1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Potenzielles Sicherheitsproblem: iOS…

Kein Übertragen von Passwörtern?

  1. Thema

Neues Thema Ansicht wechseln


  1. Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 11:51

    Wie wird das verhindert?

  2. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 12:26

    Bei Passwort-Feldern wird wohl nur die normale Tastatur verwendet und Drittanbieter-Tastataturen werden dafür deaktiviert.

  3. Re: Kein Übertragen von Passwörtern?

    Autor: Brainfreeze 19.09.14 - 12:32

    Und woher weiss das System denn, dass ich mich aktuell in einem Eingabe-Feld für ein Passwort befinde? Je nach App oder Webseite können diese doch unterschiedlichst implementiert sein.

  4. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 12:36

    Das klingt zwar nach einer unschönen, dafür aber sicheren Lösung. Danke für die Info.

  5. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 12:36

    Es sind unterschiedliche Arten von Feldern. Du hast vll. auch schon bemerkt, dass du eine andere Tastatur angezeigt bekommst, wenn du in ein Feld nur Zahlen eintragen sollst.

  6. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 12:46

    Das ist programmtechnisch problemlos möglich und wird dann vom System auch so erkannt. Wenn ein Entwickler natürlich irgendwas selbst implementiert hat und dann vergessen hat, das Feld als Passwort-Feld zu deklarieren, klappt es natürlich nicht aber das ist dann ein Fehler in der App.

  7. Re: Kein Übertragen von Passwörtern?

    Autor: Realist_X 19.09.14 - 12:50

    Sicher? Wenn jeder Entwickler sein Passwortfeld als solches 'verschleiern' kann?

  8. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 12:53

    Kannst du mal erklären, was du meinst und was für dich unsicher ist?

  9. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 13:08

    Brainfreeze schrieb:
    --------------------------------------------------------------------------------
    > Und woher weiss das System denn, dass ich mich aktuell in einem
    > Eingabe-Feld für ein Passwort befinde? Je nach App oder Webseite können
    > diese doch unterschiedlichst implementiert sein.
    Du hast recht. Man kann dem Benutzer vorgaukeln, dass er sich in einem Passwortfeld befindet und jede Eingabe zum Beispiel in einen Stern umwandeln. Hab ich selber schon gesehen. Ich gehe aber davon aus, dass dies eher selten vor kommt.

    Das Betriebssystem hat keine Chance das immer zu filtern. Wenn beim Onlinebanking zum Beispiel TANs eingegeben werden müssen, sind dies in der Regel normale Textfelder.

    Es ist also nur eine Pseudosicherheit, welche von den meisten Benutzern nicht hinterfragt wird.

  10. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 13:19

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Es sind unterschiedliche Arten von Feldern. Du hast vll. auch schon
    > bemerkt, dass du eine andere Tastatur angezeigt bekommst, wenn du in ein
    > Feld nur Zahlen eintragen sollst.
    Du hast vielleicht schon gemerkt, dass dies von der Implementierung abhängt?

    Ausserdem gibt es noch Systeme, welche nach einer TAN fragen, welche aber in der Regel in normale Textfelder eingegeben wird.

    Ein Betriebssystem kann deswegen nicht sauber unterscheiden, wie kritisch eine eingegebene Information ist.

  11. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 13:22

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Das ist programmtechnisch problemlos möglich und wird dann vom System auch
    > so erkannt. Wenn ein Entwickler natürlich irgendwas selbst implementiert
    > hat und dann vergessen hat, das Feld als Passwort-Feld zu deklarieren,
    > klappt es natürlich nicht aber das ist dann ein Fehler in der App.

    Ein System erkennt nicht, dass zum Beispiel beim Onlinebanking eine TAN eingegeben wurde. In der Regel handelt es sich hier um normale Textfelder. Dies hat nichts mit dem Entwickler zu tun, sondern es hat sich mehrheitlich so durchgesetzt .. das war auch schon vor dem ersten iPhone so.

  12. Re: Kein Übertragen von Passwörtern?

    Autor: Brainfreeze 19.09.14 - 13:34

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Das ist programmtechnisch problemlos möglich und wird dann vom System auch
    > so erkannt. Wenn ein Entwickler natürlich irgendwas selbst implementiert
    > hat und dann vergessen hat, das Feld als Passwort-Feld zu deklarieren,
    > klappt es natürlich nicht aber das ist dann ein Fehler in der App.

    Ich denke jetzt eher an Webseiten zum Registrieren, in der man häufig zweimal im Klartext sein gewünschtes Kennwort eingibt. Oder sogar an Passwortmanager, wo man beim manuellen hinterlegen von Accountdaten auch hier die Passwörter im Klartext eingibt. Ein Markieren des Feldes als "Passwort-Feld", wodurch die Eingabe verdeckt wird, ist hier ja nicht gewünscht.
    Und auch die anderweitig erwähnten TAN-Daten sind auch sicherheitskritisch.

  13. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 13:45

    Also ich kenne ehrlich gesagt keine Webseite, bei der man sein Kennwort in ein Klartext-Feld eingibt. Und für Passwort-Manager ist es kein Problem, die Eingabefelder entsprechend zu deklarieren, dass iOS weiß, was das für dein Feld ist.

  14. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 13:48

    Eine TAN ist bei diesem Fall aber auch unkritisch, da sie unmittelbar nach dem Absenden eingelöst und ungültig ist. Da würde es einem bösartigen Keyboard-Entwickler nichts nützen, wenn sie in die Cloud geschickt wird.

  15. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 13:59

    Ich kenne auch keinen Passwort-Manager, der einen dazu zwingt, Passwörter sichtbar einzugeben. Normalerweise hat man die Möglichkeit, zwischen Textfeld und Passwortfeld umzuschalten.

  16. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 14:21

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Eine TAN ist bei diesem Fall aber auch unkritisch, da sie unmittelbar nach
    > dem Absenden eingelöst und ungültig ist. Da würde es einem bösartigen
    > Keyboard-Entwickler nichts nützen, wenn sie in die Cloud geschickt wird.
    Nützt nichts? Ich würde das Risiko auch nicht in erster Linie beim Entwickler suchen.
    Was ist, wenn der Entwickler nicht mitbekommt, dass noch andere Leute ein bisschen mehr Zugriff auf die Cloud haben?
    Ausserdem gehst Du auch vom normalen Prozess bei den TANs aus. Was ist aber, wenn die TAN nicht an das fragende System übertragen wird und dadurch noch immer gültig ist? Oder wenn die Tastatur schon vorher die Informationen überträgt bevor der User auf Enter gedrückt hat.
    Bei einer kritischen Masse lohnt sich auch hier ein Angriff.

  17. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 14:38

    Eine solche bösartige App würde vermutlich kaum den Weg in den Appstore finden und wenn doch, dann nicht lange da verweilen. Das Sicherheitsrisiko ist hier nicht größer, als bspw. bei alternativen Browsern wie Chrome, wo ich auch nicht weiß, ob dort nicht meine eingegebenen Daten abgefangen werden.

    Ganz sicher ist gar nichts aber solche Tastaturen halte ich für eher unkritisch bzw. gibt es gefährlichere Sachen, vor denen auch niemand warnt.

  18. Re: Kein Übertragen von Passwörtern?

    Autor: Brainfreeze 19.09.14 - 14:41

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Ich kenne auch keinen Passwort-Manager, der einen dazu zwingt, Passwörter
    > sichtbar einzugeben. Normalerweise hat man die Möglichkeit, zwischen
    > Textfeld und Passwortfeld umzuschalten.

    Ich probiere gerade die aktuelle Version von 1Password aus. Wenn ich dort manuell neue Accountdaten einpflege, ist das Passwort nach der Eingabe sichtbar. Erst wenn ich die Seite mit den neuen Daten schliesse und wieder öffne, ist das Passwort ausgeblendet (in den Optionen ist bei mir Passwort ausblenden übrigens aktiv).
    Ich weiss natürlich nicht, wie dies nun implementiert ist, aber im Rahmen der Accounterfassung verhält sich das Passwordfeld wie ein ganz normales Textfeld. (Das gleiche gilt übbrigens auch für das PIN-Feld bei den Bankkonten dort)

  19. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 15:21

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Eine solche bösartige App würde vermutlich kaum den Weg in den Appstore
    > finden und wenn doch, dann nicht lange da verweilen. Das Sicherheitsrisiko
    > ist hier nicht größer, als bspw. bei alternativen Browsern wie Chrome, wo
    > ich auch nicht weiß, ob dort nicht meine eingegebenen Daten abgefangen
    > werden.
    Einmal die Frage: wie soll Apple, Google und Co herausfinden, ob eine App böse ist oder nicht? Sie haben verschiedene Testverfahren und können evtl. eine Abschätzung oder Risikobeurteilung machen. Mehr aber auch nicht. Es gibt auch genügend Beispiele, wo trotzdem Schadsoftware im Store gelandet ist. Bei Apple und bei Google.
    Ausserdem ist die App an sich ja gut und hat mit der Sicherheit der benutzten Cloud ja erst mal nichts zu tun.
    Ausserdem würde ich sagen, dass das Risiko ist bei Chrome geringer ist denn was würde wohl passieren wenn herauskommt, dass der Milliardenkonzern Google sich die Tastatureingaben schicken lässt? Google hat ja auch kein Interesse daran sich mit irgendwelchen Nutzerkonten irgendwo einzuloggen.
    Eine Tastaturapp, welche von vornherein schon sagt, dass Eingaben in der Cloud landen können, verhält sich auch nicht falsch, wenn Informationen ins Netz geschickt werden. Das Risiko, dass unbefugte Zugriff auf diese Daten erhalten könnten ist aber recht gross. An anderer Stelle hatte ich schon gesagt, dass die Installation sämtlicher Apps auf geschäftlichen Telefonen eigentlich verboten werden sollte. Als Argument bekam ich dann zu hören, dass immer mehr private Handys im geschäftlichen Umfeld eingesetzt werden. Jetzt stelle man sich vor, dass durch ein privates Handy eine Sicherheitslücke in einer solchen Cloud entsteht und Tastatureingaben von Millionen Usern offen liegen. Oft ist es ja so, dass viele Apps von kleinen Buden entwickelt werden, denen am Anfang erst mal das Kapital hinten und vorne fehlt. Ich gehe davon aus, dass hier auch besonders gerne private Handys eingesetzt werden.

    > Ganz sicher ist gar nichts aber solche Tastaturen halte ich für eher
    > unkritisch bzw. gibt es gefährlichere Sachen, vor denen auch niemand warnt.
    Sicher ist gar nichts .. das ist sicher ;)

    Die Daten lassen sich auch viel einfacher absaugen. Man kann nun zum Beispiel die Aufklärung der Medien nutzen und bei seiner eigenen Tastaturapp hervorheben, dass diese keine Rechte fürs Internet benötigt. Statt dessen speichert man alles auf Phone und lässt die Übertragung der Tastatureingaben eine andere App erledigen. Wie man sieht, muss man sich nicht nur Gedanken darüber machen, ob eine App ins Internet darf, sondern ob diese ihre Daten auf dem Handy speichern darf, welche von anderen Apps evtl. gelesen werden können. Sobald die Tastaturapp Eingaben speichern darf und ich nicht 100% sicher bin, dass nur gutwillige Apps auf meinem Handy sind, wäre mir generell ganz unwohl.

  20. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 19:45

    Das klingt für mich nach einem ziemlich guten Ausschlusskriterium. Auch, wenn sie funktionierten würde: Wegen so etwas wie dem Anzeigen und dem Verschleiern des Passworts in ein Einstellungs-Menü gehen zu müssen, ist sicherlich nicht die beste Lösung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. Hochland Deutschland GmbH, Heimenkirch, Schongau (Home-Office)
  3. VISUS Health IT GmbH, Bochum
  4. Medion AG, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 189,99€ (Bestpreis)
  2. 279,99€ (Bestpreis)
  3. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


    USA: Die falsche Toleranz im Silicon Valley muss endlich aufhören
    USA
    Die falsche Toleranz im Silicon Valley muss endlich aufhören

    Github wirft einen Juden raus, der vor Nazis warnt, weil das den Betrieb stört. Das ist moralisch verkommen - wie üblich im Silicon Valley.
    Ein IMHO von Sebastian Grüner

    1. CES 2021 So geht eine Messe in Pandemie-Zeiten
    2. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona
    3. CD Projekt Red Crunch trifft auf Cyberpunk 2077

    Westküste 100: Wie die Energiewende an der Küste aussehen soll
    Westküste 100
    Wie die Energiewende an der Küste aussehen soll

    An der Nordseeküste stehen die Windräder auch bei einer frischen Brise oft still. Besser ist, mit dem Strom Wasserstoff zu erzeugen. Das Reallabor Westküste 100 testet das.
    Ein Bericht von Werner Pluta

    1. 450 MHz Energiewirtschaft gewinnt Streit um Funkfrequenzen
    2. Energiewende Statkraft baut Schwungradspeicher in Schottland