1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Passwortklau: Userdaten auch von Last…

Dämliche Aufforderung

  1. Thema

Neues Thema Ansicht wechseln


  1. Dämliche Aufforderung

    Autor: __destruct() 07.06.12 - 23:45

    Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich gemacht wurde?

    Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die bereits gehashte Eingabe auch nochmal. Dann die User dazu auffordern, ihr Passwort auf den anderen Seiten zu ändern, wenn sie es noch an anderer Stelle verwenden.

    Vorteil: Sofort sind alle geklauten Passwörter auf der eigenen Seite unbrauchbar, ohne, dass jeder einzelne User reagieren muss.

  2. Re: Dämliche Aufforderung

    Autor: JP 08.06.12 - 00:16

    Wenn die mal alle Ahnung davon hätten. Bestimmt wurde irgendein Framework für die Nutzerdatenbank verwendet oder ein Freelancer hat das vor Jahren mal implementiert oder irgendein anderer Umstand, dass keiner im Unternehmen Ahnung von der Thematik hat. Sie haben nur irgendwo stehen, dass die Passwörter nicht im Klartext gespeichert werden.

    Jemanden einzustellen, der zumindest ansatzweise Ahnung davon hat, kostet Geld. Das Geld wollen die Betriebswirte meistens nicht ausgeben. Besonders nicht für den "unwahrscheinlichen" Fall, dass sie mal gehackt werden.

    Auch habe ich schon das Argument gehört, dass Passwörter nicht gehashed abgespeichert werden können, weil man sie sonst dem User nicht mehr zusenden kann, wenn er sie vergessen hat. Und das Procedere des Zurücksetzens dürfe man dem User nicht antun. Die vernünftigen Leute gehen dann kopfschüttelnd aus dem Raum/Unternehmen, aber das Unternehmen macht erfolgreich weiter.


    Bis es dann mal knallt... Aber mindestens einen Experten fest einzustellen wird dann aber meistens immer noch nicht bedacht.

    Als ich letztens gelesen habe, dass Forscher die Passwörter von 72 Millionen Yahoo anhand des Hashes analysiert haben wunderte ich mich auch irgendwie, dass Yahoo keine salted Hashes verwendet. Und dass Yahoo auch nicht selber stutzig wurde, dass Forscher anhand der Hashes die Komplexität der Passwörter analysieren konnten und sogar prozentuale Angaben machen konnten, wieviele User "123456" als Passwort verwenden. Mal davon abgesehen, dass Yahoo sowas überhaupt zulässt. Da will man den Kunden nicht aufklären und auch nicht nerven.

  3. Re: Dämliche Aufforderung

    Autor: mav1 08.06.12 - 00:18

    Die Idee fehlerhaft bzw. totaler Unfug:

    Wenn man nur alle Hashs nochmal "hashed", und auch bei der Passworteingabe dementsprechend doppelt hashed, hat man keine Sicherheit gewonnen.

    Das Problem ist, dann müssten die Hacker einfach ihre Kopie der Hashes "cracken" und könnten sich damit problemlos im neuen System einloggen. Denn das Ursprungsbild ist gleich, wird eben nur doppelt gehashed.



    2 mal bearbeitet, zuletzt am 08.06.12 00:23 durch mav1.

  4. Re: Dämliche Aufforderung

    Autor: misterjack 08.06.12 - 00:37

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die
    > bereits gehashte Eingabe auch nochmal.

    Wie schon erwähnt. Totaler Quatsch.

    Die Hashes als solches nützen erstmal garnichts, sie müssen zuerst geknackt* werden, sprich der Klartext errechnet. Jetzt kommt es darauf an, wie sehr auf Sicherheit geachtet wurde. Reines md5 ohne Salting? Sekundensache. Gesalzen? Schon besser, aber md5 ist eben nicht das Wahre. Blowfish + mehrfaches Salzen und man kann sich den Tipp mit dem Neusetzen des Passworts wirklich sparen. Die rechnen noch in ein paar Jahren, um die Klartexte herauszubekommen :)

    *Stichwort Bruteforce-Attacke

  5. Re: Dämliche Aufforderung

    Autor: fuzzy 08.06.12 - 04:59

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der
    > Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich
    > gemacht wurde?

    Weil wohl kein Salt zum Einsatz kam. Bei MD5. Deshalb. Wie man auch in wenigen Sekunden hätte recherchieren können.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deutsche Leasing AG, Bad Homburg
  2. akf bank GmbH & Co KG, Wuppertal
  3. Deutsche Rentenversicherung Bund, Berlin
  4. THE BRETTINGHAMS GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

  1. Kickstarter: Gebundener Mars-Atlas zeigt Karten des Roten Planeten
    Kickstarter
    Gebundener Mars-Atlas zeigt Karten des Roten Planeten

    The Mars-Atlas ist ein interessantes Buch: Es zeigt detaillierte Karten vom Mars statt der Erde. Mehr als 2.000 Standorte sind darauf zu sehen. Auch eine digitale Applikation wird angeboten, auf der Hobbyforscher ein 3D-Modell des Mars erkunden können - ähnlich wie bei Google Mars.

  2. 5G: Österreich sieht sich beim Mobilfunk klar vor Deutschland
    5G
    Österreich sieht sich beim Mobilfunk klar vor Deutschland

    Das schlechteste Mobilfunknetz in Österreich sei immer noch besser als das beste Netz in Deutschland, hat Wirtschaftsministerin Margarete Schramböck behauptet. Auch Messungen bestätigen das.

  3. TLS: Netgear verteilt private Schlüssel in Firmware
    TLS
    Netgear verteilt private Schlüssel in Firmware

    Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.


  1. 17:20

  2. 17:07

  3. 16:45

  4. 15:59

  5. 15:21

  6. 13:38

  7. 13:21

  8. 12:30