1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Internetdienste: Ermittler sollen…

DSGVO verbietet Passwörter und Hash zu speichern

  1. Thema

Neues Thema Ansicht wechseln


  1. DSGVO verbietet Passwörter und Hash zu speichern

    Autor: Schönwetter E-Radler 15.12.19 - 16:43

    Weil sowohl durch die Klartextspeicherung als auch durch eine Verschlüsselung oder auch durch einen Hash (Hash-Tabelle durchsuchen ergibt blitzschnell das originale Passwort) kann man das original Passwort sehr leicht ermitteln.

    Und das ist laut DSGVO unter drakonischen Strafen verboten. Alles!

    Nach dem Stand der Technik darf man nur noch den Hash eines Passwortes, das mit einem individuellem "Salt" verfälscht wird (Individuell je Benutzer und nicht bei den Daten des Benutzers hinterlegt), speichern und bei Eingabe entsprechend prüfen. Und zwar so, das sichergestellt ist, dass Niemand das original Passwort wiederherstellen kann!
    Vor allem auch der Betreiber und seine Mitarbeiter selbst auch nicht!

    Da gängige Hash-Routinen ohne entsprechende Verfälschung mit individuellem "Salt" über simple Passwort-Hash-Datenbanken in millisekundenschnelle ermittelt werden können ist das genauso verboten wie das direkte Speichern von Passwörtern.

  2. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: kriD reD 15.12.19 - 17:34

    Richtig. Aber welcher Politiker weiß denn heute noch, was in früheren Gesetzen stand, denen er zugestimmt hat? Die meisten wissen doch nicht mal zum Zeitpunkt der Abstimmung, was in den zur Abstimmung stehenden Gesetzen eigentlich drinsteht.

  3. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: mheiland 15.12.19 - 20:30

    Gerade bei Maildiensten ist es nicht nötig das Passwort "schwach" abzulegen. Alle paar Minuten kommt irgend ein E-Mail client an und fragt nach neuen Mails. Für einen Mailbetreiber wäre es einfach, das dabei übertragene Passwort auf seiner Seite (also ohne von TLS behindert zu werden) "auszuleiten" und damit Zugriff auf entsprechende Daten zu ermöglichen. Kaum ein Consumer-Anbieter oder Client unterstützt SCRAM, OAuth-Bearer oder GSSAPI.

    Was dann aus Nutzersicht noch hilft wäre PGP oder andere Mechanismen bei denen die entsprechenden Schlüssel auf Clientseite bleiben und Nachrichten unabhängig von den Zugangsdaten verschlüsselt beim provider liegen. Die Marktpenetration von PGP ist vernachlässigbar, vermutlich aber bei "interessanten" Personengruppen überproportional hoch.



    1 mal bearbeitet, zuletzt am 15.12.19 20:44 durch mheiland.

  4. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: RicoBrassers 16.12.19 - 08:10

    Schönwetter E-Radler schrieb:
    --------------------------------------------------------------------------------
    > Nach dem Stand der Technik darf man nur noch den Hash eines Passwortes, das
    > mit einem individuellem "Salt" verfälscht wird (Individuell je Benutzer und
    > nicht bei den Daten des Benutzers hinterlegt), speichern und bei Eingabe
    > entsprechend prüfen. Und zwar so, das sichergestellt ist, dass Niemand das
    > original Passwort wiederherstellen kann!
    > Vor allem auch der Betreiber und seine Mitarbeiter selbst auch nicht!

    Der Salt MUSS aus technischer Sicht mit abgespeichert werden - und das funktioniert nunmal nur auf dem Server des Anbieters auf eine sinnvolle Art und Weise (sonst müsste der User seinen Salt bei jedem Login manuell mit angeben, schon ziemlich unpraktisch).

    Der Sinn des Salt ist es, dass zwei (abseits des Salts) identische Inputs einer Hashfunktion am Ende zwei unterschiedliche Outputs erzeugen. Eben damit ich nicht sagen kann: "Ah, Person A und B haben den gleichen Hashwert in der Passwortspalte, die haben ein identisches Passwort!"

    Und auch ein mit dem Passwort abgespeicherter Salt macht RainbowTables unbrauchbar.
    Der Salt ist (abstrakt) vergleichbar mit einem öffentlichen Schlüssel aus RSA. Er kann gerne öffentlich durchs Netz geistern, weil er dem Angreifer nicht viel bringt. Denn der muss ja sowieso noch am (hoffentlich) starken Passwort vorbei.

    Salting wurde nicht dazu konzipiert, BruteForce-Attacken einzugrenzen oder zu verhindern, sondern einzig und allein dazu, RainbowTables unbrauchbar zu machen und identische Passwörter bei unterschiedlichen Nutzern zu verschleiern (oder auch identische Passwörter vom gleichen User bei unterschiedlichen Diensten mit gleichem Hashing-Algorithmus + Parametern).

  5. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: thomas.pi 16.12.19 - 08:36

    Ich schreibe meine Systeme mittlerweile so, dass das Passwort den Client nie verlässt, sondern dass ein Crypthographisher Hash schon auf dem Client erzeugt wird und dieser Hash das Passwort darstellt. Auf dem Server wird ganz normal per bcrypt verschlüsselt. Damit kann ich das Passwort nicht einmal abfangen.

  6. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: thomas.pi 16.12.19 - 08:40

    Man könnte auch alle E-Mail GPG verschlüsselt ablegen, auch wenn die unverschlüsselt ankommen. Mit Postfix ist es nicht gerade schwer dies umzusetzen. Dann muss die Enschlüsselung aber Clientseitig durchgeführt werden, auch im Webfontend.
    Dann sind jedoch funktionen wie eine Suche nicht mehr möglich.

  7. Re: DSGVO? Na und?

    Autor: postb1 16.12.19 - 08:44

    Dann wird die DSVGO halt einfach passend zurechtgebogen. Genauso wie man es seit Jahren mit dem GG nach gutdünken macht.

  8. Re: DSGVO? Na und?

    Autor: Iruwen 16.12.19 - 09:05

    "Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit."

    Aus einer der vielen Ausnahmen und Öffnungsklauseln der DSGVO lässt sich sicher was stricken. Wenn die Kennwörter nicht direkt beim Anbieter liegen werden sie halt direkt an Vater Staat übermittelt, mittlerweile ist denen was Bürgerrechte angeht sowieso alles egal.



    2 mal bearbeitet, zuletzt am 16.12.19 09:08 durch Iruwen.

  9. Re: DSGVO? Na und?

    Autor: kriD reD 16.12.19 - 10:06

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > "Diese Verordnung findet keine Anwendung auf die Verarbeitung
    > personenbezogener Daten durch die zuständigen Behörden zum Zwecke der
    > Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der
    > Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von
    > Gefahren für die öffentliche Sicherheit."
    >
    Diese Ausnahme gilt, wenn die Ermittler die Daten besitzen. Und das ist ja ihr Problem, dass sie selbige eben noch nicht besitzen, und derjenige, von denen sie diese bekommen wollen eben auch nicht besitzt.
    Allerdings sieht der Entwurf wohl auch die Einbeziehung der Provider vor, dann wird auch der Zugriff möglich.

  10. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: wurstdings 16.12.19 - 13:45

    thomas.pi schrieb:
    --------------------------------------------------------------------------------
    > Ich schreibe meine Systeme mittlerweile so, dass das Passwort den Client
    > nie verlässt, sondern dass ein Crypthographisher Hash schon auf dem Client
    > erzeugt wird und dieser Hash das Passwort darstellt. Auf dem Server wird
    > ganz normal per bcrypt verschlüsselt. Damit kann ich das Passwort nicht
    > einmal abfangen.
    Hä, wie funktioniert dass denn? Da kann man doch einfach den Hash abfangen und zum entschlüsseln verwenden?

  11. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: thomas.pi 16.12.19 - 13:50

    ja das schon. Aber man kann das Passwort nicht bei anderen Diensten verwenden.

  12. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: wurstdings 16.12.19 - 14:00

    Aber gegen das Szenario, dass irgendwelche Dienste Zugriff auf deine Benutzerdaten über den Dienstleister anfordern hilft es überhaupt nicht. Daher war ich so verwundert, dass du es erwähnst.

  13. Re: DSGVO? Na und?

    Autor: Lanski 16.12.19 - 15:57

    postb1 schrieb:
    --------------------------------------------------------------------------------
    > Dann wird die DSVGO halt einfach passend zurechtgebogen. Genauso wie man es
    > seit Jahren mit dem GG nach gutdünken macht.

    Wieso sollte man da irgendwas zurecht biegen? Wenn die Behörden einwandfrei beweisen können, dass das Mailkonto dem Kriminellen gehört und ne richterliche Anordnung mitbringen - ändern die Anbieter das Passwort einfach manuell und geben den Behörden das aktuelle, so kann auch niemand anders schnell rein und noch Beweise vernichten.

    Theopraktisch wird damit nur der Besitzer des Accounts gewechselt von Drogenbaron auf BKA.

    Und so ist das alles Dokumentiert, der Anbieter muss den Vorfall eintragen und melden etc.
    ... Die Funktion gibts garantiert, dass die die Passwörter jederzeit zurücksetzen können, genau wie sonst überall auch. Das ist auch nirgends festgelegt, dass der Anbieter das nicht dürfte.
    Er darf sie nicht einsehen, weil Passwörter private Daten sind, aber dass er die privaten Daten nicht jederzeit löschen und ersetzen darf ist nirgends festgelegt.

    Einfach nen sauberen Ablauf schaffen, dann kanns zwar noch immer missbraucht werden, aber nicht mehr ohne, dass es auffliegt.

    Oder liege ich da falsch?

  14. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: spYro 16.12.19 - 19:19

    Verstehe den Sinn nicht so ganz.
    Du ersetzt nur das Passwort mit einem anderen (nämlich dem Hash), welches du dann sendest und auf Server-Seite weiterverarbeitest.
    Salten kannst du das Passwort lokal vermutlich schlechter bis gar nicht.
    Die Frage ist: Wozu SSL gilt bisher als ungebrochen.
    Wenn jemand oer Man in the middle attack den Datenstream abgreift, spielt deine Methode keine Rolle, weil der Hash das Passwort ist, welcher zum Login ausreicht.
    Für die Sicherheit auf Serverseite ist mittels hashing (mit dynamischem/ransom salt und für besonders kritische Bereiche auch gerne noch pepper) genügend gesorgt.
    Wo in dieser Kette siehst du mit deiner Methode mehr Sicherheit?

    LG

  15. Re: DSGVO verbietet Passwörter und Hash zu speichern

    Autor: Piyo 16.12.19 - 20:29

    thomas.pi schrieb:
    --------------------------------------------------------------------------------
    > Ich schreibe meine Systeme mittlerweile so, dass das Passwort den Client
    > nie verlässt, sondern dass ein Crypthographisher Hash schon auf dem Client
    > erzeugt wird und dieser Hash das Passwort darstellt. Auf dem Server wird
    > ganz normal per bcrypt verschlüsselt. Damit kann ich das Passwort nicht
    > einmal abfangen.

    Man kann diesen kryptographischen Hash abfangen. Wenn nur dieser übertragen wird, reicht er als Passwort für einen Datendieb vollkommen aus. Da dein Passwort ein Hashwert ist, sind dann auch Länge und Zeichenmenge bekannt – das kann u.U. ein Angriffsvektor sein.

    Kurzum: Vertrau auf TLS 1.3 statt Security neu zu implementieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Swyx Solutions GmbH, Dortmund
  2. SIZ GmbH, Bonn
  3. MVTec Software GmbH, München
  4. Schöck Bauteile GmbH, Baden-Baden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Samsung Galaxy S10 128 GB für 555€ statt 599€ im Vergleich und Sony Xperia 10 21:9 64...
  2. (u. a. HP Omen 25 FHD/144 Hz für 169€, MSI Optix MAG271CQP WQHD/144 Hz für 339€ und...
  3. 159€ (neuer Tiefpreis)
  4. 119,90€ (Vergleichspreis 148,95€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

  1. Wasserverbrauch: Musk verteidigt Gigafactory als umweltfreundlich
    Wasserverbrauch
    Musk verteidigt Gigafactory als umweltfreundlich

    Nach Kritik aus der Bevölkerung hat sich Tesla-Chef Elon Musk persönlich in die Debatte um die geplante Gigafactory für Elektroautos in Brandenburg eingeschaltet. Auch die Landesregierung sieht die Gerüchteküche brodeln.

  2. United States Space Force: Sternenflotten-artiges Logo verärgert Star-Trek-Fans
    United States Space Force
    Sternenflotten-artiges Logo verärgert Star-Trek-Fans

    Präsident Donald Trump hat das Logo der Space Force präsentiert, einer neuen Teilstreitkraft der Vereinigten Staaten. Weil das Logo der Militärsparte stark an das der Sternenflotte von Star Trek erinnert, gibt es Kritik.

  3. ROG Strix XG17AHPE: Asus zeigt USB-Monitor mit 17 Zoll und 240 Hz
    ROG Strix XG17AHPE
    Asus zeigt USB-Monitor mit 17 Zoll und 240 Hz

    Portables Display für unterwegs: Der ROG Strix XG17AHPE ist ein 17-Zöller mit 1080p-Auflösung und 240 Hz. Laut Asus eignet sich der Bildschirm für Gaming am Notebook, selbst ein Akku ist integriert.


  1. 13:15

  2. 12:50

  3. 11:43

  4. 19:34

  5. 16:40

  6. 16:03

  7. 15:37

  8. 15:12