Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Passwortklau: Userdaten auch von Last…

Dämliche Aufforderung

  1. Thema

Neues Thema Ansicht wechseln


  1. Dämliche Aufforderung

    Autor: __destruct() 07.06.12 - 23:45

    Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich gemacht wurde?

    Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die bereits gehashte Eingabe auch nochmal. Dann die User dazu auffordern, ihr Passwort auf den anderen Seiten zu ändern, wenn sie es noch an anderer Stelle verwenden.

    Vorteil: Sofort sind alle geklauten Passwörter auf der eigenen Seite unbrauchbar, ohne, dass jeder einzelne User reagieren muss.

  2. Re: Dämliche Aufforderung

    Autor: JP 08.06.12 - 00:16

    Wenn die mal alle Ahnung davon hätten. Bestimmt wurde irgendein Framework für die Nutzerdatenbank verwendet oder ein Freelancer hat das vor Jahren mal implementiert oder irgendein anderer Umstand, dass keiner im Unternehmen Ahnung von der Thematik hat. Sie haben nur irgendwo stehen, dass die Passwörter nicht im Klartext gespeichert werden.

    Jemanden einzustellen, der zumindest ansatzweise Ahnung davon hat, kostet Geld. Das Geld wollen die Betriebswirte meistens nicht ausgeben. Besonders nicht für den "unwahrscheinlichen" Fall, dass sie mal gehackt werden.

    Auch habe ich schon das Argument gehört, dass Passwörter nicht gehashed abgespeichert werden können, weil man sie sonst dem User nicht mehr zusenden kann, wenn er sie vergessen hat. Und das Procedere des Zurücksetzens dürfe man dem User nicht antun. Die vernünftigen Leute gehen dann kopfschüttelnd aus dem Raum/Unternehmen, aber das Unternehmen macht erfolgreich weiter.


    Bis es dann mal knallt... Aber mindestens einen Experten fest einzustellen wird dann aber meistens immer noch nicht bedacht.

    Als ich letztens gelesen habe, dass Forscher die Passwörter von 72 Millionen Yahoo anhand des Hashes analysiert haben wunderte ich mich auch irgendwie, dass Yahoo keine salted Hashes verwendet. Und dass Yahoo auch nicht selber stutzig wurde, dass Forscher anhand der Hashes die Komplexität der Passwörter analysieren konnten und sogar prozentuale Angaben machen konnten, wieviele User "123456" als Passwort verwenden. Mal davon abgesehen, dass Yahoo sowas überhaupt zulässt. Da will man den Kunden nicht aufklären und auch nicht nerven.

  3. Re: Dämliche Aufforderung

    Autor: mav1 08.06.12 - 00:18

    Die Idee fehlerhaft bzw. totaler Unfug:

    Wenn man nur alle Hashs nochmal "hashed", und auch bei der Passworteingabe dementsprechend doppelt hashed, hat man keine Sicherheit gewonnen.

    Das Problem ist, dann müssten die Hacker einfach ihre Kopie der Hashes "cracken" und könnten sich damit problemlos im neuen System einloggen. Denn das Ursprungsbild ist gleich, wird eben nur doppelt gehashed.



    2 mal bearbeitet, zuletzt am 08.06.12 00:23 durch mav1.

  4. Re: Dämliche Aufforderung

    Autor: misterjack 08.06.12 - 00:37

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die
    > bereits gehashte Eingabe auch nochmal.

    Wie schon erwähnt. Totaler Quatsch.

    Die Hashes als solches nützen erstmal garnichts, sie müssen zuerst geknackt* werden, sprich der Klartext errechnet. Jetzt kommt es darauf an, wie sehr auf Sicherheit geachtet wurde. Reines md5 ohne Salting? Sekundensache. Gesalzen? Schon besser, aber md5 ist eben nicht das Wahre. Blowfish + mehrfaches Salzen und man kann sich den Tipp mit dem Neusetzen des Passworts wirklich sparen. Die rechnen noch in ein paar Jahren, um die Klartexte herauszubekommen :)

    *Stichwort Bruteforce-Attacke

  5. Re: Dämliche Aufforderung

    Autor: fuzzy 08.06.12 - 04:59

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der
    > Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich
    > gemacht wurde?

    Weil wohl kein Salt zum Einsatz kam. Bei MD5. Deshalb. Wie man auch in wenigen Sekunden hätte recherchieren können.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. GK Software SE, Schöneck/Vogtland, Sankt Ingbert
  2. SEG Automotive Germany GmbH, Stuttgart
  3. KfW Bankengruppe, Berlin
  4. operational services GmbH & Co. KG, Braunschweig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-63%) 16,99€
  2. (-12%) 52,99€
  3. 39,99€ (Release am 3. Dezember)
  4. 17,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

  1. Epic Games: Fans frustriert über mehr Grind in Fortnite
    Epic Games
    Fans frustriert über mehr Grind in Fortnite

    Nach dem Start des zweiten Kapitels von Fortnite gibt es Frust in der Community: Es ist nun noch mehr Zeitaufwand oder Geld nötig, um alle Stufen des Battle Pass freizuschalten - und dabei wirbt Epic Games mit "Mehr Spaß, weniger Grinden".

  2. FTTC: Telekom-Vectoring für rund 82.000 Haushalte
    FTTC
    Telekom-Vectoring für rund 82.000 Haushalte

    Die Telekom hat erneut viele Haushalte mit FTTC (Fiber To The Curb) versorgt. Die Ausbaugebiete für das einfache Vectoring sind weit über Deutschland verstreut.

  3. Hamburg: Bundesrat soll gegen gewollte Obsoleszenz vorgehen
    Hamburg
    Bundesrat soll gegen gewollte Obsoleszenz vorgehen

    Auf Kosten der Verbraucher und der Umwelt würden Geräte so gebaut, dass sie nicht lange hielten und nicht repariert werden könnten, kritisiert der Hamburger Justizsenator. Der Bundesrat soll geplante Obsoleszenz erschweren.


  1. 16:54

  2. 16:39

  3. 15:47

  4. 15:00

  5. 13:27

  6. 12:55

  7. 12:40

  8. 12:03