & 15+ Jahre Programmiererfahrung

Lorbano

03.04.2020, 16:12

Da du ja ein Passwort hinterlegst und dies zum Abgleich genutzt wird, kann ein Admin von Facebook theoretisch deine Daten einsehen. Praktisch wird das wohl kaum geschehen, da es Massen an hinterlegten Daten gibt, diese automatisiert verwaltet werden und Facebook in der Regel keinen Grund hat ausgerechnet deine Daten manuell auszulesen.

Simon221585

03.04.2020, 16:11

Eigentlich kann dass der Seiten Betreiber, aber das wäre schwachsinnig.

Das Passwort sollte Clientseitig verschlüsselt werden und dann direkt verschlüsselt übertragen werden und auch verschlüsselt in der Datenbank stehen, daher müssten die Betreiber dein Passwörtchen erstmal entschlüsseln

PuchbergAustria

03.04.2020, 16:12

Hoffen wir bloß, dass das bei FB so ist! Und wenn nicht, dann möge Gottvater, der gehörnte uns allen gnädig sein ^^

Simon221585

03.04.2020, 16:20

@PuchbergAustria

Naja eigentlich müsste der Client das Passwort nicht zusätzlich verschlüsseln...
1. Die https Verbindung ist sowieso verschlüsselt

2. Kann der Server es dann nochmal hashen oder verschlüsseln wie auch immer und dann speichern

...

Functional

03.04.2020, 16:19

Verschlüsselung ist richtig, es sollte aber besser nicht clientseitig verschlüsselt werden, da der Client (= der Nutzer) die Hashfunktion dann einfach deaktivieren könnte. Das wäre ein ziemliches Sicherheitsproblem.

Die Passwörter werden auf der Serverseite verschlüsselt. Die Übertragung läuft im besten Fall natürlich über SSL / TLS verschlüsselt, das hat aber nichts mit Passwörtern zu tun, sondern mit Datenverkehr an sich.

Simon221585

03.04.2020, 16:21

@Functional

Stimmt natürlich auch.

Ähnliche Beiträge

Mit Apple ID unbemerkt ausspionieren?

Hallo, ich habe eine Frage zu meinem I-Phone 5. Mein Freund hat die ID und das Passwort zu meinem Apple Account. Kann er sich nun jederzeit über unseren PC auf mein Konto/ die Cloud einloggen ohne dass ich dies merke? Kann ich irgendwo einsehen, wann und von wo sich zuletzt angemeldet wurde?

...zum Beitrag

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zum Beitrag

Php passwort verschlüsseln?

Hab mir ein Video angesehen das schon von 2016 ist und der Youtuber meinte selber das es eine bessere Methode geben kann als sha512.

$passwort = "einwichtigespasswort";
echo  hash("sha512", $passwort);

Was ist das aktuellste heutzutage ?

...zum Beitrag

Passwort aus Remotedesktopverbindung auslesen?

Hallo zusammen,

vielleicht könnt Ihr mir helfen. Ich greife seit Monaten über eine Remotedesktopverbindung auf einen anderen Rechner zu.
In dieser RDP habe ich das Passwort damals eingetragen und daher kann sich Windows automatisch einloggen.
Nun möchte ich gerne die gleiche Verbindung von einem zweiten Rechner aufbauen. Leider werde ich bei dem zweiten Host Rechner nach dem Passwort gefragt welches ich aber nicht mehr weiß.
Wisst Ihr, wie ich das Passwort herausfinden kann?

Nochmal kurz zusammengefasst: Ich kann mich über die RDP des ersten Rechners zwar auf den Rechner einloggen (bin also angemeldet als Admin) aber kann das Kennwort nicht einsehen... Gibt es eine Möglichkeit das Kennwort einzusehen oder zu ändern (ohne das alte zu wissen)?

Danke Euch vielmals

...zum Beitrag

Windows 10 Passwort vergessen(eingeloggt)?

Hallo,

ich habe das Passwort meines Windows 10 Laptops vergessen allerdings habe ich die PIN wodurch ich mich noch einloggen kann.

Meine Frage: gibt es die Möglichkeit das Passwort auszulesen oder zu ändern wenn ich als Admin eingeloggt bin?

lg derda200!

...zum Beitrag

Apple ID Passwort?

Wo kann ich meine Apple ID passwort sehem

...zum Beitrag

Bekommt man auf Discord immer eine Email, wenn man sein Passwort ändert?

Ich habe meinen besten Freund in meinen Account reingelassen. Offenbar hat er das Passwort geändert. Da ich ihm mein richtiges Passwort nicht sagen wollte, habe ich es vorher geändert, bevor ich ihn in den Account reingelassen habe, und da habe ich eine Email bekommen, dass das Passwort geändert wurde.

Offenbar hat er aber das Passwort geändert, denn wenn ich mich einloggen möchte, (mit dem von mir neu vergebenen Passwort, steht da, dass es nicht übereinstimmt. Also hat er es wohl geändert. Aber wieso habe ich dann keine Email bekommen, dass es geändert wurde?

Heißt das ich habe mich beim vergeben des Passworts vertippt und komme jetzt gar nicht mehr in den Account rein? Oder hat er es doch geändert und ich habe nur keine Email bekommen?

Aber davor habe ich doch auch eine Email bekommen, als ich das Passwort geändert habe. Ich möchte das Passwort nicht zurücksetzen, da ich es gerne knacken würde und meinen besten Freund damit beeindrucken will. Weiß jemand, wie ich das machen könnte, bzw. ob das Passwort überhaupt geändert wurde?

Vielen Dank im Vorraus :)

...zum Beitrag

alte apple id einloggen?

Hallo ich wollte mich heute in meine alte apple id einloggen hatte mehrmals falsche passwort eingegeben aber hab endlich das richtige gefunden aber da steht meine apple id wird nicht unterstützt oder das sie gesperrt ist. als ich gegoogelt hab stand da ich muss das passwort ändern wie soll das aber gehen wenn ich nicht mal in den account komme wegen der sperrung

...zum Beitrag

CSL WIFI Repeater passwort funktioniert nicht?

Hallo, ich habe einen neuen WIFI Repeater von CSL das WLAN wird anzegezeigt, aber ich kann mich nicht einloggen, in der Bedienungsanleitung steht, dass der Netzwerkschlüssel auf dem Gehäuse steht, aber “admin“ bzw. “admin/admin“ funktioniert nicht.

Danke im voraus

...zum Beitrag

Passwort über Apple?

Ich habe ein Konto bei etsy über Apple gemacht und wenn ich jetzt auf einem anderen gerät mich da einloggen will dann steht da Passwort falsch obwohl ich das Passwort der Apple id eingebe

...zum Beitrag

Können Schulen den Mail-Verkehr der Schüler über die Schulmail einsehen?

Man bekommt von der Schule ja in der Regel eine eigene Mailadresse für die Schule.

Kann die Schule den Postverkehr darauf einsehen?

Kann der Administrator zB mein Passwort sehen oder umgehen und sich einloggen?

...zum Beitrag

Kann ich mein Instagram Konto bevor es geöffnet werden kann mit einem Passwort sicher?

Also zB. wie bei Whatsapp sodass man festlegen kann ,dass vor dem Einsehen des Kontos ein Passwort oder Face ID geprüft wird .

...zum Beitrag

Kann man jemanden mit Apple ID hacken?

also Wenn ich jetzt zb in die Apple id von jemanden einlogge hat er dann meine Daten oder kann mich hacken? Also wenn ich sein Passwort bekomme, einlogge und dann nach paar Minuten auslogge

...zum Beitrag

C# User Login: Passwort-Hash vergleichen?

Hallo,

ich programmiere eine Anwendung, in der man Adressen mit SQL-Server verwalten kann. Man kann Benutzer anlegen und sich mit denen beim Start der Anwendung einloggen.

Nun möchte ich das Passwort hashen. Beim Erstellen des Benutzers wird bereits ein Hashwert generiert und in der Passwort-Spalte in der Datenbank angezeigt. Beim Einloggen soll auch das Passwort gehasht werden und dann der Hash vom Einloggen mit dem aus der Datenbank auf Übereinstimmung verglichen werden.

Ich habe mich an folgendem Tutorial orientiert: https://dotnetcodr.com/2017/10/26/how-to-hash-passwords-with-a-salt-in-net-2/

Ich generiere also immer einen zufälligen Hashwert und das auch beim Einloggen. Wenn ich dann also den Hash vom Einloggen mit dem aus der Datenbank pvergleiche, können die nie übereinstimmen, weil eben bei beiden immer ein zufälliger Wert generiert wird.

Hash (beim Erstellen des Benutzers):

public HashWithSaltResult HashWithGenericSalt(string password, int saltLength, HashAlgorithm hashAlgo)
{
    RNG rng = new RNG();
    byte[] saltBytes = rng.GenerateRandomCryptographicBytes(saltLength);
    byte[] passwordAsBytes = Encoding.UTF8.GetBytes(password);
	List<byte> passwordWithSaltBytes = new List<byte>();

    passwordWithSaltBytes.AddRange(saltBytes);
    passwordWithSaltBytes.AddRange(passwordAsBytes);
    byte[] digestBytes = hashAlgo.ComputeHash(passwordWithSaltBytes.ToArray());

    return new HashWithSaltResult(Convert.ToBase64String(saltBytes), Convert.ToBase64String(digestBytes));
}

Hash (beim Einloggen):

public HashWithSaltResult HashWithSalt(string password, string salt, HashAlgorithm hashAlgo)
{
	// Wie hashe ich beim einloggen?
}

Einloggen:

using (var context = new PersonDbContext())
{
	var query = from p in context.Benutzers where textBoxVorname.Text == p.Vorname && textBoxName.Text == p.Name && HashResultSha512.Digest == p.PasswortDigest select p;
    HashPassword();
}

public void HashPassword()
{
    PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher();
    HashResultSha512 = pwHasher.HashWithSalt();

    db.CheckBenutzerLogin(textBoxVorname.Text, textBoxPasswort.Text, HashResultSha512.Salt, HashResultSha512.Digest);
}

Was muss ich in

public HashWithSaltResult HashWithSalt

schreiben, damit er den Hashwert aus der Datenbank verwendet und nicht wieder einen neuen Wert generiert?

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen