1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Für solchen Schwachsinn gibt es keinen Grund

  1. Thema

Neues Thema Ansicht wechseln


  1. Für solchen Schwachsinn gibt es keinen Grund

    Autor: dietzi96 10.09.18 - 13:26

    Man kann Passwörter auch clientseitig darauf überprüfen, ob es eine bestimmte Länge überschreitet oder um sicher zu stellen, dass es nicht nur Kleinbuchstaben enthält.
    Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf Salt und Pepper hätte man dann verzichten müssen.

    Das ist eine billige Ausrede des Betreibers und ich finde es Schade, dass Golem diese praktisch unkommentiert und mit einer solchen Überschrift übernimmt.

  2. Re: Client-seitig

    Autor: Missingno. 10.09.18 - 13:33

    Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu müssen.
    Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw. man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    --
    Dare to be stupid!

  3. Re: Für solchen Schwachsinn gibt es keinen Grund

    Autor: Quantium40 10.09.18 - 13:36

    dietzi96 schrieb:
    > Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst
    > gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich
    > also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf
    > Salt und Pepper hätte man dann verzichten müssen.

    Filterfunktionen über gehashte Passwörter funktionieren durchaus auch mit Salt.
    Der Sinn von Salt ist ja nur, dass man dadurch die Nutzung von Rainbowtables unsinnig macht, indem jedes Passwort mit einer abweichenden Kryptokomponente gespeichert wird, womit es nicht mehr lohnt, Passworthashes vorzuberechnen, weil man für jeden Salt eine eigenständige Vorberechnung bräuchte, die einem Brute-Force-Angriff gleichkommt.

  4. Re: Client-seitig

    Autor: Quantium40 10.09.18 - 13:41

    Missingno. schrieb:
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    Ich kann aber auf dem Client einen Hash von Textbestandteilen errechnen lassen und diesen mit einem Hash (oder Teilen davon) abgleichen, den ich vom Server bekomme, ohne das eigentliche Wort kennen zu müssen.

    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.
    Natürlich gilt im Zweifelsfall "never trust the client".
    Aber wenn man einem angemeldeten Client nur Teile eines Hashes und ein paar sinnvolle Suchkriterien gibt, lässt sich wenigstens ein Großteil an Prüfaufwand auf den Client auslagern.
    Die endgültige Prüfung muss dann natürlich serverseitig erfolgen.

  5. Weitere Vereinfachung

    Autor: SJ 10.09.18 - 13:46

    Wenn die Passwortrichtlinie sagt, min. 8 Zeichen müsse das Passwort enthalten, dann fallen schon mal sehr viele Wörte im alltäglichen Gebrauch weg.

    Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  6. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 14:07

    SJ schrieb:
    > Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    Wobei eine ordentliche Prüfung ja erstmal alle Leerzeichen (und ggf. anderweitige nichterlaubte Sonderzeichen) rauswerfen würde, damit die Kids dann nicht heldenhafterweise etwas im Stil "g e he i m e s Pa s s w o r t" rumschicken.
    100% klappt das dann zwar auch nicht mit dem Ausfiltern, aber im Zweifelsfall kann man Passwort-Filter ja noch an erzieherische Maßnahmen knüpfen, indem man z.B. nach dem n-ten Versuch, sein Passwort im Chat zu versenden, entweder den Chat für Stunden/Tage/Wochen sperrt oder aber einen Passwortwechsel inklusive vorgeschalteter Belehrung zum Thema Passwortsicherheit und böse Menschen erzwingt.

  7. Re: Weitere Vereinfachung

    Autor: SJ 10.09.18 - 14:58

    Irgendwo musste auch einen Schlussstrich ziehen.

    Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und die bei nem Image Hoster hochladen oder sie könnten einen Pastebin benutzen....

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 16:53

    SJ schrieb:
    > Irgendwo musste auch einen Schlussstrich ziehen.
    > Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und
    > die bei nem Image Hoster hochladen oder sie könnten einen Pastebin
    > benutzen....

    Richtig - alle Fälle wird man so wohl nie abdecken.
    Aber wenigstens die typischen Fälle sollte man schon dabeihaben, wenn man sowas einbaut.

  9. Re: Client-seitig

    Autor: Auspuffanlage 10.09.18 - 18:57

    Missingno. schrieb:
    --------------------------------------------------------------------------------
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    Muss ich den Server benutzen?

    Bei dem Client für Windows muss ja das Passwort eingegeben werden um Zugriff auf den Dienst zu bekommen.
    Ergo ist das Passwort ja sogesehen vorhanden (vielleicht nach Eingabe als gehashtes Passwort) Aber dann bestehe ja die Möglichkeit die Nachricht/ die Wörter ebenfalls zu hashen und zu gucken ob das dem Passwort entspricht. (mit dem Tipp von Sj muss ja nicht alles geprüft werden.)
    Wobei man das ja easy durch Bild oder externe Auslagerung einfach umgehen kann.

    Wird es eigentlich eine sammelklage geben?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Heraeus Infosystems GmbH, Frankfurt am Main
  2. CompuGroup Medical SE & Co. KGaA, Koblenz, Saarbrücken
  3. Deutsches Institut für Bautechnik, Berlin
  4. Hilger u. Kern GmbH, Mannheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 12,49€
  2. 39,99€ (PS4, Xbox One, Nintendo Switch)
  3. (u. a. Struggling für 8,99€, Jurassic World Evolution für 11,25€, Jurassic World Evolution...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    iPad Air 2020 im Test: Apples gute Alternative zum iPad Pro
    iPad Air 2020 im Test
    Apples gute Alternative zum iPad Pro

    Das neue iPad Air sieht aus wie ein iPad Pro, unterstützt dasselbe Zubehör, kommt mit einem guten Display und reichlich Rechenleistung. Damit ist es eine ideale Alternative für Apples teuerstes Tablet, wie unser Test zeigt.
    Ein Test von Tobias Költzsch

    1. Tablet Apple stellt neues iPad und iPad Air vor