1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Ein Lob für Twitter und…

Übertragung im Klartext...

  1. Thema

Neues Thema Ansicht wechseln


  1. Übertragung im Klartext...

    Autor: Epaminaidos 04.05.18 - 17:37

    "Doch auch bei der Verwendung von Passwort-Hashes wird das Passwort beim Login im Klartext übertragen."
    Das mag bei den beiden Firmen so sein, ist aber keine Notwendigkeit.
    Mittels "Challenge-Response-Verfahren" kann man einen Login bauen, bei dem nur der Hash vom Passwort-Hash übertragen wird. Da schadet es auch nicht, wenn der versehentlich in einer Logdatei landet.

    Bei diesem Verfahren geht nur bei einer Passwortänderung einmalig der Passwort-Hash über die Leitung und das war es. Da würde die Menge der Betroffenen stark reduzieren.

  2. Re: Übertragung im Klartext...

    Autor: m0rphU 04.05.18 - 18:09

    Epaminaidos schrieb:
    --------------------------------------------------------------------------------
    > Bei diesem Verfahren geht nur bei einer Passwortänderung einmalig der
    > Passwort-Hash über die Leitung und das war es. Da würde die Menge der
    > Betroffenen stark reduzieren.

    Witziger Zufall:
    Bei Github trat das Leck bei der Passwortänderung nach einem Passwort-Reset auf.



    1 mal bearbeitet, zuletzt am 04.05.18 18:21 durch m0rphU.

  3. Re: Übertragung im Klartext...

    Autor: Mingfu 04.05.18 - 18:17

    So, wie du das beschreibst, ist das sinnlos. Denn das Verfahren wäre nicht wesentlich sicherer als das Speichern von Klartextpasswörtern. Wer auf irgendeine Weise an den Passwort-Hash gelangt (Server wurde kompromittiert o. ä.), kann sich in Zukunft einfach damit anmelden, denn die Anmeldung ist ja dann nichts weiter als das nochmalige Hashen dieses Hashes (ggf. mit einem verbindungsindividuellen Nonce-Wert).

    Im Gegensatz zu deiner Beschreibung gibt es allerdings mit SRP ein ähnliches Verfahren, welches tatsächlich auch sicher ist, weil sich aus der Information, die auf dem Server gespeichert wird, nicht die nötige Anmeldeinformation errechnen lässt. Der Server kann mit der ihm vorliegenden Information lediglich überprüfen, dass dem Client die richtige Information vorgelegen haben muss (Zero-Knowledge-Schema).

    Das kann man allerdings nur mit JavaScript im Browser implementieren bzw. in entsprechenden Apps. Wer einen Browser ohne JavaScript verwendet, wäre also außen vor, wobei ich das inzwischen als verschmerzbar ansehen würde.

  4. Re: Übertragung im Klartext...

    Autor: Epaminaidos 04.05.18 - 23:01

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Wer auf
    > irgendeine Weise an den Passwort-Hash gelangt (Server wurde kompromittiert
    > o. ä.), kann sich in Zukunft einfach damit anmelden, denn die Anmeldung ist
    > ja dann nichts weiter als das nochmalige Hashen dieses Hashes (ggf. mit
    > einem verbindungsindividuellen Nonce-Wert).

    "Sinnlos" würde ich nicht sagen. Denn bei dem Verfahren verlässt der Klartext des Passworts den Rechner des Nutzers nicht mehr. Damit kann er nicht versehentlich in irgendwelchen Logs oder ähnlichem landen. Und sollte der Hash tatsächlich in fremde Hände geraten, ist er für andere Dienste erstmal sinnlos. Dafür müsste man noch das Kennwort im Klartext brute-forcen.

    SRP kannte ich noch nicht. Gleich mal lesen.

  5. Re: Übertragung im Klartext...

    Autor: xmaniac 05.05.18 - 01:58

    Mingfu, wird bei SRP eigentlich etwas lokal in Cookies gespeichert? Den viele vergessen, das die oft unverschlüsselt im Header über die Leitung gehen. Das würde also nur mit Https funktionierten (was ohnehin Standard sein sollte, aber das wäre ein anderes Thema)

  6. Re: Übertragung im Klartext...

    Autor: Mingfu 05.05.18 - 11:05

    Für SRP muss auf dem Client nichts persistent gespeichert werden. Demzufolge ist für die reine Passwort-Verifikation kein Cookie o. ä. nötig.

    Nur: Was würde eine Passwort-Eingabe ohne spätestens anschließendes Nutzen einer verschlüsselten Verbindung bringen? Ein Angreifer könnte alle Daten mitlesen bzw. manipulieren. Da bräuchte man schlicht keine Passwortüberprüfung, weil ohnehin jeder unterwegs alles mit den Daten machen kann.

  7. Re: Übertragung im Klartext...

    Autor: hyperlord 05.05.18 - 21:35

    Wenn Du auf dem Client das Passwort hashst und nur das dem server schickst, dann ist aus serversicht der hash dein passwort. Du gewinnst damit gar nix.

  8. Re: Übertragung im Klartext...

    Autor: thrust26 05.05.18 - 22:08

    Doch, falls dasselbe Passwort auf verschiedenen Webseiten verwendet wird (wie es die meisten machen).

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Energieversorgung Mittelrhein AG, Koblenz
  2. RMG Messtechnik GmbH, Beindersheim (Raum Mannheim)
  3. Regierungspräsidium Darmstadt, Darmstadt
  4. Stadt Lauf a.d.Pegnitz, Lauf a.d.Pegnitz bei Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 84,90€ auf Geizhals
  2. 86,51€ (Vergleichspreis 98,62€ + Lieferzeit, 103,78€ sofort verfügbar)
  3. 418,15€
  4. 515,65€


Haben wir etwas übersehen?

E-Mail an news@golem.de