Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsproblem: Alle Kunden von…

In 99,9 % der Fälle wird erst beim Dienst gehasht

  1. Thema

Neues Thema Ansicht wechseln


  1. In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: redmord 29.11.18 - 12:16

    - User gibt Passwort ein
    - Passwort wird via HTTPS (hoffentlich) in Klartext übertragen
    - Dienst hasht Passwort und vergleicht mit hinterlegtem Hash

    Häufig sind im Hash noch Parameter wie Payload angegeben, weil dieser dynamisch mit den technischen Möglichkeiten wachsen kann. Dies dient dazu den Aufwand für Bruteforce (dem systematischen Eraten mit loser "Gewalt") zu erhöhen. Der Aufwand der Aktion soll hoch sein. Zusätzlich wird noch ein Zufallswert (Salt) mit einbezogen um die Ergebnisse des Hashens *hihi* unvorhersehbarer zu machen.
    Client kennt in der Regel weder Payload noch Salt. Um vergeleichbare Hashes zu erhalten, müssen diese Dinge beim Hashen bekannt sein.

  2. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: Sea 29.11.18 - 12:25

    man kann natürlich auch am Client einen Hash bilden und am Server dann diesen hash selbst noch mal hashen, dieses mal mit einem privaten Salt. Dann hätte man nie das tatsächliche Passwort transportiert

  3. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: cljk 29.11.18 - 12:27

    Sea schrieb:
    --------------------------------------------------------------------------------
    > man kann natürlich auch am Client einen Hash bilden und am Server dann
    > diesen hash selbst noch mal hashen, dieses mal mit einem privaten Salt.
    > Dann hätte man nie das tatsächliche Passwort transportiert

    Das bringt nicht viel. Der zum Server übertragene Hash kann nicht gesaltet sein - oder der Salt muss dem Client vorgegeben werden - sonst kann der nicht mit dem gespeicherten Eintrag verglichen werden.

  4. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: chefin 29.11.18 - 12:57

    Sea schrieb:
    --------------------------------------------------------------------------------
    > man kann natürlich auch am Client einen Hash bilden und am Server dann
    > diesen hash selbst noch mal hashen, dieses mal mit einem privaten Salt.
    > Dann hätte man nie das tatsächliche Passwort transportiert

    Doch, das tatsächliche Passwort wäre dann der Hashwert, der wiederum gehashed und gesalted wird. es ist doch piepschnurzegal, ob man 1234 oder 5678(als Hashwert von 1234) benutzt. Jeder der die Datei erbeutet wird dann halt den Hashwert deines Passwortes rückrechnen können. Zwar weis er dein passwort nicht, aber er muss es auch nicht wissen. Da er nur den Hashwert verschickt, muss er auch nur diesen rausbekommen. Damit wird dein Hashwert zum echten Passwort und dein passwort ist nur ein seed für diesen Hashwert. Ich könnte damit mich einloogen auch wenn ich nur den Clientseitigen Hashwert weis. Der server weis ja nicht, ob ich das berechnet habe oder irgendwo mitgeschnitten.

    Fakt ist jedenfalls das der übertragende Wert nicht dem gespeicherten entsprechen darf. Aber der Übertragende Wert immer mich legitimiert. Den letztendlich sind alles nur 8 Bit Worte die übermittelt werden. Ob Passwort, Hashwert, salted Hashwert. Nicht mal die Länge spielt eine Rolle, da Hashwerte genormte Länge haben, egal wie lang dein Passwort ist.

  5. Re: In 99,9 % der Fälle wird erst beim Dienst gehasht

    Autor: amagol 29.11.18 - 17:03

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Doch, das tatsächliche Passwort wäre dann der Hashwert, der wiederum
    > gehashed und gesalted wird. es ist doch piepschnurzegal, ob man 1234 oder
    > 5678(als Hashwert von 1234) benutzt. Jeder der die Datei erbeutet wird dann
    > halt den Hashwert deines Passwortes rückrechnen können. Zwar weis er dein
    > passwort nicht, aber er muss es auch nicht wissen. Da er nur den Hashwert
    > verschickt, muss er auch nur diesen rausbekommen. Damit wird dein Hashwert
    > zum echten Passwort und dein passwort ist nur ein seed für diesen Hashwert.
    > Ich könnte damit mich einloogen auch wenn ich nur den Clientseitigen
    > Hashwert weis. Der server weis ja nicht, ob ich das berechnet habe oder
    > irgendwo mitgeschnitten.

    Teilweise richtig, wenn es um den einen Dienst geht (aber immerhin bringen vorberechnete Tabellen etc. nicht mehr so viel, da man selbst "passwort" erstmal hashen muss).
    Aber leider verwenden immer noch genug User das gleiche Passwort fuer mehrer Dienste. Oder selbst wenn nicht kann man das echte Passwort gegenueber dem User als Legitimation fuer Scam-Mails verwenden. Mit einem Hash ist das schwierig.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deloitte, Berlin, Düsseldorf, Frankfurt am Main, München
  2. Siltronic AG, Burghausen
  3. Universitätsmedizin Göttingen, Göttingen
  4. regiocom SE, Magdeburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

  1. Gerichtshof der Europäischen Union: Deutscher Rundfunkbeitrag ist legal und zwangsvollstreckbar
    Gerichtshof der Europäischen Union
    Deutscher Rundfunkbeitrag ist legal und zwangsvollstreckbar

    Die Gegner des Rundfunkbeitrags haben vor dem Gerichtshof der Europäischen Union eine Niederlage erlitten. Die Zwangsgebühr sei rechtens und dürfe auch zwangseingetrieben werden.

  2. Neuer Bundesdatenschutzbeauftragter: Kelber will sich "die Großen" vorknöpfen
    Neuer Bundesdatenschutzbeauftragter
    Kelber will sich "die Großen" vorknöpfen

    Viele erwarten, dass der Diskurs um Datenschutz durch den neuen Bundesbeauftragten Ulrich Kelber wiederbelebt wird. Die schwierigere Herausforderung für den Informatiker besteht jedoch darin, Datenschutz gegenüber großen IT-Firmen wie Microsoft und Facebook sowie Polizei und Verfassungsschutz durchzusetzen.

  3. Nuraphone im Test: Kopfhörer mit eingebautem Hörtest und Spitzenklang
    Nuraphone im Test
    Kopfhörer mit eingebautem Hörtest und Spitzenklang

    Die Kopfhörer von Nura sehen auf den Ohren aus wie normale Over-Ear-Kopfhörer, im Inneren stecken aber auch In-Ear-Stöpsel. Das ermöglicht einen automatisierten Hörtest für individuelle Frequenzeinstellungen und eine Höhen-/Mitten- und Bass-Trennung für unglaublich guten Klang - inklusive Noise Cancelling.


  1. 13:34

  2. 13:30

  3. 12:00

  4. 11:55

  5. 11:40

  6. 10:55

  7. 10:39

  8. 10:27