1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Passwortklau: Userdaten auch von Last…

Dämliche Aufforderung

  1. Thema

Neues Thema Ansicht wechseln


  1. Dämliche Aufforderung

    Autor: __destruct() 07.06.12 - 23:45

    Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich gemacht wurde?

    Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die bereits gehashte Eingabe auch nochmal. Dann die User dazu auffordern, ihr Passwort auf den anderen Seiten zu ändern, wenn sie es noch an anderer Stelle verwenden.

    Vorteil: Sofort sind alle geklauten Passwörter auf der eigenen Seite unbrauchbar, ohne, dass jeder einzelne User reagieren muss.

  2. Re: Dämliche Aufforderung

    Autor: JP 08.06.12 - 00:16

    Wenn die mal alle Ahnung davon hätten. Bestimmt wurde irgendein Framework für die Nutzerdatenbank verwendet oder ein Freelancer hat das vor Jahren mal implementiert oder irgendein anderer Umstand, dass keiner im Unternehmen Ahnung von der Thematik hat. Sie haben nur irgendwo stehen, dass die Passwörter nicht im Klartext gespeichert werden.

    Jemanden einzustellen, der zumindest ansatzweise Ahnung davon hat, kostet Geld. Das Geld wollen die Betriebswirte meistens nicht ausgeben. Besonders nicht für den "unwahrscheinlichen" Fall, dass sie mal gehackt werden.

    Auch habe ich schon das Argument gehört, dass Passwörter nicht gehashed abgespeichert werden können, weil man sie sonst dem User nicht mehr zusenden kann, wenn er sie vergessen hat. Und das Procedere des Zurücksetzens dürfe man dem User nicht antun. Die vernünftigen Leute gehen dann kopfschüttelnd aus dem Raum/Unternehmen, aber das Unternehmen macht erfolgreich weiter.


    Bis es dann mal knallt... Aber mindestens einen Experten fest einzustellen wird dann aber meistens immer noch nicht bedacht.

    Als ich letztens gelesen habe, dass Forscher die Passwörter von 72 Millionen Yahoo anhand des Hashes analysiert haben wunderte ich mich auch irgendwie, dass Yahoo keine salted Hashes verwendet. Und dass Yahoo auch nicht selber stutzig wurde, dass Forscher anhand der Hashes die Komplexität der Passwörter analysieren konnten und sogar prozentuale Angaben machen konnten, wieviele User "123456" als Passwort verwenden. Mal davon abgesehen, dass Yahoo sowas überhaupt zulässt. Da will man den Kunden nicht aufklären und auch nicht nerven.

  3. Re: Dämliche Aufforderung

    Autor: mav1 08.06.12 - 00:18

    Die Idee fehlerhaft bzw. totaler Unfug:

    Wenn man nur alle Hashs nochmal "hashed", und auch bei der Passworteingabe dementsprechend doppelt hashed, hat man keine Sicherheit gewonnen.

    Das Problem ist, dann müssten die Hacker einfach ihre Kopie der Hashes "cracken" und könnten sich damit problemlos im neuen System einloggen. Denn das Ursprungsbild ist gleich, wird eben nur doppelt gehashed.



    2 mal bearbeitet, zuletzt am 08.06.12 00:23 durch mav1.

  4. Re: Dämliche Aufforderung

    Autor: misterjack 08.06.12 - 00:37

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die
    > bereits gehashte Eingabe auch nochmal.

    Wie schon erwähnt. Totaler Quatsch.

    Die Hashes als solches nützen erstmal garnichts, sie müssen zuerst geknackt* werden, sprich der Klartext errechnet. Jetzt kommt es darauf an, wie sehr auf Sicherheit geachtet wurde. Reines md5 ohne Salting? Sekundensache. Gesalzen? Schon besser, aber md5 ist eben nicht das Wahre. Blowfish + mehrfaches Salzen und man kann sich den Tipp mit dem Neusetzen des Passworts wirklich sparen. Die rechnen noch in ein paar Jahren, um die Klartexte herauszubekommen :)

    *Stichwort Bruteforce-Attacke

  5. Re: Dämliche Aufforderung

    Autor: fuzzy 08.06.12 - 04:59

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der
    > Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich
    > gemacht wurde?

    Weil wohl kein Salt zum Einsatz kam. Bei MD5. Deshalb. Wie man auch in wenigen Sekunden hätte recherchieren können.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Technische Hochschule Rosenheim, Rosenheim
  2. Deloitte, verschiedene Einsatzorte
  3. QUNDIS GmbH, Erfurt
  4. finanzen.de, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 47€
  2. (u. a. NieR Automata für 13,99€ und PSN Card 25 Euro [DE] für 21,99€ - Bestpreise!)
  3. (u. a. 3 Spiele für 49€ und SanDisk Ultra 400 GB microSDXC + Adapter für 47€)
  4. 77,90€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Computer Vision: Mehr Durchblick beim maschinellen Sehen
Computer Vision
Mehr Durchblick beim maschinellen Sehen

Mit den Services von Amazon, IBM, Microsoft und Google kann jeder recht einfach Bilder analysieren, ohne die genauen Mechanismen dahinter zu kennen. Die Anwendungen unterscheiden sich aber stark - vor allem im Funktionsumfang.
Von Miroslav Stimac

  1. Überwachung Bündnis fordert Verbot von Gesichtserkennung
  2. Videoüberwachung SPD-Chefin gegen Pläne für automatische Gesichtserkennung
  3. China Bürger müssen für Mobilfunkverträge ihre Gesichter scannen

  1. Beschlagnahmt: Webseite bietet 12 Milliarden Zugangsdaten an
    Beschlagnahmt
    Webseite bietet 12 Milliarden Zugangsdaten an

    Betreiber verhaftet, Domain und Server beschlagnahmt: Die Webseite Weleakinfo.com hat im großen Stil mit Zugangsdaten gehandelt, die aus mehr 10.000 Datenlecks gestammt haben sollen.

  2. Bürogebäude Karl: Apple baut Standort in München deutlich aus
    Bürogebäude Karl
    Apple baut Standort in München deutlich aus

    Apple wird seine Aktivitäten in München offenbar deutlich ausbauen und auch ein neues Bürogebäude beziehen, das Platz für 1.500 Beschäftigte bietet. In München betreibt Apple bereits das Bavarian Design Center mit 300 Mitarbeitern.

  3. Seehofer: 5G-Netz ohne Huawei kurzfristig nicht machbar
    Seehofer
    5G-Netz ohne Huawei kurzfristig nicht machbar

    Bundesinnenminister Horst Seehofer spricht sich "gegen globale und pauschale Handelsbeschränkungen" aus. In Bezug auf Huawei wurde er noch deutlicher.


  1. 15:08

  2. 13:26

  3. 13:16

  4. 19:02

  5. 18:14

  6. 17:49

  7. 17:29

  8. 17:10