Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Angst vor Spam: Swisscom deaktiviert…

Passwoerter im Klartext?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Passwoerter im Klartext?

    Autor: Danijoo 14.09.16 - 10:18

    Dementsprechend speichern sie die PWs also im Klartext? Oder wie sonst koennen sie nach der Eingabe sehen wie einfach oder schwer mein Passwort ist. Das sie die PWs aller Nutzer aus den Hashes berechnet haben halte ich fuer unwahrscheinlich. Die Arbeit macht man sich doch nicht wenn man nicht muss..

  2. Re: Passwoerter im Klartext?

    Autor: Anonymer Nutzer 14.09.16 - 10:19

    Jo denke schon ;) darum haben Sie wahrscheinlich "migriert" :D

  3. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 10:20

    Möglich. Ich denke da aber genau wie Golem eher an einen kurzen Brute force und Wörterbuchangriff.

  4. Re: Passwoerter im Klartext?

    Autor: Sharra 14.09.16 - 10:33

    Wo liegt das Problem?
    Man erstellt eine kleine Datenbank (oder nimmt fertige) mit 0815 Standardpasswörtern (Password, passwort, abcdef, qwertz usw.) Jagt diese durch den Hash-Generator, und gleicht dann die Passwortdatenbank mit dem Ergebnis ab. Und schon hat man eine schöne Auflistung wie viele Accounts Müll-Passwörter benutzen, ohne dass man die Passwörter im Klartext vorliegen haben muss.

    Das ergibt zwar natürlich keine korrekte Auswertung. Hash 1 kann durchaus für Passwort1 und Passwort105 gleich sein, je nach verwendetem System. Dennoch kann man beide pauschal als zu simpel einstufen. Man braucht hier keine exakten Ergebnisse, sondern nur Annäherungen und Hochrechnungen.

  5. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 10:36

    >Hash 1 kann durchaus für Passwort1 und Passwort105 gleich sein
    Mit einer Wahrscheinlichkeit von...?

  6. Re: Passwoerter im Klartext?

    Autor: ibsi 14.09.16 - 10:38

    Zitat: je nach verwendetem System

    Also ist die Wahrscheinlichkeit auch abhängig vom verwendeten System ;)

    Bei MD5 bitte hier nachlesen:
    http://stackoverflow.com/questions/201705/how-many-random-elements-before-md5-produces-collisions

  7. Re: Passwoerter im Klartext?

    Autor: Blutnacht 14.09.16 - 10:44

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Wo liegt das Problem?
    > Man erstellt eine kleine Datenbank (oder nimmt fertige) mit 0815
    > Standardpasswörtern (Password, passwort, abcdef, qwertz usw.) Jagt diese
    > durch den Hash-Generator, und gleicht dann die Passwortdatenbank mit dem
    > Ergebnis ab. Und schon hat man eine schöne Auflistung wie viele Accounts
    > Müll-Passwörter benutzen, ohne dass man die Passwörter im Klartext
    > vorliegen haben muss.

    Genau deswegen sollte man Salt (zufällig generierte Zeichenfolge, die hinter dem Passwort hinzugefügt wird, bevor man den Hash berechnet) verwenden, damit genau so etwas nicht gemacht werden kann, falls ein Angreifer die Hashes abgreifen kann. Dadurch erhalten die Angreifer beim Bruteforcen immer nur von einem Nutzer das Passwort und nicht von 100, die das gleiche Passwort haben.

  8. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 10:54

    Statt so einem umständlichen Link:
    Das völlig veraltete MD5 hat 128bit. Also sind wir bei einer Wahrscheinlichkeit von einem "2^128-stel". Die Rechnung ist sehr einfach, die Wahrscheinlichkeit unfassbar gering.

  9. Re: Passwoerter im Klartext?

    Autor: HoffiKnoffu 14.09.16 - 10:54

    Hi,
    geht doch viel einfacher.
    Heute wird doch bei der Passwortwahl angezeigt, wie stark es ist. Das mit den Daten des Useraccounts in die Datenbank, fertig.

    Da braucht's keinen Angriff.

    Gruß
    Ralph

  10. Re: Passwoerter im Klartext?

    Autor: kernash 14.09.16 - 10:55

    Zu meiner Zeit als Admin habe ich auch regelmässig ein john the ripper laufen lassen. Alle Passwörter die in weniger als 30 sekunden geknackt waren haben eine Aufforderung bekommen das Passwort zu ändern. Und das waren nicht wenige.

  11. Re: Passwoerter im Klartext?

    Autor: kazhar 14.09.16 - 11:12

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Die Rechnung ist sehr einfach,
    > die Wahrscheinlichkeit unfassbar gering.

    Geburtstagsproblem?

  12. Re: Passwoerter im Klartext?

    Autor: Enter the Nexus 14.09.16 - 11:24

    Blutnacht schrieb:
    --------------------------------------------------------------------------------
    > Sharra schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wo liegt das Problem?
    > > Man erstellt eine kleine Datenbank (oder nimmt fertige) mit 0815
    > > Standardpasswörtern (Password, passwort, abcdef, qwertz usw.) Jagt diese
    > > durch den Hash-Generator, und gleicht dann die Passwortdatenbank mit dem
    > > Ergebnis ab. Und schon hat man eine schöne Auflistung wie viele Accounts
    > > Müll-Passwörter benutzen, ohne dass man die Passwörter im Klartext
    > > vorliegen haben muss.
    >
    > Genau deswegen sollte man Salt (zufällig generierte Zeichenfolge, die
    > hinter dem Passwort hinzugefügt wird, bevor man den Hash berechnet)
    > verwenden

    Der Salt ist doch dem Anbieter bekannt.

  13. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 11:26

    Wie viele Hashes hat man denn so rumliegen - oder halt Passwörter? Selbst wenn jeder Mensch da ein PW/Hash hat, ist die Wahrscheinlichkeit mit popel-MD5 immer noch so unglaublich gering, dass wir darüber einfach nicht reden brauchen.

  14. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 11:29

    Derlei Anzeigen sind nur leider relativ nutzlos und zumindest für mich nur mit Problemen verbunden.
    Ein um dutzende Potenzen stärkeres Passwort wird da schnell mal als sehr unsicher angezeigt, einfach weile es eine oder mehrere der Anforderungen nicht erfüllt, die mitunter sogar zwangsweise vorhanden sind.

  15. Re: Passwoerter im Klartext?

    Autor: Blutnacht 14.09.16 - 11:41

    Enter the Nexus schrieb:
    --------------------------------------------------------------------------------
    > Der Salt ist doch dem Anbieter bekannt.

    Das stimmt, aber wäre das nicht ein zu großer Aufwand für Swisscom für jeden Salt + jedes Passwort die Hashes zu berechnen? Das dürfte schon einiges an Rechenleistung brauchen.

  16. Re: Passwoerter im Klartext?

    Autor: ibsi 14.09.16 - 11:51

    Wie kommst Du darauf? Im Endeffekt ist es:


    $hash = hash($weakPassword + $salt + $pepper) ;

    Das macht man einmal für alle $salt und alle $weakPassword 1x. Das muss ja nicht täglich laufen. Und dann $hash aus der Benutzerdatenbank mit dem $hash des $weakPasswords durchsuchen.

  17. Re: Passwoerter im Klartext?

    Autor: Golressy 14.09.16 - 11:55

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Möglich. Ich denke da aber genau wie Golem eher an einen kurzen Brute force
    > und Wörterbuchangriff.

    Ich denke auch das es offiziell ein Brute Force sein dürfte.
    Inoffizell haben die aber vielleicht auch wie die Deutsche Telekom allen Kunden anfangs einfache 8 stellige Zahlenpasswörter gegeben.
    Die sind sicher sogar im Klartext, da man die ja in mehrere System integrieren muss.
    Und die werden sicher zueinander nicht Hash Kompatible sein.

    Wenn man es richtig macht, müsste man alle 2-3 Jahre die Hash Variante auswechseln. Von CRC auf MD5 ... dann auf SHA1 und jetzt vielleicht schon bald SHA-2 oder SHA512. Das geht natürlich nur wenn man das Klartext Passwort hat. Vielleicht will man dabei auch gleich das Salz austauschen. Oder ein System hat, dass den alten Hash noch versteht, aber dann sofort zu einem neuen Passwort auffordert. Sowas ist aber deutlich komplizierter und meist einfach nicht machbar. So deaktiviert man halt einfach die Accounts wie hier ;-)


    Nebenbei: Kontensperrung ist ein gemeiner Begriff. Das hätte man sicher anders besser formulieren können. Kunden dürften erst mal denken: Was habe ich angestellt - Besser ich kündige gleich alles ;-)

    Das sollte es auch mit kleine Vorankündigung geschehen. Manchmal will man einfach nur die E-Mails unterwegs abrufen und wenn es dann schon gesperrt wurde, ist man richtig aufgeschm.....

  18. Re: Passwoerter im Klartext?

    Autor: Golressy 14.09.16 - 11:58

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Wo liegt das Problem?
    > Man erstellt eine kleine Datenbank

    Eher eine Textdatei. Es muss schnell gehen. Also geht man den Stream einfach RAW durch, statt jetzt noch ständig abfragen nachdem nächsten Klartext-PW-Datensatz in einer DB zu machen.

  19. Re: Passwoerter im Klartext?

    Autor: kazhar 14.09.16 - 12:38

    ibsi schrieb:
    --------------------------------------------------------------------------------
    > Das macht man einmal für alle $salt und alle $weakPassword 1x. Das muss ja
    > nicht täglich laufen. Und dann $hash aus der Benutzerdatenbank mit dem
    > $hash des $weakPasswords durchsuchen.

    Nachdem (hoffentlich!) alle User ihren eigenen $salt haben probierst du für jeden User alle $weakPasswords durch. Das ist bei hinreichend sicherer (=zeitaufwändiger) Hashfunktion tatsächlich mit Zeit verbunden.

    Ich würde eher warten bis ich der User das nächste mal einloggt und mir damit sein Passwort lesbar übermittelt. So kann ich es einfach mit der $weakPasswords-Liste abgleichen.

    Das ist übrigens auch die Methode der Wahl, wenn man on-the-fly auf eine neue Hashfunktion umsteigen will: Passwort mit der alten Funktion validieren, neuen Hash errechnen, abspeichern und den Hashversionsmarker hochziehen - done.

  20. Re: Passwoerter im Klartext?

    Autor: Eheran 14.09.16 - 15:00

    2x hashen geht nicht?
    Also PW -> MD5 -> SHA2
    Und nur SHA2 wird gespeichert.

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BLG Logistics Group AG & Co. KG, Bremen
  2. MTS Sensor Technologie GmbH & Co. KG, Lüdenscheid
  3. Bayerische Versorgungskammer, München
  4. Bundesamt für Kartographie und Geodäsie, Bad Kötzting

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. ab 234,90€
  2. 249€ + Versand
  3. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Falcon Heavy: Beim zweiten Mal wird alles besser
Falcon Heavy
Beim zweiten Mal wird alles besser

Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
Von Frank Wunderlich-Pfeiffer und dpa

  1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
  2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
  3. Raumfahrt SpaceX - Die Rückkehr des Drachen

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

  1. Trotz US-Kampagne: Huawei steigert weiter Umsatz und Gewinnmarge
    Trotz US-Kampagne
    Huawei steigert weiter Umsatz und Gewinnmarge

    Gewinn und Umsatz wachsen bei Huawei weiter. Für das Jahr 2019 erwartet der Konzern hohe Gewinne durch 5G-Technologie. 70.000 5G-Basisstationen sind nun ausgeliefert.

  2. 5G: Swisscom refarmt UMTS-Frequenz bei 2.100 MHz
    5G
    Swisscom refarmt UMTS-Frequenz bei 2.100 MHz

    UMTS bei 2.100 MHz kann man in der Schweiz bald nicht mehr nutzen. Der Bereich geht per Refarming an effizientere 4G- und 5G-Technologien.

  3. Copyright: Nintendo hat offenbar Super Mario Bros für C64 gestoppt
    Copyright
    Nintendo hat offenbar Super Mario Bros für C64 gestoppt

    Sieben Jahre hat ein Programmierer nach eigenen Angaben an einer Umsetzung von Super Mario Bros für den C64 gearbeitet. Wenige Tage nach der Veröffentlichung verschwindet das Spiel nun schon wieder von größeren Portalen - vermutlich wegen Nintendo.


  1. 19:00

  2. 17:41

  3. 16:20

  4. 16:05

  5. 16:00

  6. 15:50

  7. 15:43

  8. 15:00