-
Falsches Sicherheitskonzept?
Autor: AlexanderSchäfer 03.06.17 - 00:14
Wenn der Verlust eines Schlüssels ausreicht um Kundendaten zu entschlüsseln, dann läuft doch etwas grundlegendes bei denen falsch. Wie können sie z.B. nicht wissen ob eine Entschlüsselung möglich ist oder nicht?
Wie kann jemand externes überhaupt auf deren interne Infrastruktur zu greifen? Selbst mit allen Keys sollte ein vollständiger Zugriff auf eine Datenbank nur über ein internes Netz erreichbar sein. -
Re: Falsches Sicherheitskonzept?
Autor: Trockenobst 03.06.17 - 12:23
AlexanderSchäfer schrieb:
--------------------------------------------------------------------------------
> Wie kann jemand externes überhaupt auf deren interne Infrastruktur zu
> greifen? Selbst mit allen Keys sollte ein vollständiger Zugriff auf eine
> Datenbank nur über ein internes Netz erreichbar sein.
Es dauert drei Tage eine Infrastruktur nach Schema F zu skizzieren, die für solche Angriffe abzusichern. Es dauert weitere zwei Tage es so sicher zu planen dass auch mit etwas Mithilfe eines "umgedrehten" Mitarbeiters dies sehr schwer wird (und dann auch mit Gefängnis bestraft). Wer sich in dem Business auskennt, weiß wie schwer das ist das Supersicher zu machen.
Es gibt immer einen neuen Vektor, wenn man nicht auf den Zehenspitzen steht. Dazu gibt genügend gut finanzierte Angreifer für die solche "Fort Knox" Simulationen einfach zu leckere Ziele sind.
Die meisten dieser Passwortverwalter sind eigentlich nichts anderes als gut gemachte Frontends vor sehr archaischen Rechteverwaltungssystemen. Die Großkunden sind in der Regel sehr froh, wenn sie jemanden haben der eine modernere API hat sie selbst, dass gibt auch sofort einen Businesscase des "Quick Win" wo das investierte Geld sofort in einen besseren Service umgemünzt wird.
Im Kleingedruckten steht dann deutlich, dass man kein Passwortverwalter und kein Zertifikatsspezialist ist. Man ist nichts anderes als ein politisches Feigenblatt für Firmen denen die Lösung dieser Probleme in House einfach zu teuer ist. Gerade in den USA muss man davon ausgehen dass diese Firmen alle mit den Behörden zusammenarbeiten und das die Firmen deine Passwörter jederzeit entschlüsseln können.
Und dann muss man sich auch nicht wundern, wenn Aluhutträger dann behaupten, dass die Firmen jedes mal - huch!! - "einen Hack" haben, wenn wichtige Passwörter gestohlen werden die man dann, leider leider, auch encrypten kann.
Falsches Sicherheitskonzept?
- Golem.de ohne Werbung nutzen
-
Hardware fürs Homeoffice
Nicht nur Webcams und Notebooks werden teurer
-
Lego Robot Inventor im Test
Mit einem smarten Klotz zurück in die Profiliga
-
Adobe
Flash-Abschaltung legt Züge in China lahm
-
Wonder Woman 1984
Ein Superhelden-Film von vorgestern
-
Raumfahrt
SpaceX startet 143 Satelliten mit nur einer Rakete
Kommentare: 165 | letzter Beitrag 18:34 Uhr
Kommentare: 131 | letzter Beitrag 16:30 Uhr
Kommentare: 120 | letzter Beitrag 16:53 Uhr
Kommentare: 94 | letzter Beitrag 14:38 Uhr
Kommentare: 79 | letzter Beitrag 13:47 Uhr
E-Mail an news@golem.de
Das Bundesarbeitsministerium hat eine Verordnung erlassen, die pandemiebedingt Homeoffice für viele Arbeitnehmer zur Folge haben soll.
Betreiber von Onlineshops wollen wissen, was sich verkauft und was nicht. Mit Data-Mining lassen sich aus den gesammelten Daten über Kunden solche und andere nützliche Informationen ziehen. Es birgt aber auch Risiken.
Von Boris Mayer
2020 war ein erfolgreiches Jahr für die Elektromobilität. Dieser Trend wird sich fortsetzen: ein Ãœberblick über die Neuerscheinungen 2021.
Ein Bericht von Dirk Kunde
ElektromobilitätKleinbus von e.Go erhält StraßenzulassungDer Aachener Elektroautohersteller e.Go darf einen "People Mover" auf die Straßen bringen. Dafür hat er einen neuen Investor gefunden.
WLAN-HotspotsFree Wi-Fi Berlin geht mit Uni-Netz Eduroam zusammenWeil Berlin mit dem Ausbau der WLAN-Hotspot nicht weiterkommt, wird das Uni-Wi-Fi für alle geöffnet.
FlugzeugWeitere Sicherheitsbedenken bei der Boeing 737 MaxEin ehemaliger Boeing-Manager hält die Probleme bei der 737 Max für nicht gelöst. Das Startverbot wurde seiner Ansicht nach zu früh aufgehoben.