Politiker wieder mal zu blöd

Nach meinem Wissensstand werden auf den Servern der Cloudanbieter, Social Networks usw. nur Quersummen (z.B. MD5-Hash) der Passwörter gespeichert.

Beim Login wird die Quersumme übermittelt und mit der hinterlegten verglichen. Das Passwort selbst verlässt den heimischen PC nicht. Damit erhielten die Geheimdienste also maximal Zugriff auf den Hash, mit dem sie, aufgrund der Unumkehrbarkeit der Berechnung, herzlich wenig anfangen können.

Korriegiert mich bitte wenn ich mich irre.

Nichtsdestotrotz sehe ich die Entwicklung natürlich äußerst kritisch. Ich will das Ministerium natürlich nicht verteidigen. So ein Gesetz ist verwerflich bis zum geht nicht mehr.

"Das Internet ist nur eine Modeerscheinung."

Benutzer wird von Ihnen ignoriert. Anzeigen

Da geb ich dir natürlich fast vollkommen Recht. So sollte es zumindest sein. Leider wird auch heute noch nicht überall verschlüsselt. Leider ist es auch nicht so dass jeder überall verschiedene Passwörter benutzt. Leaked also eines, hat man zu einem Benutzer eventuell gleich mehrere. Jetzt könnte man es sich leicht machen und sagen "Gleiches Passwort geschieht denen Recht." - finde ich aber in unserer heutigen Gesellschaft auch nicht angebracht. Viele wissen es nicht besser oder wissen sich nicht zu helfen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Nicht ganz richtig.

Nur wenn das Passwort zuvor client-seitig verschlüsselt wurde oder du via SSL/TLS (https://...) surfst, gelangt das Passwort verschlüsselt zum Server.
Wenn du dein Passwort auf einer Website in eine Textbox eingibst und absendest, wird das ganze grundsätzlich erstmal plain-text übertragen und kann ohne weiteres vom Provider abgefangen werden.
Auf Websites wird ganz selten vor-verschlüsselt (Deshalb auch SSL), einfach weil die Implementierungen in JavaScript usw. entweder nicht existieren, fehlerhaft sind oder zu langsam sind (oder man ist einfach zu faul). Weiterhin, würde man es vorher mit JavaScript bereits verschlüsseln, könnte jeder deine Verschlüsselungsart- und Methode betrachten, d.h. man kann keine Salts o.ä. mehr benutzen

Benutzer wird von Ihnen ignoriert. Anzeigen

ich hoffe das ist so gemeint wie es bei heise steht:

http://www.heise.de/newsticker/meldung/Bundesregierung-will-Auskunft-ueber-IP-Adressen-neu-regeln-1736347.html

"Im heise online vorliegenden Entwurf wird betont, dass die Auskunftspflicht auch für Daten wie PIN-Codes und Passwörter gilt, mit denen der Zugriff auf Endgeräte oder damit verknüpfte Speichereinrichtungen geschützt wird. Dies könnte sich etwa auf Mailboxen oder in der Cloud vorgehaltene Informationen beziehen."

dann verstehe ich dass so, dass es nur um das dsl zugangspasswort geht?

alles andere wäre eine katastrophe...

Benutzer wird von Ihnen ignoriert. Anzeigen

TheUnichi schrieb:
--------------------------------------------------------------------------------
> Nicht ganz richtig.
>
> Nur wenn das Passwort zuvor client-seitig verschlüsselt wurde oder du via
> SSL/TLS (... surfst, gelangt das Passwort verschlüsselt zum Server.

Soweit richtig.
> Wenn du dein Passwort auf einer Website in eine Textbox eingibst und
> absendest, wird das ganze grundsätzlich erstmal plain-text übertragen und
> kann ohne weiteres vom Provider abgefangen werden.

In gefühlt 99% der Fälle werden Formulare per POST übermittelt, POST Parameter kann man afaik im Gegensatz zu GET Parametern nicht einfach loggen. (Apache/nginx acceslogs)
Vor allem weil POST Daten wesentlich größer sein können als GET.



1 mal bearbeitet, zuletzt am 25.10.12 20:16 durch slashwalker.

Benutzer wird von Ihnen ignoriert. Anzeigen

Das Passwort für ein email Postfach ist doch komplett uninteressant, wenn man zugriff auf die Server hat.
Die Mails liegen unverschlüsselt in einer Datenbank. Der Admin kann das dumpen und - amtstauglich auf A4 gedruckt - weitergeben.

Benutzer wird von Ihnen ignoriert. Anzeigen

Lässt sich nicht einfach loggen? Glaubst du das wäre ein Entwicklungsaufwand von 100 Personentagen?
Wieso sollte es bei POST schwieriger sein? Nur weil es nicht automatisch in den Logs auftaucht. Super. Dann schreibst du halt eine Zeile PHP-Code, die dir das loggt. Als ob das jetzt so ein riesen Aufwand wäre...

Benutzer wird von Ihnen ignoriert. Anzeigen

hpommerenke schrieb:
--------------------------------------------------------------------------------
> Nach meinem Wissensstand werden auf den Servern der Cloudanbieter, Social
> Networks usw. nur Quersummen (z.B. MD5-Hash) der Passwörter gespeichert.

Wer MD5 benutzt, handelt grob fahrlässig. MD5 ist keine geeignete Hash-Funktion für Passwörter, auch wenn viele das meinen. MD5 gilt auch nicht mehr als kollisionsresistent, da man schon Kollisionen erzeugt hat.
Wer Passwörter verschlüsselt speichern will, der soll auch gefälligst kryptographische Algorithmen nehmen, die fürs Verschlüsseln von Passwörter gedacht sind. Wie z.B. bcrypt

Benutzer wird von Ihnen ignoriert. Anzeigen

slashwalker schrieb:
--------------------------------------------------------------------------------
> In gefühlt 99% der Fälle werden Formulare per POST übermittelt, POST
> Parameter kann man afaik im Gegensatz zu GET Parametern nicht einfach
> loggen. (Apache/nginx acceslogs)
> Vor allem weil POST Daten wesentlich größer sein können als GET.

Wieso kann man die nicht loggen?
Irgendeiner muss ja die Daten interpretieren und der schreibt die Log-Datei. Fertig.
Nur weil POST-Daten nicht in der URL stehen, heißt es nicht, dass sie besonders geschützt sind. Die POST-Daten kannst du einfach mit einem Netzwerkanalyse-Tool auslesen, da diese Daten im HTTP-Header stehen.

Benutzer wird von Ihnen ignoriert. Anzeigen

hpommerenke schrieb:
--------------------------------------------------------------------------------
> Nach meinem Wissensstand werden auf den Servern der Cloudanbieter, Social
> Networks usw. nur Quersummen (z.B. MD5-Hash) der Passwörter gespeichert.

Tja und dann kommt raus, dass da einfach alles im Klartext steht. Denn du weisst nie wie derjenige etwas abspeichert.

Benutzer wird von Ihnen ignoriert. Anzeigen

hpommerenke schrieb:
--------------------------------------------------------------------------------
> Nach meinem Wissensstand werden auf den Servern der Cloudanbieter, Social
> Networks usw. nur Quersummen (z.B. MD5-Hash) der Passwörter gespeichert.
>
> Beim Login wird die Quersumme übermittelt und mit der hinterlegten
> verglichen. Das Passwort selbst verlässt den heimischen PC nicht. Damit
> erhielten die Geheimdienste also maximal Zugriff auf den Hash, mit dem sie,
> aufgrund der Unumkehrbarkeit der Berechnung, herzlich wenig anfangen
> können.
>
> Korriegiert mich bitte wenn ich mich irre.
>
> Nichtsdestotrotz sehe ich die Entwicklung natürlich äußerst kritisch. Ich
> will das Ministerium natürlich nicht verteidigen. So ein Gesetz ist
> verwerflich bis zum geht nicht mehr.

Beim Web-Login wird schon das eigentliche Passwort übertragen...

Sry, wurde schon benannt. Ist aber eigentlich auch egal.

Womit ich einverstanden wäre/bin. Bei nicht bagatell Dingen, z.B. Menschen Handel, Mordermitlungen, organisiertem Verbrechen in Beträchtlichem Maße, usw. können die alles Abhören, Überwachen, verwanzen, bis hin zum Klo.
Aber nicht für Bagatell-Mist einen automatismus etablieren!!!



2 mal bearbeitet, zuletzt am 25.10.12 21:11 durch NobodzZ.

Benutzer wird von Ihnen ignoriert. Anzeigen

non_sense schrieb:
--------------------------------------------------------------------------------
> Die POST-Daten kannst du einfach mit einem
> Netzwerkanalyse-Tool auslesen, da diese Daten im HTTP-Header stehen.

Auch nicht ganz richtig, im Header steht bei einem POST Request nur die Content-Length, im Body unter den Headern stehen dann (bei HTML Formularen) in Form eines Query Strings die Daten aus dem Formular (Content-Length = Länge dieses Query Strings/der Daten im Body)

Das wird alles plain-text übertragen, maximal gezippt, aber dann auch ein Header gesetzt, der genau dies mitteilt, was man dann natürlich gleich entzippen und dann scannen könnte



1 mal bearbeitet, zuletzt am 25.10.12 21:09 durch TheUnichi.

Benutzer wird von Ihnen ignoriert. Anzeigen

Ich bezog mich auf Server-Logs. Und Apache z.B. kann POST nicht loggen. Natürlich kann man in PHP die Daten loggen, aber es geht hier ja um Provider. Und die werden wohl kaum irgendwelche PHP Scripte so anpassen das Daten geloggt werden.

Benutzer wird von Ihnen ignoriert. Anzeigen

slashwalker schrieb:
--------------------------------------------------------------------------------
> Und Apache z.B. kann POST nicht loggen.

Doch, kann er. Mit dem Modul mod_dumpio ...

Benutzer wird von Ihnen ignoriert. Anzeigen

kazhar schrieb:
--------------------------------------------------------------------------------
> Das Passwort für ein email Postfach ist doch komplett uninteressant, wenn
> man zugriff auf die Server hat.
> Die Mails liegen unverschlüsselt in einer Datenbank. Der Admin kann das
> dumpen und - amtstauglich auf A4 gedruckt - weitergeben.

Wirklich nur einer, der es erkennt?

Hier gibt es mehrere Threads in denen über die Passwörter und Hashes philosophiert wird. Es ist völlig Wurst! Wenn die Politik einmal den Weg frei gemacht hat persönliche Daten wegen Bagatellen und ohne Gerichtsbeschluss abzufragen, ist der Serverzugriff aus Postfach ein vergleichsweise kleiner Schritt. Hashes und Email-Account-Passwört sind dabei völlig irrelevant.

Benutzer wird von Ihnen ignoriert. Anzeigen

Ein Hash ist nie "kollisionsresistent", wenn das Passwort länger sein darf als der Hash, während es mind. die gleiche Zeichenmenge verwenden darf. Logisch, oder?

Benutzer wird von Ihnen ignoriert. Anzeigen

TheUnichi schrieb:
--------------------------------------------------------------------------------
> Nur wenn das Passwort zuvor client-seitig verschlüsselt wurde oder du via
> SSL/TLS (... surfst, gelangt das Passwort verschlüsselt zum Server.

Da stimmt zwar, bringt aber in diesem Fall nichts. Der böse Mann sitzt ja nicht zwischen Dir und Server, sondern der Server selber ist nicht vertrauenswürdig und der entschlüsselt das Passwort ja erstmal bevor er es mit dem gehashten in der Datenbank vergleicht. Dein Passwort taucht also in jedem Fall erstmal im Klartext im RAM auf, wenn auch wahrscheinlich nur recht kurz. Aber da ja alle "unternehmensinternen Speichereinrichtungen" genutzt werden müssen, wird das in Zukunft dann auch geloggt.

Benutzer wird von Ihnen ignoriert. Anzeigen

Es geht doch einfacher. Der Provider als inhaber der Emailserver kann einfach einen 2. Benutzer mit neues Passwort für jedes Account anlegen und schon kann der Polizei/BKA/... alle Emails lesen ohne dass der eigentliche Benutzer was mitbekommt.

Alle Emailprovider wäre davon betroffen, nicht nur die ISPs, auch Google Mail, GMX, Web.de u.s.w.

Dein ISP kann über DPI leicht rausbekommen welche Emailprovider du benutzt, dann wird bei diese Provider ein Zweitbenutzer angefordert, und schon haben die Zugang zu alle Emails.

Benutzer wird von Ihnen ignoriert. Anzeigen

hpommerenke schrieb:
--------------------------------------------------------------------------------
> Nach meinem Wissensstand werden auf den Servern der Cloudanbieter, Social
> Networks usw. nur Quersummen (z.B. MD5-Hash) der Passwörter gespeichert.
...
> Korriegiert mich bitte wenn ich mich irre.

Das stimmt schon. Ich seh aber das Problem das der Provider einfach einen 2. User einrichtet der halt ebenfalls die Rechte bekommt in dein Postfach zu gucken. Ganz ohne dein Passwort zu kenne oder rauszugeben.

Benutzer wird von Ihnen ignoriert. Anzeigen

Das gibt es längst und ist aktiv..

Google mal nach "Sinabox email" und du wirst dich wundern, was es da schon für Automatismen gibt.

Im Telefoniebereich gibt es auch die Sinabox..

Die Passwörter wollen sie nur für die Dinge die sie eben nicht so einfach mit den derzeitigen Gesetzen erfahren können.

Benutzer wird von Ihnen ignoriert. Anzeigen