Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › MyIDkey: USB-Passwortspeicher mit…

Und wo ist der Schlüssel?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Und wo ist der Schlüssel?

    Autor: Casandro 21.02.13 - 09:15

    Es wäre ja kein Vorteil, wenn der Schlüssel zum Entschlüsseln der Passwörter im USB-Stick selbst gespeichert werden würde. Ein Angreifer hätte den dann auch.

    Der Fingerabdruckleser hat auch keinen Wert, denn man kann ihn ja umgehen. So gesehen ist höchstens die Sprachsuche, wenn sie denn funktioniert, von Wert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Und wo ist der Schlüssel?

    Autor: Lala Satalin Deviluke 21.02.13 - 09:21

    Dein Fingerabdruck. Du kannst aus jeglichen Wust von Daten ein Hashwert für einen Schlüssel erzeugen.

    Und wie kannst du ein Fingerabdruckscanner umgehen? Zu viel Mythbusters geguckt? Hat auch jeder Ballistikgel bereit...

    Grüße vom Planeten Deviluke!



    1 mal bearbeitet, zuletzt am 21.02.13 09:22 durch Lala Satalin Deviluke.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Und wo ist der Schlüssel?

    Autor: glumpundzeug 21.02.13 - 10:06

    > Dein Fingerabdruck. Du kannst aus jeglichen Wust von Daten ein Hashwert für
    > einen Schlüssel erzeugen.

    Klar kann man.

    Musst halt nur jedesmal deinen Fingerabdruck GANZ GENAU SO scannen wie beim ersten mal :-)

    OP hat absolut recht, fingerprint ist authentication, taugt nicht als Key. Der Key ist dann iwo auf dem Stick schon fertig gespeichert, gab schon 1000 "AES-USB-Keys", jeder einzelne nix als Schlangenöl.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Und wo ist der Schlüssel?

    Autor: Casandro 21.02.13 - 10:35

    Und selbst wenn man aus dem Fingerabdruck halbwegs zuverlässig einen Schlüssel ableiten könnte, so ist es bei den meisten Leuten trivial an den Fingerabdruck zu kommen. Es ist schwierig seinen Fingerabdruck geheim zu halten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Und wo ist der Schlüssel?

    Autor: Lala Satalin Deviluke 21.02.13 - 11:23

    Das kann man durchaus. Aus dem Scan wird ja ein Biometrisches Profil erzeugt, welches bei jedem Scan vom dem selben Finger immer der gleiche ist. Aus den Biometriedaten-Blob kann man einen Hashwert für einen Schlüssel erzeugt werden.

    Selbst wenn sie den Fingerabdruck haben werden sie es nicht so wirklich hinkriegen ihn so mit deinem Stick zu scannen, dass der Stick das authentifiziert.

    Zumal der Jenige auch erstmal an den Stick kommen muss. ;)

    Grüße vom Planeten Deviluke!

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Und wo ist der Schlüssel?

    Autor: janpi3 21.02.13 - 11:56

    Dann Frag ich hier mal in die Runde, wie verwaltet man denn sonst große Kennwortbestände auf mehreren Rechner?

    Dienste wie LastPass können ja wohl keine Alternative darstellen....

    "Ich bin ein Wutoholic, ich kann nicht leben ohne Wutohol"
    Homer J. Simpson.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Und wo ist der Schlüssel?

    Autor: Dragonion 21.02.13 - 12:34

    Das BSI empfiehlt z.B. KeePass.
    https://www.bsi.bund.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html
    http://keepass.info/
    http://de.wikipedia.org/wiki/KeePass

    Ist Kostenlos und schon recht sicher.
    Ich werd trotzdem mal nach so nem Stick ausschauhalten sobald es welche gibt.
    Der Stick ist halt noch viel praktischer.
    Einen Fingerabdrucksscaner zu umgehn ist sicher mehr aufwand als es wert ist.
    Wenn ich hochsicherheit (Firmen) brauche sollte man eh auf ganz andere Techniken zurückgreifen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Und wo ist der Schlüssel?

    Autor: Lala Satalin Deviluke 21.02.13 - 12:54

    Mit vielen Interationen bei der Verschlüsselung ist KeyPass wirklich eine gute Alternative.

    Grüße vom Planeten Deviluke!

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Und wo ist der Schlüssel?

    Autor: glumpundzeug 21.02.13 - 13:09

    Ich verwende keepass, und synchronisiere meine PCs über ownCloud (ähnlich dropbox).

    keepass hat deutliche Vorteile gegenüber eines Sticks. Ich muss mich mit einer Passphrase authentifizieren. Dann hab ich alle meine Einträge hierarchisch organisiert. Doppelklick auf einen Eintrag öffnet die Webseite, ctrl-v im keepass führt auto-type aus - triggert quasi ein alt-tab um wieder in den Browser zu kommen, trägt username/passwort ein und drückt enter. 25-Zeichen-Passworte sind so kein Problem. 25 Ziechen von nem mini-oled abzutippen... naja ist robuster, aber mit Sicherheit nicht einfacher.

    Und zum "Passphrase aus Fingerabdruck erzeugen" würde ich gerne ein Beispiel sehen, wo sowas, und wie, gemacht wird. Alle Produkte die ich Kenn (laptops, Zugangssysteme) gleichen lediglich einen gescannten Fingerabdruck gegen eine Datenbank der erlaubten Abdrücke ab, und geben ggf. den Schlüssel frei. Das gleiche gilt für Gesichtserkennung etc - es ist eben eine Erkennung, und nicht mehr.

    > Das kann man durchaus. Aus dem Scan wird ja ein Biometrisches Profil erzeugt,
    > welches bei jedem Scan vom dem selben Finger immer der gleiche ist. Aus den
    > Biometriedaten-Blob kann man einen Hashwert für einen Schlüssel erzeugt werden.

    Wie gesagt einfach nicht wahr. Es ist schon schwer genug, überhaupt fest zu stellen ob ein Scan mit einem mehrfach hinterlegten Prototypen übereinstimmt, daher haben solche biometrischen Verfahren immer false positive/negative Probleme. Das alles zu leugnen und anstelle von eine Approximation direkt nen Key zu erzeugen ist naiv und entspricht nicht dem Stand der Technik. Ansonsten würde ich mich natürlich über Infos zu einer solchen Implementierung freuen.

    http://en.wikipedia.org/wiki/Fingerprint_recognition hat viel Info und weiterführende Links dazu. Die deutsche Version ist leider sehr knapp gehalten. Es geht *immer* *nur* um "recognition" und "authentication".

    Im Klartext: alle Infos um die Daten zu entschlüsseln sind schon auf dem Stick. Es ist möglicherweise nicht trival an diese Infos zu kommen, aber es handelt sich hierbei nur um den zu betreibenden technischen Aufwand - nicht um bruteforcing Attacken oder so.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Und wo ist der Schlüssel?

    Autor: Casandro 21.02.13 - 14:49

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Selbst wenn sie den Fingerabdruck haben werden sie es nicht so wirklich
    > hinkriegen ihn so mit deinem Stick zu scannen, dass der Stick das
    > authentifiziert.

    Wieso denn, entweder man macht eine Latexmaske davon (trivial) oder man baut die Flash-Chips aus und ließt sie extern aus und wendet den Algorithmus getrennt an.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Und wo ist der Schlüssel?

    Autor: Lala Satalin Deviluke 21.02.13 - 15:11

    Dazu muss man in BEIDEN Fällen erstmal an den USB-Stick kommen.
    Und mit einer Latexmaske ist es nicht so trivial, wie du denkst.

    Grüße vom Planeten Deviluke!

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Und wo ist der Schlüssel?

    Autor: Casandro 21.02.13 - 15:15

    Doch, das hat der CCC schon vorgeführt.
    https://www.youtube.com/watch?v=OPtzRQNHzl0

    Aber natürlich, man muss an den USB-Stick kommen. Wo also ist der Vorteil eines Stücks Papiers?

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige
  1. IT-Operations Consultant Master Data (m/w)
    Media-Saturn IT-Services GmbH, Ingolstadt
  2. Softwareentwickler/in
    Robert Bosch GmbH, Leonberg
  3. Information Security Architect (m/w) - Car IT-Umfänge
    Daimler AG, Stuttgart
  4. Moodle-Administrator (m/w)
    Fachhochschule Südwestfalen, Hagen

Detailsuche



Blu-ray-Angebote
  1. Total Recall (Steelbook Edition) [Blu-ray]
    7,90€
  2. The Green Hornet (inkl. 2D Blu-ray) [Blu-ray 3D]
    9,90€
  3. Oscar-Filme zum Sonderpreis
    (u. a. Grand Budapest Hotel 7,90€, Birdman 9,90€, 12 Years a Slave 9,97€)

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


Galaxy View im Test: Samsungs Riesentablet scheitert als Fernseher-Alternative
Galaxy View im Test
Samsungs Riesentablet scheitert als Fernseher-Alternative
  1. Lehrer IT-Ausstattung an Schulen weiterhin nicht gut
  2. Huawei Mediapad M2 10.0 Gut ausgestattetes 10-Zoll-Tablet mit Stylus für 500 Euro
  3. Oberschule Weiter zu wenig Computer an den Schulen

Staatliche Überwachung: Die Regierung liest jeden Post
Staatliche Überwachung
Die Regierung liest jeden Post
  1. ÖPNV in San Francisco Die meisten Überwachungskameras sind nur Attrappen
  2. Videoüberwachung Innenministerkonferenz will Body-Cams für alle Polizisten
  3. Schnüffelgesetz Vodafone warnt vor Backdoors im Mobilfunknetz

Unravel im Test: Feinwollig schön und frustig schwer
Unravel im Test
Feinwollig schön und frustig schwer
  1. The Witness im Test Die Insel der tausend Labyrinthe
  2. Oxenfree im Test Urlaub auf der Gruselinsel
  3. Amplitude im Test Beats und Groove auf Knopfdruck

  1. Xeon D-1571: Intel veröffentlicht sparsamen Server-Chip mit 16 Kernen
    Xeon D-1571
    Intel veröffentlicht sparsamen Server-Chip mit 16 Kernen

    Doppelt so viele Kerne bei etwas geringerem Takt und weiterhin 45 Watt: Intel positioniert den neuen Xeon D frühzeitig gegen die ARM-v8-Konkurrenz im Kampf um Marktanteile im Micro-Server-Segment.

  2. Die Woche im Video: Sensationen und Skandale
    Die Woche im Video
    Sensationen und Skandale

    Golem.de-Wochenrückblick Forscher haben Einsteins Gravitationswellen nachgewiesen und wir haben Neues zur Datenspeicherung beim VBB aufgedeckt. Sieben Tage und viele Meldungen im Überblick.

  3. Micron: Von 1Y-/1Z-DRAM-, 3D-Flash- und 3D-Xpoint-Plänen
    Micron
    Von 1Y-/1Z-DRAM-, 3D-Flash- und 3D-Xpoint-Plänen

    Micron hat einen Ausblick auf kommende Speichertechnologien gegeben: DRAM soll in feineren Strukturen gefertigt werden, 3D-NAND-Flash-Speicher mit TLCs wird zum Standard und ein Drittel aller Server mit zwei oder vier Sockeln sollen künftig 3D Xpoint nutzen.


  1. 09:21

  2. 09:03

  3. 00:24

  4. 18:25

  5. 18:16

  6. 17:46

  7. 17:22

  8. 17:13