1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Bitte was?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Bitte was?

    Autor: Eheran 10.09.18 - 11:26

    >Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden

    Kann das jemand übersetzen? Was ist der Grund, das es da Passwörter im Klartext gab?
    Und was ist mit 2016? Was wurde da nun geändert und warum 2016 und nicht 2005?

  2. Re: Bitte was?

    Autor: TrollNo1 10.09.18 - 11:30

    Soweit ich es verstanden habe war der Grund, dass ich dir per Social Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl durch den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss, versteh ich auch nicht.

    Menschen, die mich im Internet siezen, sind mir suspekt.

  3. Re: Bitte was?

    Autor: Tantalus 10.09.18 - 11:32

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich es verstanden habe war der Grund, dass ich dir per Social
    > Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl durch
    > den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX
    > geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss,
    > versteh ich auch nicht.

    Vermutlich weil es weniger Rechenaufwand ist, viele Klartextwörter zu vergleichen, als jede Eingabe im Chat zu hashen und dann zu vergleichen.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  4. Re: Bitte was?

    Autor: non_existent 10.09.18 - 11:34

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich es verstanden habe war der Grund, dass ich dir per Social
    > Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl durch
    > den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX
    > geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss,
    > versteh ich auch nicht.

    Naja, stell dir vor, jedes Wort jedes Nutzers wird gehasht und mit dem Passwort verglichen. Das mit 1,9 Millionen Usern ... autsch. Da braucht man dicke Server für.

  5. Re: Bitte was?

    Autor: cry88 10.09.18 - 11:34

    TrollNo1 schrieb:
    -------------------------------------------------------------------------------
    > Aber warum das jetzt trotzdem im Klartext sein muss,
    > versteh ich auch nicht.
    Vielleicht Performance Gründe? Man müsste jedes Wort hashen und mit dem PW Hash vergleichen. Wobei das mit nem ordentlichen Backend auch kein Problem sein sollte...

  6. Re: Bitte was?

    Autor: TrollNo1 10.09.18 - 11:38

    Antwort an alle drei ;)

    Klar ist das mehr Rechenpower, aber entweder ich mache es richtig, oder gar nicht.
    Sonst könnte ich als Passworthinweis ja einfach ein paar der Zeichen anzeigen, dann erinnert sich der User ja vielleicht wieder. natüürlich jedes Mal andere Zeichen:

    1XX4XX
    XX34XX
    x2XXX6

    usw, irgendwann hat man dann das Passwort (123456) raus und gut. Emails mit Rücksetzen und so brauchen ja schließlich auch viel zu viel Rechenpower...

    Menschen, die mich im Internet siezen, sind mir suspekt.

  7. Re: Bitte was?

    Autor: schap23 10.09.18 - 11:39

    Der Algorithmus, Hashes zu erzeugen, die dann verglichen werden können, dürfte auch komplex sein. Wenn jemand z.B. ein Wort in Klammern schreibt, kann sowohl der Text zwischen den Klammern ein Paßwort sein oder eine oder beide Klammern Teil des Paßworts sein. Wenn Leerzeichen in Paßwörtern erlaubt sein sollten, wird es völlig undurchführbar.

    Die Frage ist nur, ob das Risiko, nicht gehashte Paßwörter zu speichern, nicht größer ist, wie die Gefahr, daß ein unvorsichtiger Benutzer sein Paßwort verrät.

  8. Seitenangriff?

    Autor: Missingno. 10.09.18 - 11:42

    Wenn der Filter zuschlägt (und dann wirklich nur das Passwort "schwärzt") wäre da gar nichts verhindert, wenn es ein normales Wort ist, welches man ggf. aus dem Kontext des Satzes erschließen kann.
    Mein xxx ist xxx.
    Ich finde xxx super. Hier treffe ich lauter nette Leute.

    --
    Dare to be stupid!

  9. Re: Bitte was?

    Autor: TrollNo1 10.09.18 - 11:42

    Welche Gefahr besteht für die Seite, wenn ein Nutzer sein Passwort weitergibt?
    Und selbst wenn es auf DIESER Plattform nicht geht. Dann lockt man den anderen eben zu nem anderen Chat.

    Menschen, die mich im Internet siezen, sind mir suspekt.

  10. Re: Bitte was?

    Autor: non_existent 10.09.18 - 11:43

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Antwort an alle drei ;)
    >
    > Klar ist das mehr Rechenpower, aber entweder ich mache es richtig, oder gar
    > nicht.
    > Sonst könnte ich als Passworthinweis ja einfach ein paar der Zeichen
    > anzeigen, dann erinnert sich der User ja vielleicht wieder. natüürlich
    > jedes Mal andere Zeichen:
    >
    > 1XX4XX
    > XX34XX
    > x2XXX6
    >
    > usw, irgendwann hat man dann das Passwort (123456) raus und gut. Emails mit
    > Rücksetzen und so brauchen ja schließlich auch viel zu viel Rechenpower...

    Darum geht es doch überhaupt nicht. Hast du den Artikel überhaupt gelesen?

  11. Re: Bitte was?

    Autor: Noren 10.09.18 - 11:49

    Naja, offenbar wurde ja vorher der Text mit dem Klartext Passwort verglichen. Wird der Hash Algorithmus einfach in den Client ausgelagert, hast du nicht viel mehr Aufwand als vorher. Problematisch ist eher das was schap23 schon geschrieben hat.

  12. Re: Bitte was?

    Autor: Tantalus 10.09.18 - 11:54

    schap23 schrieb:
    --------------------------------------------------------------------------------
    > Die Frage ist nur, ob das Risiko, nicht gehashte Paßwörter zu speichern,
    > nicht größer ist, wie die Gefahr, daß ein unvorsichtiger Benutzer sein
    > Paßwort verrät.

    Diese Frage ist ja nun eindeutig beantwortet...

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  13. Re: Bitte was?

    Autor: TrollNo1 10.09.18 - 11:57

    Klar, ich habe nur die saublöde Idee des Klartext-Passworts mit einer noch blöderen Idee verglichen, bei der (hoffentlich) sofort jeder merkt, wie idiotisch das wäre.

    Menschen, die mich im Internet siezen, sind mir suspekt.

  14. Re: Bitte was?

    Autor: caldeum 10.09.18 - 12:15

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich es verstanden habe war der Grund, dass ich dir per Social
    > Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl durch
    > den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX
    > geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss,
    > versteh ich auch nicht.
    Man wollte also einzelne User davor bewahren ihr Passwort zu verraten und am Ende sind deshalb alle geleaked. Ob sich das gelohnt hat?!

  15. Re: Bitte was?

    Autor: emuuu 10.09.18 - 12:28

    caldeum schrieb:
    --------------------------------------------------------------------------------
    > TrollNo1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Soweit ich es verstanden habe war der Grund, dass ich dir per Social
    > > Engineering nicht das Passwort rausleiern kann. Jedes Wort wurde wohl
    > durch
    > > den Filter gejagt und wenn dein Passwort dabei war, wurde es eben zu XXX
    > > geändert oder so. Aber warum das jetzt trotzdem im Klartext sein muss,
    > > versteh ich auch nicht.
    > Man wollte also einzelne User davor bewahren ihr Passwort zu verraten und
    > am Ende sind deshalb alle geleaked. Ob sich das gelohnt hat?!

    Zumal es schon vor 15 Jahren seiten mit iwelchen "Knuddels Cheats" gab wo man sich "einloggen" musste und danach seinen Account mit beliebig vielen Knuddels aufladen konnte.

    Oh gott ich kann mir wirklich vorstellen was für ein circle-jerk das bei Knuddels war als man auf die Idee gekommen ist die PWs mit den Chateingaben zu vergleichen um die armen, jungen User vor social engineering zu schützen.

  16. Verschlüsselung anstatt Hashes? Zweiter Faktor?

    Autor: elgooG 10.09.18 - 12:39

    Ja und nein. Die Wörter nach Leerzeichen zu trennen dürfte in der Praxis ausreichend sein. Passwörter mit Leerzeichen sind auch nicht gerade üblich. Du kannst sowieso nie 100 %ig verhindern, dass die Passwörter weitergegeben werden, weil User und Angreifer auf andere Kanäle ausweichen können.

    Aber mal davon abgesehen: Dafür gibt es Zweifaktor-Authentifizierung und neben Hashes gibt es auch noch Verschlüsselung. Von mir aus werden die verschlüsselten Passwörter, entschlüsselt im Arbeitsspeicher gepuffert, falls das wirklich eine Leistungsfrage ist. Aber in der Datenbank haben unverschlüsselte Daten nichts zu suchen. Nie! Es gibt einfach keine Rechtfertigung dafür!

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite



    1 mal bearbeitet, zuletzt am 10.09.18 12:40 durch elgooG.

  17. Re: Bitte was?

    Autor: Keridalspidialose 10.09.18 - 12:42

    Na um sowas zu verhindern:

    Hallo Eheran, kannst du für mich am Wochenende checken ob ich Nachrichten bei Golem.de bekomme? ich kann leider nichts selbst ins Internet. Mein Password bei Golem ist: Golem1234567890. Danke!

    ___________________________________________________________

  18. Re: Bitte was?

    Autor: Eheran 10.09.18 - 12:48

    Du lässt es so klingen, als wäre das doch offensichtlich. Dabei ist es das für mich absolut nicht. Das ist sogar ziemlich absurd.
    Und für den genannten Zweck werden die Beteiligten auch eine andere Kommunikationsmöglichkeit finden, bei der das PW geteilt werden kann... das wäre ja auch augenscheinlich eine legitime Varinate, wie wenn ich dem Nachbarn meinen Briefkastenschlüssel gebe.

  19. Re: Bitte was?

    Autor: Cybso 10.09.18 - 13:02

    non_existent schrieb:
    > Naja, stell dir vor, jedes Wort jedes Nutzers wird gehasht und mit dem
    > Passwort verglichen. Das mit 1,9 Millionen Usern ... autsch. Da braucht man
    > dicke Server für.

    Für sowas kann man Rolling Checksums wie Adler32 verwenden.

    Du baust du eine Datenbank auf, in der du jeweils die Adler32-Prüfsumme der letzten (n) Zeichen jedes Passworts speicherst, mit (n) < Mindestpasswortlänge, und zu welchen Passwörter sie gehört. Außerdem benötigst du neben dem hoffentlich gesalzenen Hash noch die tatsächliche Länge des Passworts(*).

    Dann rotierst du im Text jeweils über die letzten n gelesenen Zeichen. Sobald du einen Treffer hast, schaust du nach, ob einer der gespeicherten Passwort-Hashes an der Stelle passt.

    Wenn man dies geschickt implementiert, dann ist es nur wenig aufwendiger, als den Text nach jedem einzelnen Passwort zu durchsuchen. (*) Allerdings wird es durch die gespeicherte Adler32-Summe möglich, die letzten (n) Zeichen des Passworts zu erraten. In Kombination mit der gespeicherten Länge des Ursprungspassworts wird die Sicherheit deutlich reduziert. Besser als die Klartextvariante ist es dennoch allemal.



    1 mal bearbeitet, zuletzt am 10.09.18 13:03 durch Cybso.

  20. Re: Seitenangriff?

    Autor: Quantium40 10.09.18 - 13:08

    Missingno. schrieb:
    > Wenn der Filter zuschlägt (und dann wirklich nur das Passwort "schwärzt")
    > wäre da gar nichts verhindert, wenn es ein normales Wort ist, welches man
    > ggf. aus dem Kontext des Satzes erschließen kann.

    Die Frage ist an der Stelle, ob die dann wirklich aus-X-en oder aber z.B. anstatt zu senden dem Nutzer einfach nur die Rückmeldung geben: "Diese Nachricht wurde sicherheitshalber nicht versendet. Du darfst dein Passwort niemals anderen im Chat mitteilen."

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SCOOP Software GmbH, Köln, Hamburg, Wiesbaden, Bonn
  2. Interhyp Gruppe, München
  3. ista International GmbH, Essen
  4. SodaStream GmbH, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 274,49€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  2. Apple iPad Air 10,9 Zoll Wi-Fi 64GB für 632,60€, Apple iPad Air 10,9 Zoll Cellular 64GB für 769...
  3. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberbunker-Prozess: Die Darknet-Schaltzentrale über den Weinbergen
Cyberbunker-Prozess
Die Darknet-Schaltzentrale über den Weinbergen

Am Montag beginnt der Prozess gegen die Cyberbunker-Betreiber von der Mittelmosel. Dahinter verbirgt sich eine wilde Geschichte von "bunkergeilen" Internetanarchos bis zu polizeilich gefakten Darknet-Seiten.
Eine Recherche von Friedhelm Greis

  1. Darkweb 179 mutmaßliche Darknet-Händler festgenommen
  2. Marktplatz im Darknet Mutmaßliche Betreiber des Wall Street Market angeklagt
  3. Illegaler Onlinehandel Admin des Darknet-Shops Fraudsters muss hinter Gitter

Artemis Accords: Mondverträge mit bitterem Beigeschmack
Artemis Accords
Mondverträge mit bitterem Beigeschmack

"Sicherheitszonen" zum Rohstoffabbau auf dem Mond, das Militär darf tun, was es will, Machtfragen werden nicht geklärt, der Weltraumvertrag wird gebrochen.
Von Frank Wunderlich-Pfeiffer

  1. Artemis Nasa engagiert Nokia für LTE-Netz auf dem Mond

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar