Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Passwortklau: Userdaten auch von Last…

Dämliche Aufforderung

  1. Thema

Neues Thema Ansicht wechseln


  1. Dämliche Aufforderung

    Autor: __destruct() 07.06.12 - 23:45

    Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich gemacht wurde?

    Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die bereits gehashte Eingabe auch nochmal. Dann die User dazu auffordern, ihr Passwort auf den anderen Seiten zu ändern, wenn sie es noch an anderer Stelle verwenden.

    Vorteil: Sofort sind alle geklauten Passwörter auf der eigenen Seite unbrauchbar, ohne, dass jeder einzelne User reagieren muss.

  2. Re: Dämliche Aufforderung

    Autor: JP 08.06.12 - 00:16

    Wenn die mal alle Ahnung davon hätten. Bestimmt wurde irgendein Framework für die Nutzerdatenbank verwendet oder ein Freelancer hat das vor Jahren mal implementiert oder irgendein anderer Umstand, dass keiner im Unternehmen Ahnung von der Thematik hat. Sie haben nur irgendwo stehen, dass die Passwörter nicht im Klartext gespeichert werden.

    Jemanden einzustellen, der zumindest ansatzweise Ahnung davon hat, kostet Geld. Das Geld wollen die Betriebswirte meistens nicht ausgeben. Besonders nicht für den "unwahrscheinlichen" Fall, dass sie mal gehackt werden.

    Auch habe ich schon das Argument gehört, dass Passwörter nicht gehashed abgespeichert werden können, weil man sie sonst dem User nicht mehr zusenden kann, wenn er sie vergessen hat. Und das Procedere des Zurücksetzens dürfe man dem User nicht antun. Die vernünftigen Leute gehen dann kopfschüttelnd aus dem Raum/Unternehmen, aber das Unternehmen macht erfolgreich weiter.


    Bis es dann mal knallt... Aber mindestens einen Experten fest einzustellen wird dann aber meistens immer noch nicht bedacht.

    Als ich letztens gelesen habe, dass Forscher die Passwörter von 72 Millionen Yahoo anhand des Hashes analysiert haben wunderte ich mich auch irgendwie, dass Yahoo keine salted Hashes verwendet. Und dass Yahoo auch nicht selber stutzig wurde, dass Forscher anhand der Hashes die Komplexität der Passwörter analysieren konnten und sogar prozentuale Angaben machen konnten, wieviele User "123456" als Passwort verwenden. Mal davon abgesehen, dass Yahoo sowas überhaupt zulässt. Da will man den Kunden nicht aufklären und auch nicht nerven.

  3. Re: Dämliche Aufforderung

    Autor: mav1 08.06.12 - 00:18

    Die Idee fehlerhaft bzw. totaler Unfug:

    Wenn man nur alle Hashs nochmal "hashed", und auch bei der Passworteingabe dementsprechend doppelt hashed, hat man keine Sicherheit gewonnen.

    Das Problem ist, dann müssten die Hacker einfach ihre Kopie der Hashes "cracken" und könnten sich damit problemlos im neuen System einloggen. Denn das Ursprungsbild ist gleich, wird eben nur doppelt gehashed.



    2 mal bearbeitet, zuletzt am 08.06.12 00:23 durch mav1.

  4. Re: Dämliche Aufforderung

    Autor: misterjack 08.06.12 - 00:37

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die
    > bereits gehashte Eingabe auch nochmal.

    Wie schon erwähnt. Totaler Quatsch.

    Die Hashes als solches nützen erstmal garnichts, sie müssen zuerst geknackt* werden, sprich der Klartext errechnet. Jetzt kommt es darauf an, wie sehr auf Sicherheit geachtet wurde. Reines md5 ohne Salting? Sekundensache. Gesalzen? Schon besser, aber md5 ist eben nicht das Wahre. Blowfish + mehrfaches Salzen und man kann sich den Tipp mit dem Neusetzen des Passworts wirklich sparen. Die rechnen noch in ein paar Jahren, um die Klartexte herauszubekommen :)

    *Stichwort Bruteforce-Attacke

  5. Re: Dämliche Aufforderung

    Autor: fuzzy 08.06.12 - 04:59

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der
    > Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich
    > gemacht wurde?

    Weil wohl kein Salt zum Einsatz kam. Bei MD5. Deshalb. Wie man auch in wenigen Sekunden hätte recherchieren können.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. AOK Niedersachsen', Hannover
  2. Bechtle IT-Systemhaus GmbH, Krefeld
  3. Horváth & Partners Management Consultants, Stuttgart
  4. Art-Invest Real Estate Management GmbH & Co KG, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 399€ (Wert der Spiele rund 212€)
  2. täglich neue Deals bei Alternate.de
  3. 249,00€ + Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus
  2. Ingolstadt Audi vernetzt Autos mit Ampeln
  3. Wasserkühlung erforderlich Leistungshunger von Auto-Rechnern soll stark steigen

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades ist für alle verfügbar
  2. TES Blades im Test Tolles Tamriel trollt
  3. Bethesda TES Blades startet in den Early Access

  1. FCC: Regulierer für Übernahme von Sprint durch T-Mobile US
    FCC
    Regulierer für Übernahme von Sprint durch T-Mobile US

    Nach offenbar weitgehenden Zugeständnissen beim Netzausbau auf dem Land und bei 5G hat der Regulierer in den USA dem Kauf von Sprint zugestimmt. Für die Telekom steigen damit die Kosten.

  2. WoW Classic: Spieler verwechseln Features mit Bugs
    WoW Classic
    Spieler verwechseln Features mit Bugs

    Die Regenerationsrate des Kriegers wirkt falsch, die Hitbox der Tauren ist in World of Warcraft Classic zu groß? Klingt nach Bug, ist es aber nicht: Als Reaktion auf Meldungen von Betatestern hat Blizzard eine Liste mit Inhalten veröffentlicht, die wie Fehler wirken - aber keine sind.

  3. Deutsche Telekom: Rund 39.000 Haushalte erhalten Vectoring
    Deutsche Telekom
    Rund 39.000 Haushalte erhalten Vectoring

    Die Telekom meldet wieder einen Schritt beim Netzausbau. Vectoring sorgt laut Bundesnetzagentur dafür, dass VDSL sich zunehmend in Deutschland verbreitet.


  1. 16:27

  2. 16:14

  3. 15:59

  4. 15:15

  5. 15:00

  6. 14:38

  7. 14:23

  8. 14:08