Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsproblem: Alle Kunden von…

In 99,9 % der Fälle wird erst beim Dienst gehasht

  1. Thema

Neues Thema Ansicht wechseln


  1. In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: redmord 29.11.18 - 12:16

    - User gibt Passwort ein
    - Passwort wird via HTTPS (hoffentlich) in Klartext übertragen
    - Dienst hasht Passwort und vergleicht mit hinterlegtem Hash

    Häufig sind im Hash noch Parameter wie Payload angegeben, weil dieser dynamisch mit den technischen Möglichkeiten wachsen kann. Dies dient dazu den Aufwand für Bruteforce (dem systematischen Eraten mit loser "Gewalt") zu erhöhen. Der Aufwand der Aktion soll hoch sein. Zusätzlich wird noch ein Zufallswert (Salt) mit einbezogen um die Ergebnisse des Hashens *hihi* unvorhersehbarer zu machen.
    Client kennt in der Regel weder Payload noch Salt. Um vergeleichbare Hashes zu erhalten, müssen diese Dinge beim Hashen bekannt sein.

  2. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: Sea 29.11.18 - 12:25

    man kann natürlich auch am Client einen Hash bilden und am Server dann diesen hash selbst noch mal hashen, dieses mal mit einem privaten Salt. Dann hätte man nie das tatsächliche Passwort transportiert

  3. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: cljk 29.11.18 - 12:27

    Sea schrieb:
    --------------------------------------------------------------------------------
    > man kann natürlich auch am Client einen Hash bilden und am Server dann
    > diesen hash selbst noch mal hashen, dieses mal mit einem privaten Salt.
    > Dann hätte man nie das tatsächliche Passwort transportiert

    Das bringt nicht viel. Der zum Server übertragene Hash kann nicht gesaltet sein - oder der Salt muss dem Client vorgegeben werden - sonst kann der nicht mit dem gespeicherten Eintrag verglichen werden.

  4. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: chefin 29.11.18 - 12:57

    Sea schrieb:
    --------------------------------------------------------------------------------
    > man kann natürlich auch am Client einen Hash bilden und am Server dann
    > diesen hash selbst noch mal hashen, dieses mal mit einem privaten Salt.
    > Dann hätte man nie das tatsächliche Passwort transportiert

    Doch, das tatsächliche Passwort wäre dann der Hashwert, der wiederum gehashed und gesalted wird. es ist doch piepschnurzegal, ob man 1234 oder 5678(als Hashwert von 1234) benutzt. Jeder der die Datei erbeutet wird dann halt den Hashwert deines Passwortes rückrechnen können. Zwar weis er dein passwort nicht, aber er muss es auch nicht wissen. Da er nur den Hashwert verschickt, muss er auch nur diesen rausbekommen. Damit wird dein Hashwert zum echten Passwort und dein passwort ist nur ein seed für diesen Hashwert. Ich könnte damit mich einloogen auch wenn ich nur den Clientseitigen Hashwert weis. Der server weis ja nicht, ob ich das berechnet habe oder irgendwo mitgeschnitten.

    Fakt ist jedenfalls das der übertragende Wert nicht dem gespeicherten entsprechen darf. Aber der Übertragende Wert immer mich legitimiert. Den letztendlich sind alles nur 8 Bit Worte die übermittelt werden. Ob Passwort, Hashwert, salted Hashwert. Nicht mal die Länge spielt eine Rolle, da Hashwerte genormte Länge haben, egal wie lang dein Passwort ist.

  5. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: amagol 29.11.18 - 17:03

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Doch, das tatsächliche Passwort wäre dann der Hashwert, der wiederum
    > gehashed und gesalted wird. es ist doch piepschnurzegal, ob man 1234 oder
    > 5678(als Hashwert von 1234) benutzt. Jeder der die Datei erbeutet wird dann
    > halt den Hashwert deines Passwortes rückrechnen können. Zwar weis er dein
    > passwort nicht, aber er muss es auch nicht wissen. Da er nur den Hashwert
    > verschickt, muss er auch nur diesen rausbekommen. Damit wird dein Hashwert
    > zum echten Passwort und dein passwort ist nur ein seed für diesen Hashwert.
    > Ich könnte damit mich einloogen auch wenn ich nur den Clientseitigen
    > Hashwert weis. Der server weis ja nicht, ob ich das berechnet habe oder
    > irgendwo mitgeschnitten.

    Teilweise richtig, wenn es um den einen Dienst geht (aber immerhin bringen vorberechnete Tabellen etc. nicht mehr so viel, da man selbst "passwort" erstmal hashen muss).
    Aber leider verwenden immer noch genug User das gleiche Passwort fuer mehrer Dienste. Oder selbst wenn nicht kann man das echte Passwort gegenueber dem User als Legitimation fuer Scam-Mails verwenden. Mit einem Hash ist das schwierig.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. PPA Gesellschaft für Finanzanalyse und Benchmarks mbH, Darmstadt
  2. TUI InfoTec GmbH, Hannover
  3. Freiberger Lebensmittel GmbH & Co. Produktions- und Vertriebs KG, Berlin
  4. MailStore Software GmbH, Viersen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,99€
  2. 39,99€
  3. 7,99€
  4. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
    Oneplus 7 Pro im Hands on
    Neue Konkurrenz für die Smartphone-Oberklasse

    Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
    Ein Hands on von Ingo Pakalski

    1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
    2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
    3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

    Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
    Zulassung autonomer Autos
    Der Mensch fährt besser als gedacht

    Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
    Von Friedhelm Greis

    1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
    2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
    3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

    1. Karlsdorf-Neuthard: Telekom überbaut Glasfaser der Gemeinde mit Vectoring
      Karlsdorf-Neuthard
      Telekom überbaut Glasfaser der Gemeinde mit Vectoring

      Die Telekom wollte in einer Gemeinde keine Glasfaser ausbauen. Als Karlsdorf-Neuthard selbst ein Netz verlegte, wurde mit Vectoring überbaut. Die Gemeinde musste aufhören.

    2. Glücksspiel: Nintendo schaltet zwei Mobile Games in Belgien ab
      Glücksspiel
      Nintendo schaltet zwei Mobile Games in Belgien ab

      Fire Emblem Heroes und Animal Crossing Pocket Camp haben demnächst ein paar Spieler weniger: Nintendo will die beiden Mobile Games in Belgien vollständig vom Markt nehmen.

    3. Entwicklung: Github will Behebung von Sicherheitslücken vereinfachen
      Entwicklung
      Github will Behebung von Sicherheitslücken vereinfachen

      Die Funktion zur Sicherheitswarnung von Github wird so erweitert, dass die Plattform auch direkt die Patches zum Einpflegen bereitstellt. Entwickler können Lücken und deren Lösung zudem in geschlossenen Gruppen betreuen.


    1. 19:15

    2. 19:00

    3. 18:45

    4. 18:26

    5. 18:10

    6. 17:48

    7. 16:27

    8. 15:30