1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Passwortmanager: Kundendaten von…

Falsches Sicherheitskonzept?

  1. Thema

Neues Thema Ansicht wechseln


  1. Falsches Sicherheitskonzept?

    Autor: AlexanderSchäfer 03.06.17 - 00:14

    Wenn der Verlust eines Schlüssels ausreicht um Kundendaten zu entschlüsseln, dann läuft doch etwas grundlegendes bei denen falsch. Wie können sie z.B. nicht wissen ob eine Entschlüsselung möglich ist oder nicht?

    Wie kann jemand externes überhaupt auf deren interne Infrastruktur zu greifen? Selbst mit allen Keys sollte ein vollständiger Zugriff auf eine Datenbank nur über ein internes Netz erreichbar sein.

  2. Re: Falsches Sicherheitskonzept?

    Autor: Trockenobst 03.06.17 - 12:23

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Wie kann jemand externes überhaupt auf deren interne Infrastruktur zu
    > greifen? Selbst mit allen Keys sollte ein vollständiger Zugriff auf eine
    > Datenbank nur über ein internes Netz erreichbar sein.

    Es dauert drei Tage eine Infrastruktur nach Schema F zu skizzieren, die für solche Angriffe abzusichern. Es dauert weitere zwei Tage es so sicher zu planen dass auch mit etwas Mithilfe eines "umgedrehten" Mitarbeiters dies sehr schwer wird (und dann auch mit Gefängnis bestraft). Wer sich in dem Business auskennt, weiß wie schwer das ist das Supersicher zu machen.

    Es gibt immer einen neuen Vektor, wenn man nicht auf den Zehenspitzen steht. Dazu gibt genügend gut finanzierte Angreifer für die solche "Fort Knox" Simulationen einfach zu leckere Ziele sind.

    Die meisten dieser Passwortverwalter sind eigentlich nichts anderes als gut gemachte Frontends vor sehr archaischen Rechteverwaltungssystemen. Die Großkunden sind in der Regel sehr froh, wenn sie jemanden haben der eine modernere API hat sie selbst, dass gibt auch sofort einen Businesscase des "Quick Win" wo das investierte Geld sofort in einen besseren Service umgemünzt wird.

    Im Kleingedruckten steht dann deutlich, dass man kein Passwortverwalter und kein Zertifikatsspezialist ist. Man ist nichts anderes als ein politisches Feigenblatt für Firmen denen die Lösung dieser Probleme in House einfach zu teuer ist. Gerade in den USA muss man davon ausgehen dass diese Firmen alle mit den Behörden zusammenarbeiten und das die Firmen deine Passwörter jederzeit entschlüsseln können.

    Und dann muss man sich auch nicht wundern, wenn Aluhutträger dann behaupten, dass die Firmen jedes mal - huch!! - "einen Hack" haben, wenn wichtige Passwörter gestohlen werden die man dann, leider leider, auch encrypten kann.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Soley GmbH, München
  2. Bechtle AG, Bonn
  3. Esslinger Wohnungsbau GmbH, Esslingen bei Stuttgart
  4. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Braunschweig, München, Wolfsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Knives Out für 8,88€, Das Boot - Director's Cut für 8,88€, Angel has Fallen für 9...
  2. (u. a. HP 25x 24,5 Zoll Full-HD 144 Hz für 168,68€, Microsoft Surface Pro X für 898,89€)
  3. 117,99€
  4. (u. a. Resident Evil Village für 49,99€, Wochenangebote (u. a. Resident Evil 7 Gold Edition für...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Arbeitsschutzverordnung: Corona macht Homeoffice für Bildschirmarbeiter zur Regel
Arbeitsschutzverordnung
Corona macht Homeoffice für Bildschirmarbeiter zur Regel

Das Bundesarbeitsministerium hat eine Verordnung erlassen, die pandemiebedingt Homeoffice für viele Arbeitnehmer zur Folge haben soll.

  1. Corona Beamtenbund fordert klare Regeln für Telearbeit
  2. Homeoffice in der Coronapandemie Ministerien setzen auf Wechselmodelle
  3. Homeoffice FDP fordert klare Regeln für mobiles Arbeiten

Data-Mining: Wertvolle Informationen aus Datenhaufen ziehen
Data-Mining
Wertvolle Informationen aus Datenhaufen ziehen

Betreiber von Onlineshops wollen wissen, was sich verkauft und was nicht. Mit Data-Mining lassen sich aus den gesammelten Daten über Kunden solche und andere nützliche Informationen ziehen. Es birgt aber auch Risiken.
Von Boris Mayer


    Elektromobilität: Diese E-Autos kommen 2021 auf den Markt
    Elektromobilität
    Diese E-Autos kommen 2021 auf den Markt

    2020 war ein erfolgreiches Jahr für die Elektromobilität. Dieser Trend wird sich fortsetzen: ein Überblick über die Neuerscheinungen 2021.
    Ein Bericht von Dirk Kunde

    1. Prototyp vorgestellt VW-Laderoboter im R2D2-Style kommt zum Auto
    2. E-Auto VDA-Chefin fordert schnelleren Ausbau von Ladesäulen
    3. Dorfauto im Hunsrück Verkehrswende geht auch auf dem Land