1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…
  6. T…

Bitte was?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Bitte was?

    Autor: Quantium40 10.09.18 - 13:30

    non_existent schrieb:
    > Naja, stell dir vor, jedes Wort jedes Nutzers wird gehasht und mit dem
    > Passwort verglichen. Das mit 1,9 Millionen Usern ... autsch. Da braucht man
    > dicke Server für.

    Nicht unbedingt. Die Zahl von zu hashenden Worten lässt sich drastisch reduzieren, indem man z.B. 2 Zeichen des Passwortes und ihre Distanz an den (mit dem Passwort angemeldeten) Client übergibt, so dass dieser alle Nachrichten des Nutzers auf Passwortkandidaten vorfiltert und ggf. schon das Hashing übernimmt.

    Beispiel: Serverlast zu reduzieren ohne gleich das Passwort zu kompromittieren oder den vollen Hash zum Client zu geben.

    Passwort : GEHEIM1234
    Suchzeichen: G Pos. 1 und 2 Pos. 8, Suchlänge = 10
    letzte 4 Zeichen vom Passworthash im Server: 87B4
    Dann einfach nach allen Bestandteilen der Nachricht suchen, die ins Muster passen, Dubletten entfernen und die verbleibenden Einträge im Client Hashen. Jetzt noch Ausfilter nach den letzten 4 Zeichen vom Passworthash und den Rest an Hashes zusammen mit der Nachricht an den Server, so da denn überhaupt Hashes übrigbleiben.
    Die paar übriggeblieben Vergleiche machen dem Server nichts.

    Damit senkt man zwar effektiv auch die kryptografische Sicherheit, aber gegenüber kompletter Klartextspeicherung liegt man immer noch weitaus besser. Zudem kann man mit ein paar Vorgaben zur Passwortzusammensetzung oder Länge diesen Makel hinreichend ausgleichen.

  2. Re: Bitte was?

    Autor: masel99 10.09.18 - 19:07

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Welche Gefahr besteht für die Seite, wenn ein Nutzer sein Passwort
    > weitergibt?
    > Und selbst wenn es auf DIESER Plattform nicht geht. Dann lockt man den
    > anderen eben zu nem anderen Chat.

    Ja, oder die User schreiben dann einfach etwas wie "mein Passwort ist ".kleineSusi" ohne Punkt am Anfang" und schon ist der Passworabgleich für die Tonne.

  3. Re: Seitenangriff?

    Autor: masel99 10.09.18 - 19:11

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Missingno. schrieb:
    > > Wenn der Filter zuschlägt (und dann wirklich nur das Passwort
    > "schwärzt")
    > > wäre da gar nichts verhindert, wenn es ein normales Wort ist, welches
    > man
    > > ggf. aus dem Kontext des Satzes erschließen kann.
    >
    > Die Frage ist an der Stelle, ob die dann wirklich aus-X-en oder aber z.B.
    > anstatt zu senden dem Nutzer einfach nur die Rückmeldung geben: "Diese
    > Nachricht wurde sicherheitshalber nicht versendet. Du darfst dein Passwort
    > niemals anderen im Chat mitteilen."

    UserA: Du machst doch keinen Blödsinn und hilfst mir nur kurz, oder?
    UserB: Nein natürlich nicht.

    ;)

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BKK Gildemeister Seidensticker, Bielefeld
  2. Hannover Rück SE, Hannover
  3. V-LINE EUROPE GmbH, Sehnde
  4. MULTIVAC Sepp Haggenmüller SE & Co. KG, Wolfertschwenden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,96€)
  2. 749€
  3. (u. a. Find X2 Neo 256GB 6,5 Zoll für 439,99€, Watch 41 mm Smartwatch für 179,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera

Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge