1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…
  6. T…

Bitte was?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Bitte was?

    Autor: Quantium40 10.09.18 - 13:30

    non_existent schrieb:
    > Naja, stell dir vor, jedes Wort jedes Nutzers wird gehasht und mit dem
    > Passwort verglichen. Das mit 1,9 Millionen Usern ... autsch. Da braucht man
    > dicke Server für.

    Nicht unbedingt. Die Zahl von zu hashenden Worten lässt sich drastisch reduzieren, indem man z.B. 2 Zeichen des Passwortes und ihre Distanz an den (mit dem Passwort angemeldeten) Client übergibt, so dass dieser alle Nachrichten des Nutzers auf Passwortkandidaten vorfiltert und ggf. schon das Hashing übernimmt.

    Beispiel: Serverlast zu reduzieren ohne gleich das Passwort zu kompromittieren oder den vollen Hash zum Client zu geben.

    Passwort : GEHEIM1234
    Suchzeichen: G Pos. 1 und 2 Pos. 8, Suchlänge = 10
    letzte 4 Zeichen vom Passworthash im Server: 87B4
    Dann einfach nach allen Bestandteilen der Nachricht suchen, die ins Muster passen, Dubletten entfernen und die verbleibenden Einträge im Client Hashen. Jetzt noch Ausfilter nach den letzten 4 Zeichen vom Passworthash und den Rest an Hashes zusammen mit der Nachricht an den Server, so da denn überhaupt Hashes übrigbleiben.
    Die paar übriggeblieben Vergleiche machen dem Server nichts.

    Damit senkt man zwar effektiv auch die kryptografische Sicherheit, aber gegenüber kompletter Klartextspeicherung liegt man immer noch weitaus besser. Zudem kann man mit ein paar Vorgaben zur Passwortzusammensetzung oder Länge diesen Makel hinreichend ausgleichen.

  2. Re: Bitte was?

    Autor: masel99 10.09.18 - 19:07

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Welche Gefahr besteht für die Seite, wenn ein Nutzer sein Passwort
    > weitergibt?
    > Und selbst wenn es auf DIESER Plattform nicht geht. Dann lockt man den
    > anderen eben zu nem anderen Chat.

    Ja, oder die User schreiben dann einfach etwas wie "mein Passwort ist ".kleineSusi" ohne Punkt am Anfang" und schon ist der Passworabgleich für die Tonne.

  3. Re: Seitenangriff?

    Autor: masel99 10.09.18 - 19:11

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Missingno. schrieb:
    > > Wenn der Filter zuschlägt (und dann wirklich nur das Passwort
    > "schwärzt")
    > > wäre da gar nichts verhindert, wenn es ein normales Wort ist, welches
    > man
    > > ggf. aus dem Kontext des Satzes erschließen kann.
    >
    > Die Frage ist an der Stelle, ob die dann wirklich aus-X-en oder aber z.B.
    > anstatt zu senden dem Nutzer einfach nur die Rückmeldung geben: "Diese
    > Nachricht wurde sicherheitshalber nicht versendet. Du darfst dein Passwort
    > niemals anderen im Chat mitteilen."

    UserA: Du machst doch keinen Blödsinn und hilfst mir nur kurz, oder?
    UserB: Nein natürlich nicht.

    ;)

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. LORENZ Life Sciences Group, Frankfurt am Main
  2. Deutsches Institut für Bautechnik, Berlin
  3. Hochschule Furtwangen, Furtwangen
  4. Allianz Deutschland AG, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
Philips-Leuchten-Konfigurator im Test
Die schicke Leuchte aus dem 3D-Drucker

Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
Ein Test von Tobias Költzsch

  1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
  2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
  3. Signify Neue Philips-Hue-Produkte vorgestellt