Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › RSA-Entwickler: Mit Honeywords gegen…

Wir müssen endlich weg von Passwörtern

Anzeige
  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Wir müssen endlich weg von Passwörtern

    Autor: jaykay2342 07.05.13 - 15:20

    Es gibt so viele sicherere Authentifikationsverfahren als Passwörter: Zertifikate, Smartcards und so weiter. Alles andere ist doch nur herumgeflickt an einer anfälligen Technik.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Wir müssen endlich weg von Passwörtern

    Autor: pylaner 07.05.13 - 15:29

    Du hast recht, aber sag das mal dem der es bezahlen soll.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Und wer bezahlt das?

    Autor: fratze123 07.05.13 - 15:32

    Und wie soll das funktionieren?
    Ich habe noch nie davon gehört, dass Clients Zertifikate gegenüber einem Server nutzen.
    Und wie man Smartcards bei 'ner Webanwendung bei aktuellem Stand der Technik nutzen will, ist mir auch schleierhaft.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Wir müssen endlich weg von Passwörtern

    Autor: jaykay2342 07.05.13 - 15:35

    Daher kein Geld mehr in Projekte werfen die Passwörter sicherer machen sollen denn das klappt einfach nicht. Alte System wir so oder so kaum jemand umstellen egal auf was. Aber für neuen Kram sollte man dann doch wirklich sich was anderes als PWs einfallen lassen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Und wer bezahlt das?

    Autor: jaykay2342 07.05.13 - 15:38

    fratze123 schrieb:
    --------------------------------------------------------------------------------
    > Und wie soll das funktionieren?
    > Ich habe noch nie davon gehört, dass Clients Zertifikate gegenüber einem
    > Server nutzen.
    Gibt es aber nutze ich jeden Tag um mich an System anzumelden.

    > Und wie man Smartcards bei 'ner Webanwendung bei aktuellem Stand der
    > Technik nutzen will, ist mir auch schleierhaft.
    Gibt Smartcards die Zertifikate speichern inklusive der Technik dass der Privatekey nicht von der Smartcard kopiert werden kann

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Wir müssen endlich weg von Passwörtern

    Autor: da_huawa 07.05.13 - 15:38

    Warum z.B. nicht den Crypto Stick weiterentwickeln? Mit dem hätte man alle Möglichkeiten...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Und wer bezahlt das?

    Autor: mav1 07.05.13 - 15:41

    fratze123 schrieb:
    --------------------------------------------------------------------------------
    > Und wie soll das funktionieren?
    > Ich habe noch nie davon gehört, dass Clients Zertifikate gegenüber einem
    > Server nutzen.
    > Und wie man Smartcards bei 'ner Webanwendung bei aktuellem Stand der
    > Technik nutzen will, ist mir auch schleierhaft.


    Verstehe deinen Satz nicht. Man kann sehr wohl Client-Zertifikate benutzen, um sich in einer Webapplikation zu authentifizieren. Nur ist die Konfiguration in den Browsern zu kompliziert für den Otto-Normal Benutzer (obwohl es nur 4 Klicks sind).



    1 mal bearbeitet, zuletzt am 07.05.13 15:42 durch mav1.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Welches System?

    Autor: fratze123 07.05.13 - 15:42

    Das wird doch nie und nimmer 'ne "normale" Webanwendung sein.

    Smartcards brauchste mir nicht erklären. Kenn ich schon. Ich kenne nur keine Möglichkeit, sie ohne irgendwelchen Unsinn wie JAVA im Browser zu nutzen. Zugegeben: auch bei 'nem JAVA-Applet wüßte ich jetzt nicht, wie man damit auf lokale Ressourcen zugreifen will. Mag ja irgendwie gehn...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Und wer bezahlt das?

    Autor: slashwalker 07.05.13 - 15:45

    fratze123 schrieb:
    --------------------------------------------------------------------------------
    > Und wie soll das funktionieren?
    > Ich habe noch nie davon gehört, dass Clients Zertifikate gegenüber einem
    > Server nutzen.
    > Und wie man Smartcards bei 'ner Webanwendung bei aktuellem Stand der
    > Technik nutzen will, ist mir auch schleierhaft.


    Ich habe z.B. in meinem Browser verschiedene Zertifikate die ich nutze um mich z.B. an meinem PHPMyAdmin anzumelden. Ersetzt in meinem Fall htpasswd. Nur mit gültigem Client Zertifikat kommt man auf den PMA Login.

    fratze123 schrieb:
    --------------------------------------------------------------------------------
    > Das wird doch nie und nimmer 'ne "normale" Webanwendung sein.
    >
    > Smartcards brauchste mir nicht erklären. Kenn ich schon. Ich kenne nur
    > keine Möglichkeit, sie ohne irgendwelchen Unsinn wie JAVA im Browser zu
    > nutzen. Zugegeben: auch bei 'nem JAVA-Applet wüßte ich jetzt nicht, wie man
    > damit auf lokale Ressourcen zugreifen will. Mag ja irgendwie gehn...

    Chrome ruft PHPMyAdmin auf, der Webserver (nginx, geht aber auch mit Apache) fragt bei Chrome nach dem Zertifikat. Im Chrome kommt dann ein Popup ob ich Zertifikat XY an den Webserver senden möchte. nginx prüft dann ob gewisse Werte im Zertifikat (CN, OU etc) passen und gut ist. Im Erfolgsfall kannst du auch Header setzen lassen, die du mittels PHP/Whatever ausliest und daran ausmachst ob ein User eingeloggt ist oder nicht. It's no rocket science ;)



    1 mal bearbeitet, zuletzt am 07.05.13 15:55 durch slashwalker.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Welches System?

    Autor: jaykay2342 07.05.13 - 15:45

    Einfachstes Beispiel Wiki(mediawiki) da mach ich täglich ein auth mit einem Zertifikat. Auch viele andere Webanwendungen können damit umgehen. Sag ja wir müssen da noch hin dass wir weg von passierter sind ... aber es geht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Hm?

    Autor: fratze123 07.05.13 - 15:46

    Welcher Browser? Sicher das du nicht von Server-Zertifikaten (SSL) redest? Falls du 'n Link oder Stichwort hast, würde ich mich gern man darüber informieren. Will ja nicht dumm sterben. ^^

    Client-Zertifizierung kenne ich nur bei Citrix und ähnlichem.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Schon gefunden.

    Autor: fratze123 07.05.13 - 15:47

    Melde mich für heute ab. Muss lesen. :)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Wir müssen endlich weg von Passwörtern

    Autor: DrWatson 07.05.13 - 16:12

    Nur so eine Idee - gibt es wahrscheinlich schon in irgendeiner Form:

    1. Nutzer will sich auf Seite Registrieren
    2. Seite fragt Browser nach Public Key
    3. Browser fragt Nutzer: "Möchten Sie für diese Domain einen Key erstellen?"
    4. Nutzer Bestätigt
    5. Browser erzeugt pub. und private key und sendet pub key an seite


    Ab diesem Punkt kann sich der Nutzer auf der Seite mit seinem Namen einloggen, der Browser macht den Rest der Authentifizierung

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: Wir müssen endlich weg von Passwörtern

    Autor: slashwalker 07.05.13 - 16:22

    DrWatson schrieb:
    --------------------------------------------------------------------------------
    > Nur so eine Idee - gibt es wahrscheinlich schon in irgendeiner Form:
    >
    > 1. Nutzer will sich auf Seite Registrieren
    > 2. Seite fragt Browser nach Public Key
    > 3. Browser fragt Nutzer: "Möchten Sie für diese Domain einen Key
    > erstellen?"
    > 4. Nutzer Bestätigt
    > 5. Browser erzeugt pub. und private key und sendet pub key an seite
    >
    > Ab diesem Punkt kann sich der Nutzer auf der Seite mit seinem Namen
    > einloggen, der Browser macht den Rest der Authentifizierung

    Das Problem ist iirc das die Erzeugung des Keys in jedem Browser anders implementiert ist und man für den Browser ein anderes Script programmieren müsste.

    Hatte mich auch mal mit der automatischen Erzeugung beschäftigt, nach dem ich bei Comodo gesehen habe das die den Key für kostenfreie Mail Zertifikate auch im Browser erzeugen und man das fertige Zertifikat eben auch nur mit diesem Browser downloaden konnte.

    Aber für den täglichen Gebrauch (Forensoftware oder ähnliches) ist das durch die uneinheitliche Umsetzung in IE/Firefox/Chrome etc einfach unbrauchbar.

    Für meine privaten Zwecke (PHPMyAdmin / Server Admin Oberfläche etc) generiere ich eben auf der Shell mit openssl.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: Wir müssen endlich weg von Passwörtern

    Autor: a user 07.05.13 - 16:28

    pylaner schrieb:
    --------------------------------------------------------------------------------
    > Du hast recht, aber sag das mal dem der es bezahlen soll.

    es gibt sehr viel günstigere alternativen, als teure smartcards, leider nicht auf dem freien markt (bringt ja weniger geld).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: Wir müssen endlich weg von Passwörtern

    Autor: DrWatson 07.05.13 - 16:31

    slashwalker schrieb:
    --------------------------------------------------------------------------------
    > Für meine privaten Zwecke (PHPMyAdmin / Server Admin Oberfläche etc)
    > generiere ich eben auf der Shell mit openssl.

    Genau deshalb dachte ich mir, dass man das automatisieren und standardisieren könnte, denn das ist meiner Meinung nach der Beste Ansatz.

    > Das Problem ist iirc das die Erzeugung des Keys in jedem Browser anders
    > implementiert ist und man für den Browser ein anderes Script programmieren
    > müsste.

    Wie gesagt, das sollte als Standard in Broswern eingebaut sein. Wenn Google, Mozilla oder gar das WHATWG so was pushen, sollte das Erfolg haben. Dann müssen nur noch Google, Github etc die Werbetrommel rühren damit die Benutzer das auch nutzen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: Wir müssen endlich weg von Passwörtern

    Autor: ck2k 07.05.13 - 16:37

    ist ja alles schön und gut, aber wie verhindert Otto-Normal User, dass sich nicht jemand anders, der Zugang zu dem PC hat, sich mit seinen Daten anmeldet?
    Klar, man könnte das Zertifikat auf einem USB Stick speichern (den dann bitte nicht verlieren...) und bei jedem Login das Zertifikat neu importieren, hinterher wieder löschen und so, aber praktikabel ist anders.

    Für viele Leute ist es ja schon zu schwer in Facebook den Logout Button zu benutzen, erklär denen mal den korrekten Umgang mit Zertifikaten...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Re: Wir müssen endlich weg von Passwörtern

    Autor: slashwalker 07.05.13 - 16:38

    Hatte mich vertan. Die Erzeugung eines CSR ist in allen Browsern unterschiedlich gelöst.
    http://stackoverflow.com/questions/9197484/generating-client-side-certificates-in-browser-and-signing-on-server

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. www.mozilla.org/persona/

    Autor: dabbes 07.05.13 - 16:39

    An Identity System for the Web
    http://www.mozilla.org/persona/

    Benutzer wird von Ihnen ignoriert. Anzeigen

  20. Re: www.mozilla.org/persona/

    Autor: ck2k 07.05.13 - 16:44

    thx, kannte ich noch nicht :)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige
  1. Ingenieur (m/w) Telekommunikationstechnik
    EWR GmbH, Remscheid
  2. (Junior) PHP- / Webentwickler (m/w)
    über ACADEMIC WORK, München
  3. Scientific Employees (m/w) for the division Audio & Multimedia
    Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  4. Mitarbeiter (m/w) für die Stabstelle im Bereich IT-Prozesse
    Hoffmann GmbH Qualitätswerkzeuge, München

Detailsuche



Hardware-Angebote
  1. Sapphire Radeon R9 Fury Tri-X
    ab 546,75€
  2. Sapphire AMD Radeon R9 FURY
    549,00€
  3. DANK IOS-APP ANDROID WEAR JETZT AUCH IPHONE-KOMPATIBEL: LG Watch Urbane Smartwatch
    269,74€

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


Windows 95 im Test: Endlich lange Dateinamen!
Windows 95 im Test
Endlich lange Dateinamen!
  1. Tool Microsoft Snip erzeugt Screenshots mit Animationen und Sprachmemos
  2. Internet Explorer Notfall-Patch für Microsofts Browser
  3. Vor dem Start von Windows 10 Steigender Marktanteil für Windows 7

Honor 7 im Hands on: Neues Honor-Smartphone kommt für 350 Euro nach Deutschland
Honor 7 im Hands on
Neues Honor-Smartphone kommt für 350 Euro nach Deutschland

Game Writer: Warum Quereinsteiger selten gute Storys für Spiele schreiben
Game Writer
Warum Quereinsteiger selten gute Storys für Spiele schreiben
  1. This War of Mine Krieg mit The Little Ones auf Konsole
  2. Swapster Deutsche Börse plant Handelsplattform für Spieler
  3. Ninja Theory Hellblade und eine Heldin mit Trauma

  1. Lenovo Yoga Tab 3 Pro: 10-Zoll-Tablet mit eingebautem 70-Zoll-Projektor
    Lenovo Yoga Tab 3 Pro
    10-Zoll-Tablet mit eingebautem 70-Zoll-Projektor

    Ifa 2015 Als Nachfolger des Yoga Tablet 2 Pro hat Lenovo das Yoga Tab 3 Pro vorgestellt. Das neue Modell hat ein kleineres Display, aber der eingebaute Pico-Projektor schafft eine größere Projektionsfläche. Auch die normalen Yoga-Tablets legt Lenovo neu auf.

  2. Smartwatches: Motorola stellt neue Moto 360 und Moto 360 Sport vor
    Smartwatches
    Motorola stellt neue Moto 360 und Moto 360 Sport vor

    Ifa 2015 Wie erwartet hat Motorola die neue Version der Moto 360 präsentiert: Auch das neue Modell ist rund, beim Kauf über den Moto Maker kann der Nutzer das Design beeinflussen. Die neue Moto 360 Sport richtet sich explizit an Sportler.

  3. Umfrage: Jeder vierte Nutzer hat Probleme beim Streaming
    Umfrage
    Jeder vierte Nutzer hat Probleme beim Streaming

    Streaming wird von fast allen Internetnutzern genutzt. Aber viele klagen über Probleme bei der Wiedergabe und mit dem Urheberrecht.


  1. 22:20

  2. 21:45

  3. 21:17

  4. 18:20

  5. 17:49

  6. 17:43

  7. 17:24

  8. 16:45