Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Find my iPhone: Apple weiß seit…

Das ist *keine* Schwachstelle

Anzeige
  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Das ist *keine* Schwachstelle

    Autor: M. 25.09.14 - 14:10

    Dass jemand äusserst langsam einige Passwörter durchprobieren lassen kann, ohne dass der Account sofort gesperrt wird, würde ich sogar als *Feature* betrachten - wirklich, völlig ernst gemeint und ironiefrei. Ich habe ein Passwort, das man auf diesem Weg auch in 1000 Jahren nicht erraten wird. Wenn der Account allerdings nach einigen Fehlversuchen gesperrt wird, kann das jemand absichtlich ausnutzen, um den Account zu blockieren.

    SSH erlaubt auch beliebig viele Loginversuche und ist dadurch nicht unsicher.

    Das Problem besteht einzig dann, wenn einige Nutzer absolute Trivialpasswörter (wie sie auf der Liste von iBrute zu finden sind) benutzen.



    2 mal bearbeitet, zuletzt am 25.09.14 14:11 durch M..

  2. Re: Das ist *keine* Schwachstelle

    Autor: embr 25.09.14 - 14:18

    > SSH erlaubt auch beliebig viele Loginversuche und ist dadurch nicht unsicher.

    So ein Schwachsinn. SSH erlaubt, was du erlaubst - und das kann alles, oder dank sssd, pam, etc., ganz wenig sein.



    1 mal bearbeitet, zuletzt am 25.09.14 14:18 durch embr.

  3. Warum hat Apple die nicht vorhandene Schwachstelle dann inzwischen verändert?

    Autor: Differenzdiskriminator 25.09.14 - 14:19

    M. schrieb:
    --------------------------------------------------------------------------------
    > Dass jemand äusserst langsam einige Passwörter durchprobieren lassen kann,
    > ohne dass der Account sofort gesperrt wird, würde ich sogar als *Feature*
    > betrachten - wirklich, völlig ernst gemeint und ironiefrei.
    Sieht Apple selbst offensichtlich anders.

  4. Re: Das ist *keine* Schwachstelle

    Autor: M. 25.09.14 - 15:22

    Klar. Man kann auch mit fail2ban Hosts nach einer bestimmten Anzahl an Fehlversuchen blocken. Ist aber bei vernünftigen Passwörter oder PubKey-Auth komplett unnötig und hilft allenfalls, die Logs sauberzuhalten.

  5. Re: Warum hat Apple die nicht vorhandene Schwachstelle dann inzwischen verändert?

    Autor: M. 25.09.14 - 15:24

    > Sieht Apple selbst offensichtlich anders.
    Weils schlechte Publicity ist, wenn Accounts mit Trivialpasswörtern übernommen werden. Und weil Apple den goldenen Käfig pflegt und immer gerne Nutzer vor sich selbst schützen möchte. Auch wenn das als Nebeneffekt andere, erfahrene Benutzer einschränkt.

  6. Re: Warum hat Apple die nicht vorhandene Schwachstelle dann inzwischen verändert?

    Autor: Differenzdiskriminator 25.09.14 - 15:26

    M. schrieb:
    --------------------------------------------------------------------------------
    > Weils schlechte Publicity ist, wenn Accounts mit Trivialpasswörtern
    > übernommen werden.
    Also gibst du zu, dass es doch eine Sicherheitslücke ist?

    > Und weil Apple den goldenen Käfig pflegt und immer gerne
    > Nutzer vor sich selbst schützen möchte. Auch wenn das als Nebeneffekt
    > andere, erfahrene Benutzer einschränkt.
    Wodurch wirst du denn eingeschränkt?

    Sorry, das du unfähig bist dir dein Passwort zu merken ist dein Problem.

  7. Re: Warum hat Apple die nicht vorhandene Schwachstelle dann inzwischen verändert?

    Autor: M. 25.09.14 - 15:37

    > > Weils schlechte Publicity ist, wenn Accounts mit Trivialpasswörtern
    > > übernommen werden.
    > Also gibst du zu, dass es doch eine Sicherheitslücke ist?
    Nein. Genauso wenig wärs eine Sicherheitslücke, wenn man nicht erzwingen würde, dass ein Passwort eine bestimmte Länge haben und aus einem bestimmten Zeichensatz bestehen muss (solange man immer noch ein starkes Passwort wählen kann). Wenn dann jemand ein leeres Passwort wählt, ist er schlicht selbst schuld.

    Eine Sicherheitslücke wäre, wenn ein Angreifer die Authentifizierung ohne gültiges Passwort umgehen könnte.

    > Wodurch wirst du denn eingeschränkt?
    > Sorry, das du unfähig bist dir dein Passwort zu merken ist dein Problem.
    Das ist nicht das Problem. Aber jemand anderes könnte absichtlich mit meiner E-Mail-Adresse und unsinnigen Passwörtern Login-Versuche erzeugen, die zu einer temporären Accountsperrung führen. Wenn er das ständig macht, komme ich kaum dazu, den Account wieder freigeben zu lassen, bevor er wieder automatisch gesperrt wird.
    Zu vor-WhatApp/Facebook-Zeiten war das unter Skriptkiddies durchaus verbreitet, um ICQ- und MSN-Accounts aus dem vorübergehend Verkehr zu ziehen.

  8. Es *IST* eine Schwachstelle

    Autor: Differenzdiskriminator 25.09.14 - 15:44

    M. schrieb:
    --------------------------------------------------------------------------------
    > Nein.
    Ok, es ist keine Sicherheitslücke, aber Apple sieht das offensichtlich anders. Zuvor gab es nur nicht genügend Publicity, um die entsprechenden Engineeringressourcen frei zu geben.

    Wenn du dermaßen albern das Offensichtliche leugnest, macht eine Diskussion keinen Sinn.

    Und ändert nichts daran, dass deine Aussage schlichtweg falsch ist.

  9. Re: Es *IST* eine Schwachstelle

    Autor: M. 25.09.14 - 15:52

    > Ok, es ist keine Sicherheitslücke, aber Apple sieht das offensichtlich
    > anders. Zuvor gab es nur nicht genügend Publicity, um die entsprechenden
    > Engineeringressourcen frei zu geben.
    Apple *musste* was machen, nachdem Daten von iCloud-Accounts abhanden gekommen sind. Wobei immer noch unklar ist, ob das nicht doch durch Phishing geschah, was sogar deutlich wahrscheinlicher ist. Ausserdem, wie gesagt, pflegt Apple die Tradition, Benutzer vor sich selbst zu schützen.

    Übrigens ist auch die Möglichkeit zu Phishing-Angriffen keine Sicherheitslücke. Es ist auch keine Sicherheitslücke, wenn jemand 'freiwillig' ein Programm runterlädt und ausführt, das sich später als Passwort-Stealer herausstellt. Eine Lücke wäre es dann, wenn das ohne Benutzerinteraktion geschehen würde (Drive-By-Download oder Remote-Exploit).

    > Wenn du dermaßen albern das Offensichtliche leugnest, macht eine Diskussion
    > keinen Sinn.
    Du könntest auch begründen, weshalb es eine Sicherheitslücke ist, bzw. weshalb jemand gefährdet ist, der einige grundlegende Sicherheitsregeln befolgt - und dazu gehört die Wahl von sinnvollen Passwörtern ebenso wie das Misstrauen gegenüber Webseiten, die das Passwort abfragen.



    1 mal bearbeitet, zuletzt am 25.09.14 15:53 durch M..

  10. Re: Das ist *keine* Schwachstelle

    Autor: SoniX 25.09.14 - 16:06

    M. schrieb:
    --------------------------------------------------------------------------------
    > Wenn der Account allerdings nach einigen Fehlversuchen gesperrt wird, kann
    > das jemand absichtlich ausnutzen, um den Account zu blockieren.

    Naja, man sollte halt nur die eine IP sperren welche gerade zugreifen will.

    Sonst gebe ich dir schon wo recht. Sicherheitslücke ansich ists nicht.

  11. Re: Es *IST* eine Schwachstelle

    Autor: Differenzdiskriminator 25.09.14 - 16:10

    M. schrieb:
    --------------------------------------------------------------------------------
    > Apple *musste* was machen, nachdem Daten von iCloud-Accounts abhanden
    > gekommen sind.
    Nein, natürlich mussten sie nichts machen, wenn die iCloud sicher gewesen WÄRE.

    Womit somit klar ist, dass eine Sicherheitslücke vorliegt.

    Entweder oder. Es gibt kein Grau dazwischen. Entweder es ist eine Sicherheitslücke oder es ist keine. Durch die Tat hat Apple selbst den Beleg dafür geliefert, was es ist - eine Sicherheitslücke.

  12. Re: Es *IST* eine Schwachstelle

    Autor: Brainfreeze 25.09.14 - 16:11

    M. schrieb:
    --------------------------------------------------------------------------------
    > Du könntest auch begründen, weshalb es eine Sicherheitslücke ist, bzw.
    > weshalb jemand gefährdet ist, der einige grundlegende Sicherheitsregeln
    > befolgt - und dazu gehört die Wahl von sinnvollen Passwörtern ebenso wie
    > das Misstrauen gegenüber Webseiten, die das Passwort abfragen.
    Ich verstehe auch nicht, wieso Du dich so gegen den Begriff "Sicherheitslücke" hier sperrst.
    Wenn Apple einem hier keine Begrenzung bei den LogIn-Versuchen vorgibt, ist es doch theoretisch möglich, auch das beste Passwort durch Ausprobieren zu erraten. Auch wenn es rein rechnerisch je nach Passwortstärke millionen oder milliarden Jahre dauern könnte, ALLE Kombinationen durchzugehen, kann der Treffer schon deutlich früher gelingen. Und das ist eine Lücke in der Sicherheit beim iCloud-Login (oder anders formuliert: eine Sicherheitslücke ;-)

  13. Re: Das ist *keine* Schwachstelle

    Autor: M. 25.09.14 - 16:12

    > Naja, man sollte halt nur die eine IP sperren welche gerade zugreifen will.
    Dann hilft die Massnahme aber auch wieder wenig, weil man dann Tor, offene Proxies (das ist ein Webservice! HTTP-Proxy reicht) oder Botnetze einsetzen kann, was man mit kriminellen Absichten vermutlich sowieso tun wird.

    Ausserdem wäre das immer noch kein zuverlässiger Schutz gegen einen DoS, weil man die Loginversuche vermutlich auch per XSRF auslösen kann.

  14. Re: Das ist *keine* Schwachstelle

    Autor: Brainfreeze 25.09.14 - 16:13

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > M. schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn der Account allerdings nach einigen Fehlversuchen gesperrt wird,
    > kann
    > > das jemand absichtlich ausnutzen, um den Account zu blockieren.
    >
    > Naja, man sollte halt nur die eine IP sperren welche gerade zugreifen will.
    >
    > Sonst gebe ich dir schon wo recht. Sicherheitslücke ansich ists nicht.
    Und wie würdest Du es dann nennen?

  15. Re: Das ist *keine* Schwachstelle

    Autor: Differenzdiskriminator 25.09.14 - 16:16

    M. schrieb:
    --------------------------------------------------------------------------------
    > Dann hilft die Massnahme aber auch wieder wenig, weil man dann Tor, offene
    > Proxies (das ist ein Webservice! HTTP-Proxy reicht) oder Botnetze einsetzen
    > kann, was man mit kriminellen Absichten vermutlich sowieso tun wird.`
    Du kannst auch alle IP-Adressen der Welt sperren für einen Account - solange DEINE IP nicht gesperrt ist, ist der Impact für dich gleich Null.

    Argument also nichtig.

    > Ausserdem wäre das immer noch kein zuverlässiger Schutz gegen einen DoS,
    > weil man die Loginversuche vermutlich auch per XSRF auslösen kann.
    Dagegen hat Apple keinen Schutz?

    Aua. Wird ja immer gruseliger.

  16. Re: Es *IST* eine Schwachstelle

    Autor: M. 25.09.14 - 16:27

    > Wenn Apple einem hier keine Begrenzung bei den LogIn-Versuchen vorgibt, ist
    > es doch theoretisch möglich, auch das beste Passwort durch Ausprobieren zu
    > erraten. Auch wenn es rein rechnerisch je nach Passwortstärke millionen
    > oder milliarden Jahre dauern könnte, ALLE Kombinationen durchzugehen, kann
    > der Treffer schon deutlich früher gelingen.
    Ja, auch beim ersten Versuch ... aber dann würde eine Beschränkung der Versuche wiederum nichts bringen ;-)

    Es ist natürlich eine Frage der Wahrscheinlichkeit. Wenn man ein gutes Passwort wählt, könnte man z.B. eine Aussage machen wie 'Die Wahrscheinlichkeit, das Passwort innerhalb von 1000 Jahren durch zufälliges Ausprobieren zu erraten, ist < 1e-10'.

    Genauso könnte man übrigens auch die Wahrscheinlichkeit dafür ausrechnen, den Key für die Verschlüsselung meiner Festplatte zu knacken. Da hat man auch beliebig viele Versuche und sogar eine sehr viel höhere Testrate. Eine Schwachstelle ist das trotzdem nicht.

    > Und das ist eine Lücke in der
    > Sicherheit beim iCloud-Login (oder anders formuliert: eine Sicherheitslücke
    > ;-)
    Nein, weil es Passwörter nicht signifikant schwächt.



    1 mal bearbeitet, zuletzt am 25.09.14 16:28 durch M..

  17. Re: Das ist *keine* Schwachstelle

    Autor: SoniX 25.09.14 - 16:29

    Habe ich beim Verfassen der Nachricht auch überlegt :-)

    Bin zu keinem Schluss gekommen.

    Vernachlässigte Sicherheitsvorschrift vll.

  18. Ist das Wort "Lücke" das Problem?

    Autor: Anonymer Nutzer 25.09.14 - 17:28

    Ich lese Deine Beiträge und frage mich wo Dein Problem liegt?

    Ist es das Wort "Lücke"? Man könnte sich ja auf den Standpunkt stellen das Apples Server definitiv nur Zugriffe mit korrektem Passwort zugelassen haben. Somit könnte man mit etwas Wortklauberei zum Standpunkt gelangen das es sich nicht um eine "Lücke" handelt.

    Ich würde vorschlagen es dann einfach Sicherheits-"Problem" zu nennen. Denn das die Möglichkeit unendlich viele Passwörter auszuprobieren die Sicherheit des Accounts gefährdet sollte ja unbestritten sein.

  19. Re: Ist das Wort "Lücke" das Problem?

    Autor: M. 25.09.14 - 18:01

    > Ich würde vorschlagen es dann einfach Sicherheits-"Problem" zu nennen. Denn
    > das die Möglichkeit unendlich viele Passwörter auszuprobieren die
    > Sicherheit des Accounts gefährdet sollte ja unbestritten sein.
    Nein, genau das bestreite ich, unter der Voraussetzung, dass nicht sowieso bereits ein lächerlich schwaches Passwort verwendet wurde. Wer meinen Laptop klaut oder eine externe Festplatte klaut, hat auch beliebig viele Versuche, das Passwort für die Verschlüsselung zu erraten. Er kann es sogar beliebig parallelisieren und beliebig viel Hardware draufwerfen. Er wird scheitern. Dasselbe gilt auch für meine anderen Accounts - selbst mit beliebig vielen Versuchen und praktisch beliebig hohen Testraten (selbst bei ~1e10 Passwörter/Sek - für einen Online-Angriff sind aber eher 1e3/s gerade noch so realistisch).

    Wenn ein Online-Angriff mit einigen Hundert Versuchen pro Sekunde gelingt, dann war das Passwort einfach nur lächerlich schwach. Das ist mein Punkt. Die Abhilfe sollte nun aber nicht sein, die Anzahl der Versuche einzuschränken - viel mehr muss jeder selbst Verantwortung übernehmen und ernstzunehmende Passwörter wählen.



    1 mal bearbeitet, zuletzt am 25.09.14 18:02 durch M..

  20. Re: Ist das Wort "Lücke" das Problem?

    Autor: Anonymer Nutzer 25.09.14 - 18:30

    > > das die Möglichkeit unendlich viele Passwörter auszuprobieren die
    > > Sicherheit des Accounts gefährdet sollte ja unbestritten sein.
    > Nein, genau das bestreite ich, unter der Voraussetzung, dass nicht sowieso
    > bereits ein lächerlich schwaches Passwort verwendet wurde.

    Das ist etwas kurz gedacht! Nehmen wir an es waren sehr einfache Passwörter. Auch einfache Passwörter gibt es sehr viele. Der Angreifer kann ja nicht ahnen ob das Passwort "password", "XYZ", "ABC" oder "susi" lautet. Dafür muss er ausprobieren. Wenn nach 5 Versuchen Schluss ist ist er gescheitert. Die Wahrscheinlichkeit ein kompliziertes Passwort zu erraten ist geringer. Aber mit nur wenigen Versuchen kannst du auch die einfachen Passwörter nicht erraten!

  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. dbh Logistics IT AG, Bremen
  2. Deutsche Telekom AG, verschiedene Standorte
  3. Bechtle IT-Systemhaus GmbH, Düsseldorf, Krefeld
  4. SYNLAB Holding Deutschland GmbH, Augsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-46%) 26,99€
  2. (-20%) 35,99€
  3. ab 47,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Spieleklassiker: Mafia digital bei GoG erhältlich
    Spieleklassiker
    Mafia digital bei GoG erhältlich

    Wer bisher den ersten Mafia-Teil mit einem aktuellen Windows-Betriebssystem am PC spielen wollte, benötigte eine spezielle DVD- oder die nicht mehr verfügbare Steam-Version. Bei GoG gibt es nun eine DRM-freie Ausgabe des Spieleklassikers, wenngleich einzig in Englisch und ohne die stimmungsvolle 30er-Jahre-Musik.

  2. Air-Berlin-Insolvenz: Bundesbeamte müssen videotelefonieren statt zu fliegen
    Air-Berlin-Insolvenz
    Bundesbeamte müssen videotelefonieren statt zu fliegen

    Die Air-Berlin-Pleite sorgt gezwungenermaßen für ein Umdenken in der Verwaltung. Statt teurer und nun auch langwieriger Dienstreisen per Zug sollen die Beamten mehr Videokonferenzen abhalten. Unumstritten ist der Einsatz von modernen Kommunikationsmethoden jedoch keineswegs.

  3. Fraport: Autonomer Bus im dichten Verkehr auf dem Flughafen
    Fraport
    Autonomer Bus im dichten Verkehr auf dem Flughafen

    Die R+V-Versicherung und Fraport testen auf dem Gelände Flughafen Frankfurt einen kleinen autonomen Elektrobus, der nicht etwa auf einem abgesperrten Gelände, sondern auf einer belebten Straße fährt. Dabei handelt es sich allerdings nicht um eine öffentliche Straße.


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00