1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…
  6. T…

Bitte was?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Bitte was?

    Autor: Quantium40 10.09.18 - 13:30

    non_existent schrieb:
    > Naja, stell dir vor, jedes Wort jedes Nutzers wird gehasht und mit dem
    > Passwort verglichen. Das mit 1,9 Millionen Usern ... autsch. Da braucht man
    > dicke Server für.

    Nicht unbedingt. Die Zahl von zu hashenden Worten lässt sich drastisch reduzieren, indem man z.B. 2 Zeichen des Passwortes und ihre Distanz an den (mit dem Passwort angemeldeten) Client übergibt, so dass dieser alle Nachrichten des Nutzers auf Passwortkandidaten vorfiltert und ggf. schon das Hashing übernimmt.

    Beispiel: Serverlast zu reduzieren ohne gleich das Passwort zu kompromittieren oder den vollen Hash zum Client zu geben.

    Passwort : GEHEIM1234
    Suchzeichen: G Pos. 1 und 2 Pos. 8, Suchlänge = 10
    letzte 4 Zeichen vom Passworthash im Server: 87B4
    Dann einfach nach allen Bestandteilen der Nachricht suchen, die ins Muster passen, Dubletten entfernen und die verbleibenden Einträge im Client Hashen. Jetzt noch Ausfilter nach den letzten 4 Zeichen vom Passworthash und den Rest an Hashes zusammen mit der Nachricht an den Server, so da denn überhaupt Hashes übrigbleiben.
    Die paar übriggeblieben Vergleiche machen dem Server nichts.

    Damit senkt man zwar effektiv auch die kryptografische Sicherheit, aber gegenüber kompletter Klartextspeicherung liegt man immer noch weitaus besser. Zudem kann man mit ein paar Vorgaben zur Passwortzusammensetzung oder Länge diesen Makel hinreichend ausgleichen.

  2. Re: Bitte was?

    Autor: masel99 10.09.18 - 19:07

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Welche Gefahr besteht für die Seite, wenn ein Nutzer sein Passwort
    > weitergibt?
    > Und selbst wenn es auf DIESER Plattform nicht geht. Dann lockt man den
    > anderen eben zu nem anderen Chat.

    Ja, oder die User schreiben dann einfach etwas wie "mein Passwort ist ".kleineSusi" ohne Punkt am Anfang" und schon ist der Passworabgleich für die Tonne.

  3. Re: Seitenangriff?

    Autor: masel99 10.09.18 - 19:11

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Missingno. schrieb:
    > > Wenn der Filter zuschlägt (und dann wirklich nur das Passwort
    > "schwärzt")
    > > wäre da gar nichts verhindert, wenn es ein normales Wort ist, welches
    > man
    > > ggf. aus dem Kontext des Satzes erschließen kann.
    >
    > Die Frage ist an der Stelle, ob die dann wirklich aus-X-en oder aber z.B.
    > anstatt zu senden dem Nutzer einfach nur die Rückmeldung geben: "Diese
    > Nachricht wurde sicherheitshalber nicht versendet. Du darfst dein Passwort
    > niemals anderen im Chat mitteilen."

    UserA: Du machst doch keinen Blödsinn und hilfst mir nur kurz, oder?
    UserB: Nein natürlich nicht.

    ;)

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. GESTRA AG, Bremen
  2. ista International GmbH, Essen
  3. KWS SAAT SE & Co. KGaA, Einbeck
  4. Radeberger Gruppe KG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobilfunk: UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet
Mobilfunk
UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet

Sie haben Deutschland zum Mobilfunk-Entwicklungsland gemacht und wurden heute mit dem Nobelpreis ausgezeichnet: die Auktionstheorien von Paul R. Milgrom und Robert B. Wilson.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Coronakrise Deutsche Urlaubsregionen verzeichnen starke Mobilfunknutzung
  2. LTE Telekom benennt weitere Gewinner von "Wir jagen Funklöcher"
  3. Mobilfunk Rufnummernportierung darf maximal 7 Euro kosten

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar