Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsproblem: Alle Kunden von…

In 99,9 % der Fälle wird erst beim Dienst gehasht

  1. Thema

Neues Thema Ansicht wechseln


  1. In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: redmord 29.11.18 - 12:16

    - User gibt Passwort ein
    - Passwort wird via HTTPS (hoffentlich) in Klartext übertragen
    - Dienst hasht Passwort und vergleicht mit hinterlegtem Hash

    Häufig sind im Hash noch Parameter wie Payload angegeben, weil dieser dynamisch mit den technischen Möglichkeiten wachsen kann. Dies dient dazu den Aufwand für Bruteforce (dem systematischen Eraten mit loser "Gewalt") zu erhöhen. Der Aufwand der Aktion soll hoch sein. Zusätzlich wird noch ein Zufallswert (Salt) mit einbezogen um die Ergebnisse des Hashens *hihi* unvorhersehbarer zu machen.
    Client kennt in der Regel weder Payload noch Salt. Um vergeleichbare Hashes zu erhalten, müssen diese Dinge beim Hashen bekannt sein.

  2. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: Sea 29.11.18 - 12:25

    man kann natürlich auch am Client einen Hash bilden und am Server dann diesen hash selbst noch mal hashen, dieses mal mit einem privaten Salt. Dann hätte man nie das tatsächliche Passwort transportiert

  3. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: cljk 29.11.18 - 12:27

    Sea schrieb:
    --------------------------------------------------------------------------------
    > man kann natürlich auch am Client einen Hash bilden und am Server dann
    > diesen hash selbst noch mal hashen, dieses mal mit einem privaten Salt.
    > Dann hätte man nie das tatsächliche Passwort transportiert

    Das bringt nicht viel. Der zum Server übertragene Hash kann nicht gesaltet sein - oder der Salt muss dem Client vorgegeben werden - sonst kann der nicht mit dem gespeicherten Eintrag verglichen werden.

  4. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: chefin 29.11.18 - 12:57

    Sea schrieb:
    --------------------------------------------------------------------------------
    > man kann natürlich auch am Client einen Hash bilden und am Server dann
    > diesen hash selbst noch mal hashen, dieses mal mit einem privaten Salt.
    > Dann hätte man nie das tatsächliche Passwort transportiert

    Doch, das tatsächliche Passwort wäre dann der Hashwert, der wiederum gehashed und gesalted wird. es ist doch piepschnurzegal, ob man 1234 oder 5678(als Hashwert von 1234) benutzt. Jeder der die Datei erbeutet wird dann halt den Hashwert deines Passwortes rückrechnen können. Zwar weis er dein passwort nicht, aber er muss es auch nicht wissen. Da er nur den Hashwert verschickt, muss er auch nur diesen rausbekommen. Damit wird dein Hashwert zum echten Passwort und dein passwort ist nur ein seed für diesen Hashwert. Ich könnte damit mich einloogen auch wenn ich nur den Clientseitigen Hashwert weis. Der server weis ja nicht, ob ich das berechnet habe oder irgendwo mitgeschnitten.

    Fakt ist jedenfalls das der übertragende Wert nicht dem gespeicherten entsprechen darf. Aber der Übertragende Wert immer mich legitimiert. Den letztendlich sind alles nur 8 Bit Worte die übermittelt werden. Ob Passwort, Hashwert, salted Hashwert. Nicht mal die Länge spielt eine Rolle, da Hashwerte genormte Länge haben, egal wie lang dein Passwort ist.

  5. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: amagol 29.11.18 - 17:03

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Doch, das tatsächliche Passwort wäre dann der Hashwert, der wiederum
    > gehashed und gesalted wird. es ist doch piepschnurzegal, ob man 1234 oder
    > 5678(als Hashwert von 1234) benutzt. Jeder der die Datei erbeutet wird dann
    > halt den Hashwert deines Passwortes rückrechnen können. Zwar weis er dein
    > passwort nicht, aber er muss es auch nicht wissen. Da er nur den Hashwert
    > verschickt, muss er auch nur diesen rausbekommen. Damit wird dein Hashwert
    > zum echten Passwort und dein passwort ist nur ein seed für diesen Hashwert.
    > Ich könnte damit mich einloogen auch wenn ich nur den Clientseitigen
    > Hashwert weis. Der server weis ja nicht, ob ich das berechnet habe oder
    > irgendwo mitgeschnitten.

    Teilweise richtig, wenn es um den einen Dienst geht (aber immerhin bringen vorberechnete Tabellen etc. nicht mehr so viel, da man selbst "passwort" erstmal hashen muss).
    Aber leider verwenden immer noch genug User das gleiche Passwort fuer mehrer Dienste. Oder selbst wenn nicht kann man das echte Passwort gegenueber dem User als Legitimation fuer Scam-Mails verwenden. Mit einem Hash ist das schwierig.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ETAS, Stuttgart
  2. Dürr Systems AG, Bietigheim-Bissingen
  3. Schwäbische Werkzeugmaschinen GmbH, Tettnang
  4. Voith GmbH & Co. KGaA, Heidenheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 49,99€ (spare 4€ zusätzlich bei Zahlung mit Paysafecard) - Release am 15.3.
  2. (-67%) 9,99€
  3. 34,49€
  4. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Karma-Spyware: Wie US-Auftragsspione beliebige iPhones hackten
Karma-Spyware
Wie US-Auftragsspione beliebige iPhones hackten

Eine Spionageabteilung im Auftrag der Vereinigten Arabischen Emirate soll die iPhones von Aktivisten, Diplomaten und ausländischen Regierungschefs gehackt haben. Das Tool sei wie Weihnachten gewesen, sagte eine frühere NSA-Mitarbeiterin und Ex-Kollegin von Edward Snowden.
Ein Bericht von Friedhelm Greis

  1. Update O2-Nutzer berichten über eSIM-Ausfälle beim iPhone
  2. Apple iPhone 11 soll Trio-Kamerasystem erhalten
  3. iPhone mit eSIM im Test Endlich Dual-SIM auf dem iPhone

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

  1. Citroën Ami One: Elektrokreuzung zwischen Mofa und Auto
    Citroën Ami One
    Elektrokreuzung zwischen Mofa und Auto

    Citroën hat mit dem Ami One ein Konzeptfahrzeug vorgestellt, das zwar nur 45 km/h erreicht, aber keinen Pkw-Führerschein erfordert. Die Reichweite des kompakten vierrädrigen Fahrzeugs liegt bei 100 km.

  2. Nike Adapt BB: Android-App macht smarte Schuhe dumm
    Nike Adapt BB
    Android-App macht smarte Schuhe dumm

    Nikes selbstschnürende Schuhe Adapt BB können bei einem fehlschlagenden Firmware-Update via Android-App ihre smarten Funktionen verlieren. Mit iOS verläuft das Update problemlos.

  3. O2 Free Unlimited Flex: Tarif mit echter Datenflatrate ohne Zweijahresvertrag
    O2 Free Unlimited Flex
    Tarif mit echter Datenflatrate ohne Zweijahresvertrag

    Telefónica bietet als einziger der drei Mobilfunknetzbetreiber in Deutschland eine unlimitierte Datenflatrate ohne lange Vertragslaufzeit an. Der monatliche Grundpreis für den ansonsten gleichen O2-Free-Tarif erhöht sich dadurch.


  1. 08:01

  2. 07:44

  3. 07:30

  4. 20:46

  5. 20:30

  6. 20:30

  7. 20:30

  8. 18:15