1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Für solchen Schwachsinn gibt es keinen Grund

  1. Thema

Neues Thema Ansicht wechseln


  1. Für solchen Schwachsinn gibt es keinen Grund

    Autor: dietzi96 10.09.18 - 13:26

    Man kann Passwörter auch clientseitig darauf überprüfen, ob es eine bestimmte Länge überschreitet oder um sicher zu stellen, dass es nicht nur Kleinbuchstaben enthält.
    Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf Salt und Pepper hätte man dann verzichten müssen.

    Das ist eine billige Ausrede des Betreibers und ich finde es Schade, dass Golem diese praktisch unkommentiert und mit einer solchen Überschrift übernimmt.

  2. Re: Client-seitig

    Autor: Missingno. 10.09.18 - 13:33

    Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu müssen.
    Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw. man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    --
    Dare to be stupid!

  3. Re: Für solchen Schwachsinn gibt es keinen Grund

    Autor: Quantium40 10.09.18 - 13:36

    dietzi96 schrieb:
    > Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst
    > gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich
    > also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf
    > Salt und Pepper hätte man dann verzichten müssen.

    Filterfunktionen über gehashte Passwörter funktionieren durchaus auch mit Salt.
    Der Sinn von Salt ist ja nur, dass man dadurch die Nutzung von Rainbowtables unsinnig macht, indem jedes Passwort mit einer abweichenden Kryptokomponente gespeichert wird, womit es nicht mehr lohnt, Passworthashes vorzuberechnen, weil man für jeden Salt eine eigenständige Vorberechnung bräuchte, die einem Brute-Force-Angriff gleichkommt.

  4. Re: Client-seitig

    Autor: Quantium40 10.09.18 - 13:41

    Missingno. schrieb:
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    Ich kann aber auf dem Client einen Hash von Textbestandteilen errechnen lassen und diesen mit einem Hash (oder Teilen davon) abgleichen, den ich vom Server bekomme, ohne das eigentliche Wort kennen zu müssen.

    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.
    Natürlich gilt im Zweifelsfall "never trust the client".
    Aber wenn man einem angemeldeten Client nur Teile eines Hashes und ein paar sinnvolle Suchkriterien gibt, lässt sich wenigstens ein Großteil an Prüfaufwand auf den Client auslagern.
    Die endgültige Prüfung muss dann natürlich serverseitig erfolgen.

  5. Weitere Vereinfachung

    Autor: SJ 10.09.18 - 13:46

    Wenn die Passwortrichtlinie sagt, min. 8 Zeichen müsse das Passwort enthalten, dann fallen schon mal sehr viele Wörte im alltäglichen Gebrauch weg.

    Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  6. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 14:07

    SJ schrieb:
    > Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    Wobei eine ordentliche Prüfung ja erstmal alle Leerzeichen (und ggf. anderweitige nichterlaubte Sonderzeichen) rauswerfen würde, damit die Kids dann nicht heldenhafterweise etwas im Stil "g e he i m e s Pa s s w o r t" rumschicken.
    100% klappt das dann zwar auch nicht mit dem Ausfiltern, aber im Zweifelsfall kann man Passwort-Filter ja noch an erzieherische Maßnahmen knüpfen, indem man z.B. nach dem n-ten Versuch, sein Passwort im Chat zu versenden, entweder den Chat für Stunden/Tage/Wochen sperrt oder aber einen Passwortwechsel inklusive vorgeschalteter Belehrung zum Thema Passwortsicherheit und böse Menschen erzwingt.

  7. Re: Weitere Vereinfachung

    Autor: SJ 10.09.18 - 14:58

    Irgendwo musste auch einen Schlussstrich ziehen.

    Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und die bei nem Image Hoster hochladen oder sie könnten einen Pastebin benutzen....

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 16:53

    SJ schrieb:
    > Irgendwo musste auch einen Schlussstrich ziehen.
    > Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und
    > die bei nem Image Hoster hochladen oder sie könnten einen Pastebin
    > benutzen....

    Richtig - alle Fälle wird man so wohl nie abdecken.
    Aber wenigstens die typischen Fälle sollte man schon dabeihaben, wenn man sowas einbaut.

  9. Re: Client-seitig

    Autor: Auspuffanlage 10.09.18 - 18:57

    Missingno. schrieb:
    --------------------------------------------------------------------------------
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    Muss ich den Server benutzen?

    Bei dem Client für Windows muss ja das Passwort eingegeben werden um Zugriff auf den Dienst zu bekommen.
    Ergo ist das Passwort ja sogesehen vorhanden (vielleicht nach Eingabe als gehashtes Passwort) Aber dann bestehe ja die Möglichkeit die Nachricht/ die Wörter ebenfalls zu hashen und zu gucken ob das dem Passwort entspricht. (mit dem Tipp von Sj muss ja nicht alles geprüft werden.)
    Wobei man das ja easy durch Bild oder externe Auslagerung einfach umgehen kann.

    Wird es eigentlich eine sammelklage geben?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bundesamt für Sicherheit in der Informationstechnik, Bonn
  2. SC-Networks GmbH, Starnberg
  3. ALTE LEIPZIGER Lebensversicherung a. G, Oberursel
  4. über duerenhoff GmbH, Göttingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberbunker-Prozess: Die Darknet-Schaltzentrale über den Weinbergen
Cyberbunker-Prozess
Die Darknet-Schaltzentrale über den Weinbergen

Am Montag beginnt der Prozess gegen die Cyberbunker-Betreiber von der Mittelmosel. Dahinter verbirgt sich eine wilde Geschichte von "bunkergeilen" Internetanarchos bis zu polizeilich gefakten Darknet-Seiten.
Eine Recherche von Friedhelm Greis

  1. Darkweb 179 mutmaßliche Darknet-Händler festgenommen
  2. Marktplatz im Darknet Mutmaßliche Betreiber des Wall Street Market angeklagt
  3. Illegaler Onlinehandel Admin des Darknet-Shops Fraudsters muss hinter Gitter

Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind