1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › MacOS High Sierra: Apple verrät…

Profis am Werk

  1. Thema

Neues Thema Ansicht wechseln


  1. Profis am Werk

    Autor: tha_specializt 06.10.17 - 17:18

    Apple speichert Passwörter in Originalform. Spitzenleistung - 10 von 10 Punkten, so macht man Computersysteme strategisch unsicher. Vermutlich finden sich in deren Datenbanken auch die hashes und salts an derselben Stelle und das master-Passwort ist "12345".



    2 mal bearbeitet, zuletzt am 06.10.17 17:20 durch tha_specializt.

  2. Re: Profis am Werk

    Autor: non_existent 06.10.17 - 17:44

    tha_specializt schrieb:
    --------------------------------------------------------------------------------
    > Apple speichert Passwörter in Originalform. Spitzenleistung - 10 von 10
    > Punkten, so macht man Computersysteme strategisch unsicher. Vermutlich
    > finden sich in deren Datenbanken auch die hashes und salts an derselben
    > Stelle und das master-Passwort ist "12345".

    Wer Passwörter im Klartext speichert, hat keine Ahnung, was Hashes sind und benutzt Salt maximal zum Kochen köstlicher Nudelgerichte.

  3. Re: Profis am Werk

    Autor: TrudleR 06.10.17 - 18:15

    collll du kenst die begrife

  4. Re: Profis am Werk

    Autor: kaymvoit 06.10.17 - 18:23

    Hm? Die Linux shadow speichert Salt und Hash in einem String. Macht man das irgendwo anders?
    Das letzte Mal habe ich das vor Jahrzehnten gesehen, als Leute ein einzelnes Salt irgendwo in der PHP-Config hatten und damit alles PWs in der Datenbank gesalzen haben.

  5. Re: Profis am Werk

    Autor: jokey2k 06.10.17 - 18:25

    Ok, also man haut das Eingabefeld per Array in ein falsches Ziel schreibt, ist genau das der Fall. Hier gehts nicht um fehlendes Salt oder was so alles zusammenphantasiert wird, sondern einfach um ein Problem von Copy&Paste

    EDIT: Es macht die Sache nicht besser, ist gefühlt immer noch eine Katastrophe aber prinzipiell ein normaler Programmierfehler und er wurde innerhalb von einem Tag behoben. Spekulieren wir, wie lange sowas bei MS oder Oracle gedauert hätte?



    1 mal bearbeitet, zuletzt am 06.10.17 18:27 durch jokey2k.

  6. Re: Profis am Werk

    Autor: TrudleR 06.10.17 - 19:00

    kaymvoit schrieb:
    --------------------------------------------------------------------------------
    > Hm? Die Linux shadow speichert Salt und Hash in einem String. Macht man das
    > irgendwo anders?
    > Das letzte Mal habe ich das vor Jahrzehnten gesehen, als Leute ein
    > einzelnes Salt irgendwo in der PHP-Config hatten und damit alles PWs in der
    > Datenbank gesalzen haben.

    Find ich auch amüsant. :)
    Der Zweck eines Saltes ist ja nur, die Passwörter schwerer "guessbar" zu machen. Wenn in der PW Datenbank 10x das PW "ölkajhsd89u4z5r9h9sdpr8zt3948t" vorkommt, weiss man vermutlich relativ schnell, dass man diese mit grosser Wahrscheinlichkeit per Rainbow-Table rausfinden kann. Sobald man eines hat, hat man direkt 10 Accounts geknackt.

    Aber jo. Es gibt viele Leute, die sogar beim Ausbuhen anderer Fehler machen. Die machen in der Regel ähnliche Fehler (imho).

  7. Re: Profis am Werk

    Autor: jayjay 06.10.17 - 20:26

    TrudleR schrieb:
    --------------------------------------------------------------------------------
    > collll du kenst die begrife


    compilation failed: 3 errors in line 1!

  8. Re: Profis am Werk

    Autor: TrudleR 06.10.17 - 21:14

    jayjay schrieb:
    --------------------------------------------------------------------------------
    > TrudleR schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > collll du kenst die begrife
    >
    > compilation failed: 3 errors in line 1!

    Punkt und Kommafehler nicht zu vergessen.

  9. Re: Profis am Werk

    Autor: Jonny Dee 06.10.17 - 21:44

    Den Salt in der Nähe des Passworts zu speichern ist eigentlich kein Problem. Der Salt soll ja in erster Line nur verhindern, dass man den Hashwert direkt in einem Rainbowtable nachschlagen kann, ohne ihn selbst noch mal berechnen zu müssen, da dessen Berechnung im Rahmen einer Bruteforce Attacke zeitlich erheblich ins Gewicht fällt. Der Salt muss also nicht unbedingt geheim gehalten werden. Aber schaden tut es natürlich auch nicht.

    Durch wiederholtes Salzen und Hashen kann man die Zeit für die Berechnung des endgültigen Hashwertes weiter verlängern, was man i.d.R. auch tun sollte. Vor allem sollte man die Anzahl der Iterationen mit der Zeit erhöhen, damit aktuelle Rechner genügend lange daran zu knabbern haben.



    1 mal bearbeitet, zuletzt am 06.10.17 21:46 durch Jonny Dee.

  10. Re: Profis am Werk

    Autor: tha_specializt 09.10.17 - 10:05

    kaymvoit schrieb:
    --------------------------------------------------------------------------------
    > Hm? Die Linux shadow speichert Salt und Hash in einem String. Macht man das
    > irgendwo anders?

    Überall dort, wo man echten Wert auf Sicherheit legt macht man es anders

    > Das letzte Mal habe ich das vor Jahrzehnten gesehen, als Leute ein
    > einzelnes Salt irgendwo in der PHP-Config hatten und damit alles PWs in der
    > Datenbank gesalzen haben.

    Ich bin mir ziemlich sicher das weder der Apple Schwachsinn noch die shadow Datei irgendwas mit diesem Sicherheitsloch in irgendeinem PHP script zu tun haben

  11. Re: Profis am Werk

    Autor: tha_specializt 09.10.17 - 13:14

    Jonny Dee schrieb:
    --------------------------------------------------------------------------------
    > sollte. Vor allem sollte man die Anzahl der Iterationen mit der Zeit
    > erhöhen, damit aktuelle Rechner genügend lange daran zu knabbern haben.

    Alternativ : Einfach nen Algorithmus wählen bei dem man einen festen Zeitwert mit angeben kann - dann dauert es immer gleich lange und man muss sich erstmal nicht mehr drum kümmern, zusätzlich dazu hat man sehr gut planbare Programmlaufzeiten und kann somit auch bedeutend zuverlässiger skalieren, falls eines Tages notwendig

    Aber all das ist vermutlich viel zu kompliziert für einen Entwickler bei Apple, bei denen muss es offensichtlich nur hübsch aussehen und "irgendwie" funktionieren

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. VSE Verteilnetz GmbH, Saarbrücken
  2. Hays AG, Nürnberg
  3. Schaeffler Digital Solutions GmbH, Chemnitz
  4. Investitionsbank Schleswig-Holstein, Kiel

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 789€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  2. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  3. 634,90€ (Bestpreis!)
  4. 369,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Thinkpad Trackpoint Keyboard 2 im Test: Tolle kompakte Tastatur für Thinkpad-Fans
Thinkpad Trackpoint Keyboard 2 im Test
Tolle kompakte Tastatur für Thinkpad-Fans

Lenovos externe Thinkpad-Tastatur bietet alle Vorteile der Tastatur eines Thinkpad-Notebooks. Sie arbeitet drahtlos und mit Akkutechnik.
Ein Test von Ingo Pakalski

  1. Thinkpad X1 Fold Das faltbare Thinkpad kommt im Oktober
  2. Thinkpad X1 Nano Lenovo macht das Carbon winzig
  3. Thinkpad E14 Gen2 (AMD) im Test Gelungener Ryzen-Laptop für 700 Euro

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet

Tutorial: Was ein On Screen Display alles kann
Tutorial
Was ein On Screen Display alles kann

Werkzeugkasten Viele PC-Spieler schwören auf ein OSD. Denn damit lassen sich Limits erkennen, die Bildqualität verbessern und Ruckler verringern.
Von Marc Sauter