Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Angst vor Spam: Swisscom deaktiviert…

Passwoerter im Klartext?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Passwoerter im Klartext?

    Autor: Danijoo 14.09.16 - 10:18

    Dementsprechend speichern sie die PWs also im Klartext? Oder wie sonst koennen sie nach der Eingabe sehen wie einfach oder schwer mein Passwort ist. Das sie die PWs aller Nutzer aus den Hashes berechnet haben halte ich fuer unwahrscheinlich. Die Arbeit macht man sich doch nicht wenn man nicht muss..

  2. Re: Passwoerter im Klartext?

    Autor: Anonymer Nutzer 14.09.16 - 10:19

    Jo denke schon ;) darum haben Sie wahrscheinlich "migriert" :D

  3. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 10:20

    Möglich. Ich denke da aber genau wie Golem eher an einen kurzen Brute force und Wörterbuchangriff.

  4. Re: Passwoerter im Klartext?

    Autor: Sharra 14.09.16 - 10:33

    Wo liegt das Problem?
    Man erstellt eine kleine Datenbank (oder nimmt fertige) mit 0815 Standardpasswörtern (Password, passwort, abcdef, qwertz usw.) Jagt diese durch den Hash-Generator, und gleicht dann die Passwortdatenbank mit dem Ergebnis ab. Und schon hat man eine schöne Auflistung wie viele Accounts Müll-Passwörter benutzen, ohne dass man die Passwörter im Klartext vorliegen haben muss.

    Das ergibt zwar natürlich keine korrekte Auswertung. Hash 1 kann durchaus für Passwort1 und Passwort105 gleich sein, je nach verwendetem System. Dennoch kann man beide pauschal als zu simpel einstufen. Man braucht hier keine exakten Ergebnisse, sondern nur Annäherungen und Hochrechnungen.

  5. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 10:36

    >Hash 1 kann durchaus für Passwort1 und Passwort105 gleich sein
    Mit einer Wahrscheinlichkeit von...?

  6. Re: Passwoerter im Klartext?

    Autor: ibsi 14.09.16 - 10:38

    Zitat: je nach verwendetem System

    Also ist die Wahrscheinlichkeit auch abhängig vom verwendeten System ;)

    Bei MD5 bitte hier nachlesen:
    http://stackoverflow.com/questions/201705/how-many-random-elements-before-md5-produces-collisions

  7. Re: Passwoerter im Klartext?

    Autor: Blutnacht 14.09.16 - 10:44

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Wo liegt das Problem?
    > Man erstellt eine kleine Datenbank (oder nimmt fertige) mit 0815
    > Standardpasswörtern (Password, passwort, abcdef, qwertz usw.) Jagt diese
    > durch den Hash-Generator, und gleicht dann die Passwortdatenbank mit dem
    > Ergebnis ab. Und schon hat man eine schöne Auflistung wie viele Accounts
    > Müll-Passwörter benutzen, ohne dass man die Passwörter im Klartext
    > vorliegen haben muss.

    Genau deswegen sollte man Salt (zufällig generierte Zeichenfolge, die hinter dem Passwort hinzugefügt wird, bevor man den Hash berechnet) verwenden, damit genau so etwas nicht gemacht werden kann, falls ein Angreifer die Hashes abgreifen kann. Dadurch erhalten die Angreifer beim Bruteforcen immer nur von einem Nutzer das Passwort und nicht von 100, die das gleiche Passwort haben.

  8. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 10:54

    Statt so einem umständlichen Link:
    Das völlig veraltete MD5 hat 128bit. Also sind wir bei einer Wahrscheinlichkeit von einem "2^128-stel". Die Rechnung ist sehr einfach, die Wahrscheinlichkeit unfassbar gering.

  9. Re: Passwoerter im Klartext?

    Autor: HoffiKnoffu 14.09.16 - 10:54

    Hi,
    geht doch viel einfacher.
    Heute wird doch bei der Passwortwahl angezeigt, wie stark es ist. Das mit den Daten des Useraccounts in die Datenbank, fertig.

    Da braucht's keinen Angriff.

    Gruß
    Ralph

  10. Re: Passwoerter im Klartext?

    Autor: kernash 14.09.16 - 10:55

    Zu meiner Zeit als Admin habe ich auch regelmässig ein john the ripper laufen lassen. Alle Passwörter die in weniger als 30 sekunden geknackt waren haben eine Aufforderung bekommen das Passwort zu ändern. Und das waren nicht wenige.

  11. Re: Passwoerter im Klartext?

    Autor: kazhar 14.09.16 - 11:12

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Die Rechnung ist sehr einfach,
    > die Wahrscheinlichkeit unfassbar gering.

    Geburtstagsproblem?

  12. Re: Passwoerter im Klartext?

    Autor: Enter the Nexus 14.09.16 - 11:24

    Blutnacht schrieb:
    --------------------------------------------------------------------------------
    > Sharra schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wo liegt das Problem?
    > > Man erstellt eine kleine Datenbank (oder nimmt fertige) mit 0815
    > > Standardpasswörtern (Password, passwort, abcdef, qwertz usw.) Jagt diese
    > > durch den Hash-Generator, und gleicht dann die Passwortdatenbank mit dem
    > > Ergebnis ab. Und schon hat man eine schöne Auflistung wie viele Accounts
    > > Müll-Passwörter benutzen, ohne dass man die Passwörter im Klartext
    > > vorliegen haben muss.
    >
    > Genau deswegen sollte man Salt (zufällig generierte Zeichenfolge, die
    > hinter dem Passwort hinzugefügt wird, bevor man den Hash berechnet)
    > verwenden

    Der Salt ist doch dem Anbieter bekannt.

  13. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 11:26

    Wie viele Hashes hat man denn so rumliegen - oder halt Passwörter? Selbst wenn jeder Mensch da ein PW/Hash hat, ist die Wahrscheinlichkeit mit popel-MD5 immer noch so unglaublich gering, dass wir darüber einfach nicht reden brauchen.

  14. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 11:29

    Derlei Anzeigen sind nur leider relativ nutzlos und zumindest für mich nur mit Problemen verbunden.
    Ein um dutzende Potenzen stärkeres Passwort wird da schnell mal als sehr unsicher angezeigt, einfach weile es eine oder mehrere der Anforderungen nicht erfüllt, die mitunter sogar zwangsweise vorhanden sind.

  15. Re: Passwoerter im Klartext?

    Autor: Blutnacht 14.09.16 - 11:41

    Enter the Nexus schrieb:
    --------------------------------------------------------------------------------
    > Der Salt ist doch dem Anbieter bekannt.

    Das stimmt, aber wäre das nicht ein zu großer Aufwand für Swisscom für jeden Salt + jedes Passwort die Hashes zu berechnen? Das dürfte schon einiges an Rechenleistung brauchen.

  16. Re: Passwoerter im Klartext?

    Autor: ibsi 14.09.16 - 11:51

    Wie kommst Du darauf? Im Endeffekt ist es:


    $hash = hash($weakPassword + $salt + $pepper) ;

    Das macht man einmal für alle $salt und alle $weakPassword 1x. Das muss ja nicht täglich laufen. Und dann $hash aus der Benutzerdatenbank mit dem $hash des $weakPasswords durchsuchen.

  17. Re: Passwoerter im Klartext?

    Autor: Golressy 14.09.16 - 11:55

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Möglich. Ich denke da aber genau wie Golem eher an einen kurzen Brute force
    > und Wörterbuchangriff.

    Ich denke auch das es offiziell ein Brute Force sein dürfte.
    Inoffizell haben die aber vielleicht auch wie die Deutsche Telekom allen Kunden anfangs einfache 8 stellige Zahlenpasswörter gegeben.
    Die sind sicher sogar im Klartext, da man die ja in mehrere System integrieren muss.
    Und die werden sicher zueinander nicht Hash Kompatible sein.

    Wenn man es richtig macht, müsste man alle 2-3 Jahre die Hash Variante auswechseln. Von CRC auf MD5 ... dann auf SHA1 und jetzt vielleicht schon bald SHA-2 oder SHA512. Das geht natürlich nur wenn man das Klartext Passwort hat. Vielleicht will man dabei auch gleich das Salz austauschen. Oder ein System hat, dass den alten Hash noch versteht, aber dann sofort zu einem neuen Passwort auffordert. Sowas ist aber deutlich komplizierter und meist einfach nicht machbar. So deaktiviert man halt einfach die Accounts wie hier ;-)


    Nebenbei: Kontensperrung ist ein gemeiner Begriff. Das hätte man sicher anders besser formulieren können. Kunden dürften erst mal denken: Was habe ich angestellt - Besser ich kündige gleich alles ;-)

    Das sollte es auch mit kleine Vorankündigung geschehen. Manchmal will man einfach nur die E-Mails unterwegs abrufen und wenn es dann schon gesperrt wurde, ist man richtig aufgeschm.....

  18. Re: Passwoerter im Klartext?

    Autor: Golressy 14.09.16 - 11:58

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Wo liegt das Problem?
    > Man erstellt eine kleine Datenbank

    Eher eine Textdatei. Es muss schnell gehen. Also geht man den Stream einfach RAW durch, statt jetzt noch ständig abfragen nachdem nächsten Klartext-PW-Datensatz in einer DB zu machen.

  19. Re: Passwoerter im Klartext?

    Autor: kazhar 14.09.16 - 12:38

    ibsi schrieb:
    --------------------------------------------------------------------------------
    > Das macht man einmal für alle $salt und alle $weakPassword 1x. Das muss ja
    > nicht täglich laufen. Und dann $hash aus der Benutzerdatenbank mit dem
    > $hash des $weakPasswords durchsuchen.

    Nachdem (hoffentlich!) alle User ihren eigenen $salt haben probierst du für jeden User alle $weakPasswords durch. Das ist bei hinreichend sicherer (=zeitaufwändiger) Hashfunktion tatsächlich mit Zeit verbunden.

    Ich würde eher warten bis ich der User das nächste mal einloggt und mir damit sein Passwort lesbar übermittelt. So kann ich es einfach mit der $weakPasswords-Liste abgleichen.

    Das ist übrigens auch die Methode der Wahl, wenn man on-the-fly auf eine neue Hashfunktion umsteigen will: Passwort mit der alten Funktion validieren, neuen Hash errechnen, abspeichern und den Hashversionsmarker hochziehen - done.

  20. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 15:00

    2x hashen geht nicht?
    Also PW -> MD5 -> SHA2
    Und nur SHA2 wird gespeichert.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. EXTRA Computer GmbH, Giengen an der Brenz
  2. GÖRLITZ AG, Koblenz
  3. Heinlein Support GmbH, Berlin
  4. EDAG Engineering GmbH, Ingolstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  2. 15,99€
  3. 22,99€
  4. (-50%) 14,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

  1. Supply-Chain-Angriff: Spionagechips können einfach und günstig eingelötet werden
    Supply-Chain-Angriff
    Spionagechips können einfach und günstig eingelötet werden

    Ein Sicherheitsforscher zeigt, wie er mit Equipment für unter 200 US-Dollar mit einem Mikrochip eine Hardware-Firewall übernehmen konnte. Damit beweist er, wie günstig und realistisch solche Angriffe sein können. Vor einem Jahr berichtete Bloomberg von vergleichbaren chinesischen Spionagechips.

  2. IT an Schulen: Intelligenter Stift zeichnet Handschrift von Schülern auf
    IT an Schulen
    Intelligenter Stift zeichnet Handschrift von Schülern auf

    Stabilo und der Bund wollen einen Stift entwickeln, der Kinder bei Defiziten mit der Handschrift unterstützt. Mit Hilfe von Machine Learning und einer mobilen App analysiert das System das Geschriebene und passt Übungen an. Das Projekt ist mit 1,77 Millionen Euro beziffert.

  3. No Starch Press: IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor
    No Starch Press
    IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor

    Der Fachverlag No Starch Press wirft Amazon vor, Schwarzkopien von Büchern aus seinem Verlagsangebot zu verkaufen. Dabei handele es sich explizit nicht um Drittanbieter, sondern Amazon selbst als Verkäufer. Das geschieht nicht das erste Mal.


  1. 16:54

  2. 16:41

  3. 16:04

  4. 15:45

  5. 15:35

  6. 15:00

  7. 14:13

  8. 13:57