Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Potenzielles Sicherheitsproblem: iOS…

Kein Übertragen von Passwörtern?

  1. Thema

Neues Thema Ansicht wechseln


  1. Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 11:51

    Wie wird das verhindert?

  2. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 12:26

    Bei Passwort-Feldern wird wohl nur die normale Tastatur verwendet und Drittanbieter-Tastataturen werden dafür deaktiviert.

  3. Re: Kein Übertragen von Passwörtern?

    Autor: Brainfreeze 19.09.14 - 12:32

    Und woher weiss das System denn, dass ich mich aktuell in einem Eingabe-Feld für ein Passwort befinde? Je nach App oder Webseite können diese doch unterschiedlichst implementiert sein.

  4. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 12:36

    Das klingt zwar nach einer unschönen, dafür aber sicheren Lösung. Danke für die Info.

  5. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 12:36

    Es sind unterschiedliche Arten von Feldern. Du hast vll. auch schon bemerkt, dass du eine andere Tastatur angezeigt bekommst, wenn du in ein Feld nur Zahlen eintragen sollst.

  6. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 12:46

    Das ist programmtechnisch problemlos möglich und wird dann vom System auch so erkannt. Wenn ein Entwickler natürlich irgendwas selbst implementiert hat und dann vergessen hat, das Feld als Passwort-Feld zu deklarieren, klappt es natürlich nicht aber das ist dann ein Fehler in der App.

  7. Re: Kein Übertragen von Passwörtern?

    Autor: Realist_X 19.09.14 - 12:50

    Sicher? Wenn jeder Entwickler sein Passwortfeld als solches 'verschleiern' kann?

  8. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 12:53

    Kannst du mal erklären, was du meinst und was für dich unsicher ist?

  9. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 13:08

    Brainfreeze schrieb:
    --------------------------------------------------------------------------------
    > Und woher weiss das System denn, dass ich mich aktuell in einem
    > Eingabe-Feld für ein Passwort befinde? Je nach App oder Webseite können
    > diese doch unterschiedlichst implementiert sein.
    Du hast recht. Man kann dem Benutzer vorgaukeln, dass er sich in einem Passwortfeld befindet und jede Eingabe zum Beispiel in einen Stern umwandeln. Hab ich selber schon gesehen. Ich gehe aber davon aus, dass dies eher selten vor kommt.

    Das Betriebssystem hat keine Chance das immer zu filtern. Wenn beim Onlinebanking zum Beispiel TANs eingegeben werden müssen, sind dies in der Regel normale Textfelder.

    Es ist also nur eine Pseudosicherheit, welche von den meisten Benutzern nicht hinterfragt wird.

  10. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 13:19

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Es sind unterschiedliche Arten von Feldern. Du hast vll. auch schon
    > bemerkt, dass du eine andere Tastatur angezeigt bekommst, wenn du in ein
    > Feld nur Zahlen eintragen sollst.
    Du hast vielleicht schon gemerkt, dass dies von der Implementierung abhängt?

    Ausserdem gibt es noch Systeme, welche nach einer TAN fragen, welche aber in der Regel in normale Textfelder eingegeben wird.

    Ein Betriebssystem kann deswegen nicht sauber unterscheiden, wie kritisch eine eingegebene Information ist.

  11. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 13:22

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Das ist programmtechnisch problemlos möglich und wird dann vom System auch
    > so erkannt. Wenn ein Entwickler natürlich irgendwas selbst implementiert
    > hat und dann vergessen hat, das Feld als Passwort-Feld zu deklarieren,
    > klappt es natürlich nicht aber das ist dann ein Fehler in der App.

    Ein System erkennt nicht, dass zum Beispiel beim Onlinebanking eine TAN eingegeben wurde. In der Regel handelt es sich hier um normale Textfelder. Dies hat nichts mit dem Entwickler zu tun, sondern es hat sich mehrheitlich so durchgesetzt .. das war auch schon vor dem ersten iPhone so.

  12. Re: Kein Übertragen von Passwörtern?

    Autor: Brainfreeze 19.09.14 - 13:34

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Das ist programmtechnisch problemlos möglich und wird dann vom System auch
    > so erkannt. Wenn ein Entwickler natürlich irgendwas selbst implementiert
    > hat und dann vergessen hat, das Feld als Passwort-Feld zu deklarieren,
    > klappt es natürlich nicht aber das ist dann ein Fehler in der App.

    Ich denke jetzt eher an Webseiten zum Registrieren, in der man häufig zweimal im Klartext sein gewünschtes Kennwort eingibt. Oder sogar an Passwortmanager, wo man beim manuellen hinterlegen von Accountdaten auch hier die Passwörter im Klartext eingibt. Ein Markieren des Feldes als "Passwort-Feld", wodurch die Eingabe verdeckt wird, ist hier ja nicht gewünscht.
    Und auch die anderweitig erwähnten TAN-Daten sind auch sicherheitskritisch.

  13. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 13:45

    Also ich kenne ehrlich gesagt keine Webseite, bei der man sein Kennwort in ein Klartext-Feld eingibt. Und für Passwort-Manager ist es kein Problem, die Eingabefelder entsprechend zu deklarieren, dass iOS weiß, was das für dein Feld ist.

  14. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 13:48

    Eine TAN ist bei diesem Fall aber auch unkritisch, da sie unmittelbar nach dem Absenden eingelöst und ungültig ist. Da würde es einem bösartigen Keyboard-Entwickler nichts nützen, wenn sie in die Cloud geschickt wird.

  15. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 13:59

    Ich kenne auch keinen Passwort-Manager, der einen dazu zwingt, Passwörter sichtbar einzugeben. Normalerweise hat man die Möglichkeit, zwischen Textfeld und Passwortfeld umzuschalten.

  16. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 14:21

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Eine TAN ist bei diesem Fall aber auch unkritisch, da sie unmittelbar nach
    > dem Absenden eingelöst und ungültig ist. Da würde es einem bösartigen
    > Keyboard-Entwickler nichts nützen, wenn sie in die Cloud geschickt wird.
    Nützt nichts? Ich würde das Risiko auch nicht in erster Linie beim Entwickler suchen.
    Was ist, wenn der Entwickler nicht mitbekommt, dass noch andere Leute ein bisschen mehr Zugriff auf die Cloud haben?
    Ausserdem gehst Du auch vom normalen Prozess bei den TANs aus. Was ist aber, wenn die TAN nicht an das fragende System übertragen wird und dadurch noch immer gültig ist? Oder wenn die Tastatur schon vorher die Informationen überträgt bevor der User auf Enter gedrückt hat.
    Bei einer kritischen Masse lohnt sich auch hier ein Angriff.

  17. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 14:38

    Eine solche bösartige App würde vermutlich kaum den Weg in den Appstore finden und wenn doch, dann nicht lange da verweilen. Das Sicherheitsrisiko ist hier nicht größer, als bspw. bei alternativen Browsern wie Chrome, wo ich auch nicht weiß, ob dort nicht meine eingegebenen Daten abgefangen werden.

    Ganz sicher ist gar nichts aber solche Tastaturen halte ich für eher unkritisch bzw. gibt es gefährlichere Sachen, vor denen auch niemand warnt.

  18. Re: Kein Übertragen von Passwörtern?

    Autor: Brainfreeze 19.09.14 - 14:41

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Ich kenne auch keinen Passwort-Manager, der einen dazu zwingt, Passwörter
    > sichtbar einzugeben. Normalerweise hat man die Möglichkeit, zwischen
    > Textfeld und Passwortfeld umzuschalten.

    Ich probiere gerade die aktuelle Version von 1Password aus. Wenn ich dort manuell neue Accountdaten einpflege, ist das Passwort nach der Eingabe sichtbar. Erst wenn ich die Seite mit den neuen Daten schliesse und wieder öffne, ist das Passwort ausgeblendet (in den Optionen ist bei mir Passwort ausblenden übrigens aktiv).
    Ich weiss natürlich nicht, wie dies nun implementiert ist, aber im Rahmen der Accounterfassung verhält sich das Passwordfeld wie ein ganz normales Textfeld. (Das gleiche gilt übbrigens auch für das PIN-Feld bei den Bankkonten dort)

  19. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 15:21

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Eine solche bösartige App würde vermutlich kaum den Weg in den Appstore
    > finden und wenn doch, dann nicht lange da verweilen. Das Sicherheitsrisiko
    > ist hier nicht größer, als bspw. bei alternativen Browsern wie Chrome, wo
    > ich auch nicht weiß, ob dort nicht meine eingegebenen Daten abgefangen
    > werden.
    Einmal die Frage: wie soll Apple, Google und Co herausfinden, ob eine App böse ist oder nicht? Sie haben verschiedene Testverfahren und können evtl. eine Abschätzung oder Risikobeurteilung machen. Mehr aber auch nicht. Es gibt auch genügend Beispiele, wo trotzdem Schadsoftware im Store gelandet ist. Bei Apple und bei Google.
    Ausserdem ist die App an sich ja gut und hat mit der Sicherheit der benutzten Cloud ja erst mal nichts zu tun.
    Ausserdem würde ich sagen, dass das Risiko ist bei Chrome geringer ist denn was würde wohl passieren wenn herauskommt, dass der Milliardenkonzern Google sich die Tastatureingaben schicken lässt? Google hat ja auch kein Interesse daran sich mit irgendwelchen Nutzerkonten irgendwo einzuloggen.
    Eine Tastaturapp, welche von vornherein schon sagt, dass Eingaben in der Cloud landen können, verhält sich auch nicht falsch, wenn Informationen ins Netz geschickt werden. Das Risiko, dass unbefugte Zugriff auf diese Daten erhalten könnten ist aber recht gross. An anderer Stelle hatte ich schon gesagt, dass die Installation sämtlicher Apps auf geschäftlichen Telefonen eigentlich verboten werden sollte. Als Argument bekam ich dann zu hören, dass immer mehr private Handys im geschäftlichen Umfeld eingesetzt werden. Jetzt stelle man sich vor, dass durch ein privates Handy eine Sicherheitslücke in einer solchen Cloud entsteht und Tastatureingaben von Millionen Usern offen liegen. Oft ist es ja so, dass viele Apps von kleinen Buden entwickelt werden, denen am Anfang erst mal das Kapital hinten und vorne fehlt. Ich gehe davon aus, dass hier auch besonders gerne private Handys eingesetzt werden.

    > Ganz sicher ist gar nichts aber solche Tastaturen halte ich für eher
    > unkritisch bzw. gibt es gefährlichere Sachen, vor denen auch niemand warnt.
    Sicher ist gar nichts .. das ist sicher ;)

    Die Daten lassen sich auch viel einfacher absaugen. Man kann nun zum Beispiel die Aufklärung der Medien nutzen und bei seiner eigenen Tastaturapp hervorheben, dass diese keine Rechte fürs Internet benötigt. Statt dessen speichert man alles auf Phone und lässt die Übertragung der Tastatureingaben eine andere App erledigen. Wie man sieht, muss man sich nicht nur Gedanken darüber machen, ob eine App ins Internet darf, sondern ob diese ihre Daten auf dem Handy speichern darf, welche von anderen Apps evtl. gelesen werden können. Sobald die Tastaturapp Eingaben speichern darf und ich nicht 100% sicher bin, dass nur gutwillige Apps auf meinem Handy sind, wäre mir generell ganz unwohl.

  20. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 19:45

    Das klingt für mich nach einem ziemlich guten Ausschlusskriterium. Auch, wenn sie funktionierten würde: Wegen so etwas wie dem Anzeigen und dem Verschleiern des Passworts in ein Einstellungs-Menü gehen zu müssen, ist sicherlich nicht die beste Lösung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. WEMAG AG, Schwerin
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin, Braunschweig
  3. Wolters Kluwer, Hürth bei Köln
  4. PAUL HARTMANN AG, Heidenheim an der Brenz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,69€
  2. 149,99€ (Release noch nicht bekannt)
  3. 5,95€
  4. 4,31€


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. IT-Fachkräftemangel Freie sind gefragt
  2. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  3. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  2. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  3. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs

Noise Cancelling Headphones 700 im Test: Boses bester ANC-Kopfhörer sticht Sony vielfach aus
Noise Cancelling Headphones 700 im Test
Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Bose schafft mit seinen neuen Noise Cancelling Headphones 700 eine fast so gute Geräuschreduzierung wie Sony und ist in manchen Punkten sogar besser. Die Kopfhörer haben uns beim Testen aber auch mal genervt.
Ein Test von Ingo Pakalski

  1. Bose Frames im Test Sonnenbrille mit Musik
  2. Noise Cancelling Headphones 700 ANC-Kopfhörer von Bose versprechen tollen Klang
  3. Frames Boses Audio-Sonnenbrille kommt für 230 Euro nach Deutschland

  1. Spielestreaming: Cyberpunk 2077 erscheint für Stadia
    Spielestreaming
    Cyberpunk 2077 erscheint für Stadia

    Gamescom 2019 Google hat das Rollenspiel Cyberpunk 2077 für Stadia eingekauft - leider ohne zu verraten, ob die Raytracing-Version gestreamt wird. Auch der Landwirtschaft-Simulator 2019 und Borderlands 3 sollen über die neue Plattform erscheinen.

  2. Magentagaming: Auch die Telekom startet einen Cloud-Gaming-Dienst
    Magentagaming
    Auch die Telekom startet einen Cloud-Gaming-Dienst

    Google Stadia, Blade Shadow und jetzt Magentagaming: Die Deutsche Telekom macht beim derzeit viel diskutierten Cloud-Gaming-Geschäft mit. Das Angebot der Telekom umfasst zum Beginn 100 Spiele und soll in Full-HD und später in 4K funktionieren. Die Beta startet noch auf der Gamescom 2019.

  3. Streaming: Disney+ kommt zunächst nicht für Amazon-Geräte
    Streaming
    Disney+ kommt zunächst nicht für Amazon-Geräte

    Disneys Streamingdienst Disney+ wird auf einer Reihe von Geräten als App verfügbar sein - nicht jedoch auf Amazons Tablets und TV-Sticks. Außerdem hat Disney die ersten Länder bekanntgegeben, in denen der Dienst im November 2019 starten wird.


  1. 20:01

  2. 17:39

  3. 16:45

  4. 15:43

  5. 13:30

  6. 13:00

  7. 12:30

  8. 12:02