1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Bitte was?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Bitte was?

    Autor: Eheran 10.09.18 - 11:26

    >Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden

    Kann das jemand übersetzen? Was ist der Grund, das es da Passwörter im Klartext gab?
    Und was ist mit 2016? Was wurde da nun geändert und warum 2016 und nicht 2005?

  2. Re: Bitte was?

    Autor: TrollNo1 10.09.18 - 11:30

    Soweit ich es verstanden habe war der Grund, dass ich dir per Social Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl durch den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss, versteh ich auch nicht.

    Menschen, die mich im Internet siezen, sind mir suspekt.

  3. Re: Bitte was?

    Autor: Tantalus 10.09.18 - 11:32

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich es verstanden habe war der Grund, dass ich dir per Social
    > Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl durch
    > den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX
    > geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss,
    > versteh ich auch nicht.

    Vermutlich weil es weniger Rechenaufwand ist, viele Klartextwörter zu vergleichen, als jede Eingabe im Chat zu hashen und dann zu vergleichen.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  4. Re: Bitte was?

    Autor: non_existent 10.09.18 - 11:34

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich es verstanden habe war der Grund, dass ich dir per Social
    > Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl durch
    > den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX
    > geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss,
    > versteh ich auch nicht.

    Naja, stell dir vor, jedes Wort jedes Nutzers wird gehasht und mit dem Passwort verglichen. Das mit 1,9 Millionen Usern ... autsch. Da braucht man dicke Server für.

  5. Re: Bitte was?

    Autor: cry88 10.09.18 - 11:34

    TrollNo1 schrieb:
    -------------------------------------------------------------------------------
    > Aber warum das jetzt trotzdem im Klartext sein muss,
    > versteh ich auch nicht.
    Vielleicht Performance Gründe? Man müsste jedes Wort hashen und mit dem PW Hash vergleichen. Wobei das mit nem ordentlichen Backend auch kein Problem sein sollte...

  6. Re: Bitte was?

    Autor: TrollNo1 10.09.18 - 11:38

    Antwort an alle drei ;)

    Klar ist das mehr Rechenpower, aber entweder ich mache es richtig, oder gar nicht.
    Sonst könnte ich als Passworthinweis ja einfach ein paar der Zeichen anzeigen, dann erinnert sich der User ja vielleicht wieder. natüürlich jedes Mal andere Zeichen:

    1XX4XX
    XX34XX
    x2XXX6

    usw, irgendwann hat man dann das Passwort (123456) raus und gut. Emails mit Rücksetzen und so brauchen ja schließlich auch viel zu viel Rechenpower...

    Menschen, die mich im Internet siezen, sind mir suspekt.

  7. Re: Bitte was?

    Autor: schap23 10.09.18 - 11:39

    Der Algorithmus, Hashes zu erzeugen, die dann verglichen werden können, dürfte auch komplex sein. Wenn jemand z.B. ein Wort in Klammern schreibt, kann sowohl der Text zwischen den Klammern ein Paßwort sein oder eine oder beide Klammern Teil des Paßworts sein. Wenn Leerzeichen in Paßwörtern erlaubt sein sollten, wird es völlig undurchführbar.

    Die Frage ist nur, ob das Risiko, nicht gehashte Paßwörter zu speichern, nicht größer ist, wie die Gefahr, daß ein unvorsichtiger Benutzer sein Paßwort verrät.

  8. Seitenangriff?

    Autor: Missingno. 10.09.18 - 11:42

    Wenn der Filter zuschlägt (und dann wirklich nur das Passwort "schwärzt") wäre da gar nichts verhindert, wenn es ein normales Wort ist, welches man ggf. aus dem Kontext des Satzes erschließen kann.
    Mein xxx ist xxx.
    Ich finde xxx super. Hier treffe ich lauter nette Leute.

    --
    Dare to be stupid!

  9. Re: Bitte was?

    Autor: TrollNo1 10.09.18 - 11:42

    Welche Gefahr besteht für die Seite, wenn ein Nutzer sein Passwort weitergibt?
    Und selbst wenn es auf DIESER Plattform nicht geht. Dann lockt man den anderen eben zu nem anderen Chat.

    Menschen, die mich im Internet siezen, sind mir suspekt.

  10. Re: Bitte was?

    Autor: non_existent 10.09.18 - 11:43

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Antwort an alle drei ;)
    >
    > Klar ist das mehr Rechenpower, aber entweder ich mache es richtig, oder gar
    > nicht.
    > Sonst könnte ich als Passworthinweis ja einfach ein paar der Zeichen
    > anzeigen, dann erinnert sich der User ja vielleicht wieder. natüürlich
    > jedes Mal andere Zeichen:
    >
    > 1XX4XX
    > XX34XX
    > x2XXX6
    >
    > usw, irgendwann hat man dann das Passwort (123456) raus und gut. Emails mit
    > Rücksetzen und so brauchen ja schließlich auch viel zu viel Rechenpower...

    Darum geht es doch überhaupt nicht. Hast du den Artikel überhaupt gelesen?

  11. Re: Bitte was?

    Autor: Noren 10.09.18 - 11:49

    Naja, offenbar wurde ja vorher der Text mit dem Klartext Passwort verglichen. Wird der Hash Algorithmus einfach in den Client ausgelagert, hast du nicht viel mehr Aufwand als vorher. Problematisch ist eher das was schap23 schon geschrieben hat.

  12. Re: Bitte was?

    Autor: Tantalus 10.09.18 - 11:54

    schap23 schrieb:
    --------------------------------------------------------------------------------
    > Die Frage ist nur, ob das Risiko, nicht gehashte Paßwörter zu speichern,
    > nicht größer ist, wie die Gefahr, daß ein unvorsichtiger Benutzer sein
    > Paßwort verrät.

    Diese Frage ist ja nun eindeutig beantwortet...

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  13. Re: Bitte was?

    Autor: TrollNo1 10.09.18 - 11:57

    Klar, ich habe nur die saublöde Idee des Klartext-Passworts mit einer noch blöderen Idee verglichen, bei der (hoffentlich) sofort jeder merkt, wie idiotisch das wäre.

    Menschen, die mich im Internet siezen, sind mir suspekt.

  14. Re: Bitte was?

    Autor: caldeum 10.09.18 - 12:15

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich es verstanden habe war der Grund, dass ich dir per Social
    > Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl durch
    > den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX
    > geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss,
    > versteh ich auch nicht.
    Man wollte also einzelne User davor bewahren ihr Passwort zu verraten und am Ende sind deshalb alle geleaked. Ob sich das gelohnt hat?!

  15. Re: Bitte was?

    Autor: emuuu 10.09.18 - 12:28

    caldeum schrieb:
    --------------------------------------------------------------------------------
    > TrollNo1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Soweit ich es verstanden habe war der Grund, dass ich dir per Social
    > > Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl
    > durch
    > > den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX
    > > geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss,
    > > versteh ich auch nicht.
    > Man wollte also einzelne User davor bewahren ihr Passwort zu verraten und
    > am Ende sind deshalb alle geleaked. Ob sich das gelohnt hat?!

    Zumal es schon vor 15 Jahren seiten mit iwelchen "Knuddels Cheats" gab wo man sich "einloggen" musste und danach seinen Account mit beliebig vielen Knuddels aufladen konnte.

    Oh gott ich kann mir wirklich vorstellen was für ein circle-jerk das bei Knuddels war als man auf die Idee gekommen ist die PWs mit den Chateingaben zu vergleichen um die armen, jungen User vor social engineering zu schützen.

  16. Verschlüsselung anstatt Hashes? Zweiter Faktor?

    Autor: elgooG 10.09.18 - 12:39

    Ja und nein. Die Wörter nach Leerzeichen zu trennen dürfte in der Praxis ausreichend sein. Passwörter mit Leerzeichen sind auch nicht gerade üblich. Du kannst sowieso nie 100 %ig verhindern, dass die Passwörter weitergegeben werden, weil User und Angreifer auf andere Kanäle ausweichen können.

    Aber mal davon abgesehen: Dafür gibt es Zweifaktor-Authentifizierung und neben Hashes gibt es auch noch Verschlüsselung. Von mir aus werden die verschlüsselten Passwörter, entschlüsselt im Arbeitsspeicher gepuffert, falls das wirklich eine Leistungsfrage ist. Aber in der Datenbank haben unverschlüsselte Daten nichts zu suchen. Nie! Es gibt einfach keine Rechtfertigung dafür!

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite



    1 mal bearbeitet, zuletzt am 10.09.18 12:40 durch elgooG.

  17. Re: Bitte was?

    Autor: Keridalspidialose 10.09.18 - 12:42

    Na um sowas zu verhindern:

    Hallo Eheran, kannst du für mich am Wochenende checken ob ich Nachrichten bei Golem.de bekomme? ich kann leider nichts selbst ins Internet. Mein Password bei Golem ist: Golem1234567890. Danke!

    ___________________________________________________________

  18. Re: Bitte was?

    Autor: Eheran 10.09.18 - 12:48

    Du lässt es so klingen, als wäre das doch offensichtlich. Dabei ist es das für mich absolut nicht. Das ist sogar ziemlich absurd.
    Und für den genannten Zweck werden die Beteiligten auch eine andere Kommunikationsmöglichkeit finden, bei der das PW geteilt werden kann... das wäre ja auch augenscheinlich eine legitime Varinate, wie wenn ich dem Nachbarn meinen Briefkastenschlüssel gebe.

  19. Re: Bitte was?

    Autor: Cybso 10.09.18 - 13:02

    non_existent schrieb:
    > Naja, stell dir vor, jedes Wort jedes Nutzers wird gehasht und mit dem
    > Passwort verglichen. Das mit 1,9 Millionen Usern ... autsch. Da braucht man
    > dicke Server für.

    Für sowas kann man Rolling Checksums wie Adler32 verwenden.

    Du baust du eine Datenbank auf, in der du jeweils die Adler32-Prüfsumme der letzten (n) Zeichen jedes Passworts speicherst, mit (n) < Mindestpasswortlänge, und zu welchen Passwörter sie gehört. Außerdem benötigst du neben dem hoffentlich gesalzenen Hash noch die tatsächliche Länge des Passworts(*).

    Dann rotierst du im Text jeweils über die letzten n gelesenen Zeichen. Sobald du einen Treffer hast, schaust du nach, ob einer der gespeicherten Passwort-Hashes an der Stelle passt.

    Wenn man dies geschickt implementiert, dann ist es nur wenig aufwendiger, als den Text nach jedem einzelnen Passwort zu durchsuchen. (*) Allerdings wird es durch die gespeicherte Adler32-Summe möglich, die letzten (n) Zeichen des Passworts zu erraten. In Kombination mit der gespeicherten Länge des Ursprungspassworts wird die Sicherheit deutlich reduziert. Besser als die Klartextvariante ist es dennoch allemal.



    1 mal bearbeitet, zuletzt am 10.09.18 13:03 durch Cybso.

  20. Re: Seitenangriff?

    Autor: Quantium40 10.09.18 - 13:08

    Missingno. schrieb:
    > Wenn der Filter zuschlägt (und dann wirklich nur das Passwort "schwärzt")
    > wäre da gar nichts verhindert, wenn es ein normales Wort ist, welches man
    > ggf. aus dem Kontext des Satzes erschließen kann.

    Die Frage ist an der Stelle, ob die dann wirklich aus-X-en oder aber z.B. anstatt zu senden dem Nutzer einfach nur die Rückmeldung geben: "Diese Nachricht wurde sicherheitshalber nicht versendet. Du darfst dein Passwort niemals anderen im Chat mitteilen."

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Allianz Versicherungs-AG, München Unterföhring
  2. Haufe Group, Freiburg im Breisgau
  3. Hays AG, Nürnberg
  4. BARMER, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. Apple iPad Air 10,9 Zoll Wi-Fi 64GB für 632,60€, Apple iPad Air 10,9 Zoll Cellular 64GB für 769...
  2. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  3. 274,49€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bauen: Ein Hochhaus aus Holz für Hamburg
Bauen
Ein Hochhaus aus Holz für Hamburg

Die weltweite Zementherstellung stößt jährlich mehr CO2 aus als der Luftverkehr. Ein nachwachsender Rohstoff soll Bauen umweltfreundlicher machen.
Ein Bericht von Werner Pluta

  1. Transformation Söder will E-Auto-Gutschein beim Kauf von Verbrennern
  2. Kohlendioxidabscheidung Norwegen fördert Klimaschutzprojekt mit 1,5 Milliarden Euro
  3. Rohstoffe Kobalt-Kleinbergbau im Kongo soll besser werden

Star Trek Discovery: Harte Landung im 32. Jahrhundert
Star Trek Discovery
Harte Landung im 32. Jahrhundert

Die dritte Staffel von Star Trek: Discovery nutzt das offene Ende der Vorgängerstaffel. Sie verspricht Spannung - etwas weniger Pathos dürfte es aber sein.
Eine Rezension von Tobias Költzsch

  1. Star Trek Prodigy Captain Janeway spielt in Star-Trek-Cartoonserie mit
  2. Paramount Zukunft für Star-Trek-Filme ist ungewiss
  3. Streaming Star Trek Discovery kommt am 15. Oktober zurück

Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit