1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Ein Lob für Twitter und…

Wieso Lob?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wieso Lob?

    Autor: thrust26 05.05.18 - 20:51

    Passwörter kann man nur im Klartext speichern, wenn sie auch als solche übertragen werden. D.h. hier sind mindestens zwei "Versehen" im Spiel und die Aussagen von Twitter und Guthub sind somit nur die halbe Wahrheit. Warum sollte man das loben?

  2. Re: Wieso Lob?

    Autor: PineapplePizza 05.05.18 - 22:05

    thrust26 schrieb:
    --------------------------------------------------------------------------------
    > Passwörter kann man nur im Klartext speichern, wenn sie auch als solche
    > übertragen werden.

    Alle Passwörter werden im Klartext übertragen (durch einen verschlüssten HTTPS/TLS Transport, ja, aber das ist Klartext für die Client und Server Endpunkte).

    Es ist unüblich, wenn nicht gar unmöglich, die Passwörter schon auf Client-Seite zu hashen. Mit JavaScript könntest du das zwar realisieren, aber es gibt ja genug, die JavaScript deaktivieren.

    Und einen Standard, mit dem der Browser das machen würde - gibt es mW nicht.

  3. Re: Wieso Lob?

    Autor: thrust26 05.05.18 - 22:07

    Ich glaube Twitter und Github funktionieren gar nicht ohne JavaScript. Insofern ginge das zumindest bei den beiden schon, oder?

  4. Re: Wieso Lob?

    Autor: PineapplePizza 06.05.18 - 01:32

    thrust26 schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube Twitter und Github funktionieren gar nicht ohne JavaScript.
    > Insofern ginge das zumindest bei den beiden schon, oder?

    Macht man halt so nicht.

    Hashes sind auch einfach viel zu kurzlebig. Alle halbe Jahre gibts was neues. Bei dem System wärst du aber auf ewig auf einen bestimmten Hash angewiesen. Einen neuen Hash kann der Server denn ja nicht kennen.

    Iterativ ist nicht mehr gut genug, muss auch noch Memory-Hard sein.

    Und was Memory-Hard bedeutet, am Anfang warens ein paar Kilobytes RAM, dann bitteschön ein paar Megabytes, dann paar mal verdoppeln das ganze...

    Es ist totaler Quatsch. Am Ende führt kein Weg daran vorbei, jeder Seite ein eigenes Passwort mit hoher Entropie zu spendieren.



    2 mal bearbeitet, zuletzt am 06.05.18 01:33 durch PineapplePizza.

  5. Re: Wieso Lob?

    Autor: thrust26 06.05.18 - 08:42

    Ich behaupte mal >95% aller Nutzer wird (wenn sie überhaupt sichere Passwörter nutzen) nicht in der Lage sein für jede Website auch noch ein eigenes Passwort zu verwenden (und zu merken!).

  6. Re: Wieso Lob?

    Autor: nf1n1ty 06.05.18 - 12:22

    thrust26 schrieb:
    --------------------------------------------------------------------------------
    > Ich behaupte mal >95% aller Nutzer wird (wenn sie überhaupt sichere
    > Passwörter nutzen) nicht in der Lage sein für jede Website auch noch ein
    > eigenes Passwort zu verwenden (und zu merken!).

    Ja, das funktioniert ja tatsächlich nur mit Passwort-Managern.

    ___________________________________________________________
    Wenn einer fuddelt, dann klatscht et. Echt jetzt Junge!

  7. Re: Wieso Lob?

    Autor: Tuxgamer12 06.05.18 - 17:38

    PineapplePizza schrieb:
    --------------------------------------------------------------------------------
    > Hashes sind auch einfach viel zu kurzlebig. Alle halbe Jahre gibts was
    > neues. Bei dem System wärst du aber auf ewig auf einen bestimmten Hash
    > angewiesen. Einen neuen Hash kann der Server denn ja nicht kennen.

    Na das ist aber Blödsinn.

    Übrigens im Gegensatz zum Javascript-Argument - per Javascript hashen ist natürlich technisch trivial, aber Github kommt man tatsächlich ziemlich weit ohne Javascript. Finde ich immer nett, wenn Seiten nicht zwingend Javascript vorraussetzen.

    Aber zurück zu "Hashes sind auch einfach viel zu kurzlebig" - jetzt sendest du also dein Passwort im Klartext, der Server hashts, speichert den Hash und verwirft das Passwort in Klartext weg. Und was hast du gewonnen?
    Richtig: Nichts. Kannst genauso wenig auf neuen Hash umsteigen, ohne dir neues Passwort im Klartext vom Nutzer zuschicken zu lassen (z.B. beim nächsten Login ;) ).

  8. Re: Wieso Lob?

    Autor: Tuxgamer12 06.05.18 - 18:07

    thrust26 schrieb:
    --------------------------------------------------------------------------------
    > Passwörter kann man nur im Klartext speichern, wenn sie auch als solche
    > übertragen werden. D.h. hier sind mindestens zwei "Versehen" im Spiel

    Moment, du verstehst aber schon den Sinn vom Hashen?

    Natürlich musst du Passwörter im Klartext übertragen 1). Sonst kannst du dir das Hashen logisch auch gleich sparen.

    Der ganze Witz ist doch, dass du ein "wertvolleres" Geheimniss brauchst um dich einzuloggen, als auf dem Server gespeichert wird.

    Angenommen, du überträgst nur den Hash - wofür brauchst du dann das Passwort?

    Wenn du dann die Hashs aus der Datenbank geklaut hast; dann kannst doch einfach die Hashs den Server schicken. Der Server weiß doch nicht, ob du den Hash gerade aus dem Passwort berechnet hast oder nicht ;).

    Gut, das wird wohl nicht über die normalen Button und Textfelder gehen, die du als Nutzer zu sehen bekommst. Aber die Entwickleroptionen des Browsers zu nutzen ist ja wohl nicht sooo schwer.


    1) Gut, zugegeben: Im Falle Github trat der Fehler nur beim Passwort reset auf. Beim Passwort setzen wäre theoretisch im Gegensatz zum Login Klarpasswörter nicht unbedingt notwendig.
    Aber im Ernst: Wieso beim Passwort Reset Stress machen mit Javascript, wenn du beim nächsten Login (häufiger und wohl meistens unmittelbar danach) sowieso dein Klarpasswort senden musst?



    1 mal bearbeitet, zuletzt am 06.05.18 18:08 durch Tuxgamer12.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stadt Leinfelden-Echterdingen, Leinfelden-Echterdingen bei Stuttgart
  2. Statistisches Bundesamt, Wiesbaden
  3. Conditorei Coppenrath & Wiese KG, Mettingen
  4. Bundesanstalt für Immobilienaufgaben, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 11,49€
  2. 31€
  3. 59,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de