Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Find my iPhone: Apple weiß seit…

Das ist *keine* Schwachstelle

Anzeige
  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Das ist *keine* Schwachstelle

    Autor: M. 25.09.14 - 14:10

    Dass jemand äusserst langsam einige Passwörter durchprobieren lassen kann, ohne dass der Account sofort gesperrt wird, würde ich sogar als *Feature* betrachten - wirklich, völlig ernst gemeint und ironiefrei. Ich habe ein Passwort, das man auf diesem Weg auch in 1000 Jahren nicht erraten wird. Wenn der Account allerdings nach einigen Fehlversuchen gesperrt wird, kann das jemand absichtlich ausnutzen, um den Account zu blockieren.

    SSH erlaubt auch beliebig viele Loginversuche und ist dadurch nicht unsicher.

    Das Problem besteht einzig dann, wenn einige Nutzer absolute Trivialpasswörter (wie sie auf der Liste von iBrute zu finden sind) benutzen.



    2 mal bearbeitet, zuletzt am 25.09.14 14:11 durch M..

  2. Re: Das ist *keine* Schwachstelle

    Autor: embr 25.09.14 - 14:18

    > SSH erlaubt auch beliebig viele Loginversuche und ist dadurch nicht unsicher.

    So ein Schwachsinn. SSH erlaubt, was du erlaubst - und das kann alles, oder dank sssd, pam, etc., ganz wenig sein.



    1 mal bearbeitet, zuletzt am 25.09.14 14:18 durch embr.

  3. Warum hat Apple die nicht vorhandene Schwachstelle dann inzwischen verändert?

    Autor: Differenzdiskriminator 25.09.14 - 14:19

    M. schrieb:
    --------------------------------------------------------------------------------
    > Dass jemand äusserst langsam einige Passwörter durchprobieren lassen kann,
    > ohne dass der Account sofort gesperrt wird, würde ich sogar als *Feature*
    > betrachten - wirklich, völlig ernst gemeint und ironiefrei.
    Sieht Apple selbst offensichtlich anders.

  4. Re: Das ist *keine* Schwachstelle

    Autor: M. 25.09.14 - 15:22

    Klar. Man kann auch mit fail2ban Hosts nach einer bestimmten Anzahl an Fehlversuchen blocken. Ist aber bei vernünftigen Passwörter oder PubKey-Auth komplett unnötig und hilft allenfalls, die Logs sauberzuhalten.

  5. Re: Warum hat Apple die nicht vorhandene Schwachstelle dann inzwischen verändert?

    Autor: M. 25.09.14 - 15:24

    > Sieht Apple selbst offensichtlich anders.
    Weils schlechte Publicity ist, wenn Accounts mit Trivialpasswörtern übernommen werden. Und weil Apple den goldenen Käfig pflegt und immer gerne Nutzer vor sich selbst schützen möchte. Auch wenn das als Nebeneffekt andere, erfahrene Benutzer einschränkt.

  6. Re: Warum hat Apple die nicht vorhandene Schwachstelle dann inzwischen verändert?

    Autor: Differenzdiskriminator 25.09.14 - 15:26

    M. schrieb:
    --------------------------------------------------------------------------------
    > Weils schlechte Publicity ist, wenn Accounts mit Trivialpasswörtern
    > übernommen werden.
    Also gibst du zu, dass es doch eine Sicherheitslücke ist?

    > Und weil Apple den goldenen Käfig pflegt und immer gerne
    > Nutzer vor sich selbst schützen möchte. Auch wenn das als Nebeneffekt
    > andere, erfahrene Benutzer einschränkt.
    Wodurch wirst du denn eingeschränkt?

    Sorry, das du unfähig bist dir dein Passwort zu merken ist dein Problem.

  7. Re: Warum hat Apple die nicht vorhandene Schwachstelle dann inzwischen verändert?

    Autor: M. 25.09.14 - 15:37

    > > Weils schlechte Publicity ist, wenn Accounts mit Trivialpasswörtern
    > > übernommen werden.
    > Also gibst du zu, dass es doch eine Sicherheitslücke ist?
    Nein. Genauso wenig wärs eine Sicherheitslücke, wenn man nicht erzwingen würde, dass ein Passwort eine bestimmte Länge haben und aus einem bestimmten Zeichensatz bestehen muss (solange man immer noch ein starkes Passwort wählen kann). Wenn dann jemand ein leeres Passwort wählt, ist er schlicht selbst schuld.

    Eine Sicherheitslücke wäre, wenn ein Angreifer die Authentifizierung ohne gültiges Passwort umgehen könnte.

    > Wodurch wirst du denn eingeschränkt?
    > Sorry, das du unfähig bist dir dein Passwort zu merken ist dein Problem.
    Das ist nicht das Problem. Aber jemand anderes könnte absichtlich mit meiner E-Mail-Adresse und unsinnigen Passwörtern Login-Versuche erzeugen, die zu einer temporären Accountsperrung führen. Wenn er das ständig macht, komme ich kaum dazu, den Account wieder freigeben zu lassen, bevor er wieder automatisch gesperrt wird.
    Zu vor-WhatApp/Facebook-Zeiten war das unter Skriptkiddies durchaus verbreitet, um ICQ- und MSN-Accounts aus dem vorübergehend Verkehr zu ziehen.

  8. Es *IST* eine Schwachstelle

    Autor: Differenzdiskriminator 25.09.14 - 15:44

    M. schrieb:
    --------------------------------------------------------------------------------
    > Nein.
    Ok, es ist keine Sicherheitslücke, aber Apple sieht das offensichtlich anders. Zuvor gab es nur nicht genügend Publicity, um die entsprechenden Engineeringressourcen frei zu geben.

    Wenn du dermaßen albern das Offensichtliche leugnest, macht eine Diskussion keinen Sinn.

    Und ändert nichts daran, dass deine Aussage schlichtweg falsch ist.

  9. Re: Es *IST* eine Schwachstelle

    Autor: M. 25.09.14 - 15:52

    > Ok, es ist keine Sicherheitslücke, aber Apple sieht das offensichtlich
    > anders. Zuvor gab es nur nicht genügend Publicity, um die entsprechenden
    > Engineeringressourcen frei zu geben.
    Apple *musste* was machen, nachdem Daten von iCloud-Accounts abhanden gekommen sind. Wobei immer noch unklar ist, ob das nicht doch durch Phishing geschah, was sogar deutlich wahrscheinlicher ist. Ausserdem, wie gesagt, pflegt Apple die Tradition, Benutzer vor sich selbst zu schützen.

    Übrigens ist auch die Möglichkeit zu Phishing-Angriffen keine Sicherheitslücke. Es ist auch keine Sicherheitslücke, wenn jemand 'freiwillig' ein Programm runterlädt und ausführt, das sich später als Passwort-Stealer herausstellt. Eine Lücke wäre es dann, wenn das ohne Benutzerinteraktion geschehen würde (Drive-By-Download oder Remote-Exploit).

    > Wenn du dermaßen albern das Offensichtliche leugnest, macht eine Diskussion
    > keinen Sinn.
    Du könntest auch begründen, weshalb es eine Sicherheitslücke ist, bzw. weshalb jemand gefährdet ist, der einige grundlegende Sicherheitsregeln befolgt - und dazu gehört die Wahl von sinnvollen Passwörtern ebenso wie das Misstrauen gegenüber Webseiten, die das Passwort abfragen.



    1 mal bearbeitet, zuletzt am 25.09.14 15:53 durch M..

  10. Re: Das ist *keine* Schwachstelle

    Autor: SoniX 25.09.14 - 16:06

    M. schrieb:
    --------------------------------------------------------------------------------
    > Wenn der Account allerdings nach einigen Fehlversuchen gesperrt wird, kann
    > das jemand absichtlich ausnutzen, um den Account zu blockieren.

    Naja, man sollte halt nur die eine IP sperren welche gerade zugreifen will.

    Sonst gebe ich dir schon wo recht. Sicherheitslücke ansich ists nicht.

  11. Re: Es *IST* eine Schwachstelle

    Autor: Differenzdiskriminator 25.09.14 - 16:10

    M. schrieb:
    --------------------------------------------------------------------------------
    > Apple *musste* was machen, nachdem Daten von iCloud-Accounts abhanden
    > gekommen sind.
    Nein, natürlich mussten sie nichts machen, wenn die iCloud sicher gewesen WÄRE.

    Womit somit klar ist, dass eine Sicherheitslücke vorliegt.

    Entweder oder. Es gibt kein Grau dazwischen. Entweder es ist eine Sicherheitslücke oder es ist keine. Durch die Tat hat Apple selbst den Beleg dafür geliefert, was es ist - eine Sicherheitslücke.

  12. Re: Es *IST* eine Schwachstelle

    Autor: Brainfreeze 25.09.14 - 16:11

    M. schrieb:
    --------------------------------------------------------------------------------
    > Du könntest auch begründen, weshalb es eine Sicherheitslücke ist, bzw.
    > weshalb jemand gefährdet ist, der einige grundlegende Sicherheitsregeln
    > befolgt - und dazu gehört die Wahl von sinnvollen Passwörtern ebenso wie
    > das Misstrauen gegenüber Webseiten, die das Passwort abfragen.
    Ich verstehe auch nicht, wieso Du dich so gegen den Begriff "Sicherheitslücke" hier sperrst.
    Wenn Apple einem hier keine Begrenzung bei den LogIn-Versuchen vorgibt, ist es doch theoretisch möglich, auch das beste Passwort durch Ausprobieren zu erraten. Auch wenn es rein rechnerisch je nach Passwortstärke millionen oder milliarden Jahre dauern könnte, ALLE Kombinationen durchzugehen, kann der Treffer schon deutlich früher gelingen. Und das ist eine Lücke in der Sicherheit beim iCloud-Login (oder anders formuliert: eine Sicherheitslücke ;-)

  13. Re: Das ist *keine* Schwachstelle

    Autor: M. 25.09.14 - 16:12

    > Naja, man sollte halt nur die eine IP sperren welche gerade zugreifen will.
    Dann hilft die Massnahme aber auch wieder wenig, weil man dann Tor, offene Proxies (das ist ein Webservice! HTTP-Proxy reicht) oder Botnetze einsetzen kann, was man mit kriminellen Absichten vermutlich sowieso tun wird.

    Ausserdem wäre das immer noch kein zuverlässiger Schutz gegen einen DoS, weil man die Loginversuche vermutlich auch per XSRF auslösen kann.

  14. Re: Das ist *keine* Schwachstelle

    Autor: Brainfreeze 25.09.14 - 16:13

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > M. schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn der Account allerdings nach einigen Fehlversuchen gesperrt wird,
    > kann
    > > das jemand absichtlich ausnutzen, um den Account zu blockieren.
    >
    > Naja, man sollte halt nur die eine IP sperren welche gerade zugreifen will.
    >
    > Sonst gebe ich dir schon wo recht. Sicherheitslücke ansich ists nicht.
    Und wie würdest Du es dann nennen?

  15. Re: Das ist *keine* Schwachstelle

    Autor: Differenzdiskriminator 25.09.14 - 16:16

    M. schrieb:
    --------------------------------------------------------------------------------
    > Dann hilft die Massnahme aber auch wieder wenig, weil man dann Tor, offene
    > Proxies (das ist ein Webservice! HTTP-Proxy reicht) oder Botnetze einsetzen
    > kann, was man mit kriminellen Absichten vermutlich sowieso tun wird.`
    Du kannst auch alle IP-Adressen der Welt sperren für einen Account - solange DEINE IP nicht gesperrt ist, ist der Impact für dich gleich Null.

    Argument also nichtig.

    > Ausserdem wäre das immer noch kein zuverlässiger Schutz gegen einen DoS,
    > weil man die Loginversuche vermutlich auch per XSRF auslösen kann.
    Dagegen hat Apple keinen Schutz?

    Aua. Wird ja immer gruseliger.

  16. Re: Es *IST* eine Schwachstelle

    Autor: M. 25.09.14 - 16:27

    > Wenn Apple einem hier keine Begrenzung bei den LogIn-Versuchen vorgibt, ist
    > es doch theoretisch möglich, auch das beste Passwort durch Ausprobieren zu
    > erraten. Auch wenn es rein rechnerisch je nach Passwortstärke millionen
    > oder milliarden Jahre dauern könnte, ALLE Kombinationen durchzugehen, kann
    > der Treffer schon deutlich früher gelingen.
    Ja, auch beim ersten Versuch ... aber dann würde eine Beschränkung der Versuche wiederum nichts bringen ;-)

    Es ist natürlich eine Frage der Wahrscheinlichkeit. Wenn man ein gutes Passwort wählt, könnte man z.B. eine Aussage machen wie 'Die Wahrscheinlichkeit, das Passwort innerhalb von 1000 Jahren durch zufälliges Ausprobieren zu erraten, ist < 1e-10'.

    Genauso könnte man übrigens auch die Wahrscheinlichkeit dafür ausrechnen, den Key für die Verschlüsselung meiner Festplatte zu knacken. Da hat man auch beliebig viele Versuche und sogar eine sehr viel höhere Testrate. Eine Schwachstelle ist das trotzdem nicht.

    > Und das ist eine Lücke in der
    > Sicherheit beim iCloud-Login (oder anders formuliert: eine Sicherheitslücke
    > ;-)
    Nein, weil es Passwörter nicht signifikant schwächt.



    1 mal bearbeitet, zuletzt am 25.09.14 16:28 durch M..

  17. Re: Das ist *keine* Schwachstelle

    Autor: SoniX 25.09.14 - 16:29

    Habe ich beim Verfassen der Nachricht auch überlegt :-)

    Bin zu keinem Schluss gekommen.

    Vernachlässigte Sicherheitsvorschrift vll.

  18. Ist das Wort "Lücke" das Problem?

    Autor: Anonymer Nutzer 25.09.14 - 17:28

    Ich lese Deine Beiträge und frage mich wo Dein Problem liegt?

    Ist es das Wort "Lücke"? Man könnte sich ja auf den Standpunkt stellen das Apples Server definitiv nur Zugriffe mit korrektem Passwort zugelassen haben. Somit könnte man mit etwas Wortklauberei zum Standpunkt gelangen das es sich nicht um eine "Lücke" handelt.

    Ich würde vorschlagen es dann einfach Sicherheits-"Problem" zu nennen. Denn das die Möglichkeit unendlich viele Passwörter auszuprobieren die Sicherheit des Accounts gefährdet sollte ja unbestritten sein.

  19. Re: Ist das Wort "Lücke" das Problem?

    Autor: M. 25.09.14 - 18:01

    > Ich würde vorschlagen es dann einfach Sicherheits-"Problem" zu nennen. Denn
    > das die Möglichkeit unendlich viele Passwörter auszuprobieren die
    > Sicherheit des Accounts gefährdet sollte ja unbestritten sein.
    Nein, genau das bestreite ich, unter der Voraussetzung, dass nicht sowieso bereits ein lächerlich schwaches Passwort verwendet wurde. Wer meinen Laptop klaut oder eine externe Festplatte klaut, hat auch beliebig viele Versuche, das Passwort für die Verschlüsselung zu erraten. Er kann es sogar beliebig parallelisieren und beliebig viel Hardware draufwerfen. Er wird scheitern. Dasselbe gilt auch für meine anderen Accounts - selbst mit beliebig vielen Versuchen und praktisch beliebig hohen Testraten (selbst bei ~1e10 Passwörter/Sek - für einen Online-Angriff sind aber eher 1e3/s gerade noch so realistisch).

    Wenn ein Online-Angriff mit einigen Hundert Versuchen pro Sekunde gelingt, dann war das Passwort einfach nur lächerlich schwach. Das ist mein Punkt. Die Abhilfe sollte nun aber nicht sein, die Anzahl der Versuche einzuschränken - viel mehr muss jeder selbst Verantwortung übernehmen und ernstzunehmende Passwörter wählen.



    1 mal bearbeitet, zuletzt am 25.09.14 18:02 durch M..

  20. Re: Ist das Wort "Lücke" das Problem?

    Autor: Anonymer Nutzer 25.09.14 - 18:30

    > > das die Möglichkeit unendlich viele Passwörter auszuprobieren die
    > > Sicherheit des Accounts gefährdet sollte ja unbestritten sein.
    > Nein, genau das bestreite ich, unter der Voraussetzung, dass nicht sowieso
    > bereits ein lächerlich schwaches Passwort verwendet wurde.

    Das ist etwas kurz gedacht! Nehmen wir an es waren sehr einfache Passwörter. Auch einfache Passwörter gibt es sehr viele. Der Angreifer kann ja nicht ahnen ob das Passwort "password", "XYZ", "ABC" oder "susi" lautet. Dafür muss er ausprobieren. Wenn nach 5 Versuchen Schluss ist ist er gescheitert. Die Wahrscheinlichkeit ein kompliziertes Passwort zu erraten ist geringer. Aber mit nur wenigen Versuchen kannst du auch die einfachen Passwörter nicht erraten!

  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Wilken Neutrasoft GmbH, Greven bei Münster/Westfalen
  3. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn
  4. GK Software AG, Schöneck/Vogtland

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kingdom Come Deliverance angespielt: Und täglich grüßt das Mittelalter
Kingdom Come Deliverance angespielt
Und täglich grüßt das Mittelalter

E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Fuso eCanter Daimler liefert erste Elektro-Lkw aus
  2. Sattelschlepper Thor ET-One soll Teslas Elektro-Lkw Konkurrenz machen
  3. Einkaufen und Laden Kostenlose Elektroauto-Ladesäulen mit 50 kW bei Kaufland

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

  1. GTA 5: Goldener Revolver für Red Dead Redemption 2 versteckt
    GTA 5
    Goldener Revolver für Red Dead Redemption 2 versteckt

    Es gibt die erste Extrawaffe für Red Dead Redemption 2: Nicht Vorbesteller, sondern findige Konsolenspieler können einen goldenen Revolver im Onlinemodus von GTA 5 freispielen und ihn dann später auch im Wild-West-Spektakel von Rockstar Games verwenden.

  2. Geldwäsche: EU will den Bitcoin weniger anonym machen
    Geldwäsche
    EU will den Bitcoin weniger anonym machen

    Mit dem Kampf gegen Terrorismusfinanzierung begründet die EU neue Maßnahmen, durch die etwa Bitcoin-Verkaufsplattformen die Identität ihrer Kunden besser überprüfen müssen.

  3. Soziale Medien: Facebook-Forscher finden Facebook problematisch
    Soziale Medien
    Facebook-Forscher finden Facebook problematisch

    Schlechte Laune, aber auch ernsthafte Erkrankungen wie Depressionen: Forscher von Facebook haben sich zu den Risiken des Netzwerks für die geistige Gesundheit geäußert. Wer den Gefahren entgehen möchte, müsse ihrer Meinung nach nicht abschalten - sondern besonders aktiv sein.


  1. 14:17

  2. 13:34

  3. 12:33

  4. 11:38

  5. 10:34

  6. 08:00

  7. 12:47

  8. 11:39