1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…
  6. T…

Bitte was?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Bitte was?

    Autor: Quantium40 10.09.18 - 13:30

    non_existent schrieb:
    > Naja, stell dir vor, jedes Wort jedes Nutzers wird gehasht und mit dem
    > Passwort verglichen. Das mit 1,9 Millionen Usern ... autsch. Da braucht man
    > dicke Server für.

    Nicht unbedingt. Die Zahl von zu hashenden Worten lässt sich drastisch reduzieren, indem man z.B. 2 Zeichen des Passwortes und ihre Distanz an den (mit dem Passwort angemeldeten) Client übergibt, so dass dieser alle Nachrichten des Nutzers auf Passwortkandidaten vorfiltert und ggf. schon das Hashing übernimmt.

    Beispiel: Serverlast zu reduzieren ohne gleich das Passwort zu kompromittieren oder den vollen Hash zum Client zu geben.

    Passwort : GEHEIM1234
    Suchzeichen: G Pos. 1 und 2 Pos. 8, Suchlänge = 10
    letzte 4 Zeichen vom Passworthash im Server: 87B4
    Dann einfach nach allen Bestandteilen der Nachricht suchen, die ins Muster passen, Dubletten entfernen und die verbleibenden Einträge im Client Hashen. Jetzt noch Ausfilter nach den letzten 4 Zeichen vom Passworthash und den Rest an Hashes zusammen mit der Nachricht an den Server, so da denn überhaupt Hashes übrigbleiben.
    Die paar übriggeblieben Vergleiche machen dem Server nichts.

    Damit senkt man zwar effektiv auch die kryptografische Sicherheit, aber gegenüber kompletter Klartextspeicherung liegt man immer noch weitaus besser. Zudem kann man mit ein paar Vorgaben zur Passwortzusammensetzung oder Länge diesen Makel hinreichend ausgleichen.

  2. Re: Bitte was?

    Autor: masel99 10.09.18 - 19:07

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Welche Gefahr besteht für die Seite, wenn ein Nutzer sein Passwort
    > weitergibt?
    > Und selbst wenn es auf DIESER Plattform nicht geht. Dann lockt man den
    > anderen eben zu nem anderen Chat.

    Ja, oder die User schreiben dann einfach etwas wie "mein Passwort ist ".kleineSusi" ohne Punkt am Anfang" und schon ist der Passworabgleich für die Tonne.

  3. Re: Seitenangriff?

    Autor: masel99 10.09.18 - 19:11

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Missingno. schrieb:
    > > Wenn der Filter zuschlägt (und dann wirklich nur das Passwort
    > "schwärzt")
    > > wäre da gar nichts verhindert, wenn es ein normales Wort ist, welches
    > man
    > > ggf. aus dem Kontext des Satzes erschließen kann.
    >
    > Die Frage ist an der Stelle, ob die dann wirklich aus-X-en oder aber z.B.
    > anstatt zu senden dem Nutzer einfach nur die Rückmeldung geben: "Diese
    > Nachricht wurde sicherheitshalber nicht versendet. Du darfst dein Passwort
    > niemals anderen im Chat mitteilen."

    UserA: Du machst doch keinen Blödsinn und hilfst mir nur kurz, oder?
    UserB: Nein natürlich nicht.

    ;)

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. KBV Kassenärztliche Bundesvereinigung, Berlin
  2. Allianz Deutschland AG, Stuttgart
  3. neam IT-Services GmbH, Paderborn
  4. McFIT GmbH & Co. KG, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 274,49€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  2. Apple iPad Air 10,9 Zoll Wi-Fi 64GB für 632,60€, Apple iPad Air 10,9 Zoll Cellular 64GB für 769...
  3. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de