1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Für solchen Schwachsinn gibt es keinen Grund

  1. Thema

Neues Thema Ansicht wechseln


  1. Für solchen Schwachsinn gibt es keinen Grund

    Autor: dietzi96 10.09.18 - 13:26

    Man kann Passwörter auch clientseitig darauf überprüfen, ob es eine bestimmte Länge überschreitet oder um sicher zu stellen, dass es nicht nur Kleinbuchstaben enthält.
    Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf Salt und Pepper hätte man dann verzichten müssen.

    Das ist eine billige Ausrede des Betreibers und ich finde es Schade, dass Golem diese praktisch unkommentiert und mit einer solchen Überschrift übernimmt.

  2. Re: Client-seitig

    Autor: Missingno. 10.09.18 - 13:33

    Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu müssen.
    Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw. man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    --
    Dare to be stupid!

  3. Re: Für solchen Schwachsinn gibt es keinen Grund

    Autor: Quantium40 10.09.18 - 13:36

    dietzi96 schrieb:
    > Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst
    > gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich
    > also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf
    > Salt und Pepper hätte man dann verzichten müssen.

    Filterfunktionen über gehashte Passwörter funktionieren durchaus auch mit Salt.
    Der Sinn von Salt ist ja nur, dass man dadurch die Nutzung von Rainbowtables unsinnig macht, indem jedes Passwort mit einer abweichenden Kryptokomponente gespeichert wird, womit es nicht mehr lohnt, Passworthashes vorzuberechnen, weil man für jeden Salt eine eigenständige Vorberechnung bräuchte, die einem Brute-Force-Angriff gleichkommt.

  4. Re: Client-seitig

    Autor: Quantium40 10.09.18 - 13:41

    Missingno. schrieb:
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    Ich kann aber auf dem Client einen Hash von Textbestandteilen errechnen lassen und diesen mit einem Hash (oder Teilen davon) abgleichen, den ich vom Server bekomme, ohne das eigentliche Wort kennen zu müssen.

    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.
    Natürlich gilt im Zweifelsfall "never trust the client".
    Aber wenn man einem angemeldeten Client nur Teile eines Hashes und ein paar sinnvolle Suchkriterien gibt, lässt sich wenigstens ein Großteil an Prüfaufwand auf den Client auslagern.
    Die endgültige Prüfung muss dann natürlich serverseitig erfolgen.

  5. Weitere Vereinfachung

    Autor: SJ 10.09.18 - 13:46

    Wenn die Passwortrichtlinie sagt, min. 8 Zeichen müsse das Passwort enthalten, dann fallen schon mal sehr viele Wörte im alltäglichen Gebrauch weg.

    Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  6. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 14:07

    SJ schrieb:
    > Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    Wobei eine ordentliche Prüfung ja erstmal alle Leerzeichen (und ggf. anderweitige nichterlaubte Sonderzeichen) rauswerfen würde, damit die Kids dann nicht heldenhafterweise etwas im Stil "g e he i m e s Pa s s w o r t" rumschicken.
    100% klappt das dann zwar auch nicht mit dem Ausfiltern, aber im Zweifelsfall kann man Passwort-Filter ja noch an erzieherische Maßnahmen knüpfen, indem man z.B. nach dem n-ten Versuch, sein Passwort im Chat zu versenden, entweder den Chat für Stunden/Tage/Wochen sperrt oder aber einen Passwortwechsel inklusive vorgeschalteter Belehrung zum Thema Passwortsicherheit und böse Menschen erzwingt.

  7. Re: Weitere Vereinfachung

    Autor: SJ 10.09.18 - 14:58

    Irgendwo musste auch einen Schlussstrich ziehen.

    Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und die bei nem Image Hoster hochladen oder sie könnten einen Pastebin benutzen....

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 16:53

    SJ schrieb:
    > Irgendwo musste auch einen Schlussstrich ziehen.
    > Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und
    > die bei nem Image Hoster hochladen oder sie könnten einen Pastebin
    > benutzen....

    Richtig - alle Fälle wird man so wohl nie abdecken.
    Aber wenigstens die typischen Fälle sollte man schon dabeihaben, wenn man sowas einbaut.

  9. Re: Client-seitig

    Autor: Auspuffanlage 10.09.18 - 18:57

    Missingno. schrieb:
    --------------------------------------------------------------------------------
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    Muss ich den Server benutzen?

    Bei dem Client für Windows muss ja das Passwort eingegeben werden um Zugriff auf den Dienst zu bekommen.
    Ergo ist das Passwort ja sogesehen vorhanden (vielleicht nach Eingabe als gehashtes Passwort) Aber dann bestehe ja die Möglichkeit die Nachricht/ die Wörter ebenfalls zu hashen und zu gucken ob das dem Passwort entspricht. (mit dem Tipp von Sj muss ja nicht alles geprüft werden.)
    Wobei man das ja easy durch Bild oder externe Auslagerung einfach umgehen kann.

    Wird es eigentlich eine sammelklage geben?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bibliotheksservice-Zentrum Baden-Württemberg (BSZ), Konstanz
  2. ING Deutschland, Frankfurt am Main (m/w/d)
  3. über duerenhoff GmbH, Raum Münster
  4. Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth, Oldenburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,86€
  2. 23,99€
  3. (u. a. Struggling für 8,99€, Jurassic World Evolution für 11,25€, Jurassic World Evolution...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

iPad Air 2020 im Test: Apples gute Alternative zum iPad Pro
iPad Air 2020 im Test
Apples gute Alternative zum iPad Pro

Das neue iPad Air sieht aus wie ein iPad Pro, unterstützt dasselbe Zubehör, kommt mit einem guten Display und reichlich Rechenleistung. Damit ist es eine ideale Alternative für Apples teuerstes Tablet, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Tablet Apple stellt neues iPad und iPad Air vor

Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
Philips-Leuchten-Konfigurator im Test
Die schicke Leuchte aus dem 3D-Drucker

Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
Ein Test von Tobias Költzsch

  1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
  2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
  3. Signify Neue Philips-Hue-Produkte vorgestellt