Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Mozilla BrowserID: Ein…

Brauchen wir das noch?

  1. Thema

Neues Thema Ansicht wechseln


  1. Brauchen wir das noch?

    Autor: BlaM 4cheaters.de 15.07.11 - 10:34

    Brauchen wir wirklich noch eine weitere "getrickste" Single SignOn Lösung?

    Heute kann man sich doch in der Regel schon mit Twitter, Facebook, Google oder - allgemein - OpenID auf Webseiten einloggen.

    Der einzig sinnvolle nächste Schritt wäre es mit "echten" Client-Zertifikaten was zu machen. Da muss man nicht so "rumpfrickeln" und E-Mail für noch was anderes benutzen. Es ist langsam kompliziert genug einen eigenen (Firmen-)Mailserver zu betreiben.

  2. Re: Brauchen wir das noch?

    Autor: dabbes 15.07.11 - 11:22

    Klingt für mich insgesamt einfach zu kompliziert und wird daran schon scheitern.

    Wenn Seiten OpenID, FB, Twitter oder google Login anbieten, dann hat man wohl schon 99% erschlagen (von Usern die sowas nutzen).
    Für den Rest gilt Benutzer + Passwort.

  3. Re: Brauchen wir das noch?

    Autor: /mecki78 15.07.11 - 11:37

    Also ich nicht. Ich habe LastPass, so wie alle meine Bekannten, Freunde und Familie. Damit sharen wir uns sogar Passwörter. Jede Webseite hat bei mir ein eigenes, zufälliges Passwort zwischen 8 und 24 Zeichen (warum nicht, muss sie mir ja nicht merken) und alles was ich machen muss ist einmal beim öffnen des Browsers mein LP Passwort einzugeben und danach werde ich überall automatisch eingeloggt, bis ich den Browser zu mache oder mich bei LP auslogge oder meinen Computer 15 Minuten lang nicht benutze (dann werde ich bei LP automatisch ausgeloggt laut meinen Einstellungen). Da die Passwörter in der Cloud liegen, habe ich auf allen Rechnern, die ich regelmäßig benutze (das sind immerhin 5 verschiedene), immer alle Passwörter zur Verfügung und sobald ich irgendwo einen neuen Login erstelle, steht dieser sofort allen anderen Rechnern auch zu Verfügung.

    Und bevor jemand sagt "Passwörter und Cloud? Spinnst du?". Bei LP liegen die Passwörter verschlüsselt in der Cloud und werden immer auf deinem Rechner daheim ver- und entschlüsselt. Das dazu nötige Passwort ist LP selber nicht bekannt, d.h. selbst wenn sie wollten, könnten sie nicht an deine Passwörter. Auch kann man 2-Faktor Authentifizierung benutzen, d.h. zusätzlich zum Passwort kann man auch ein physikalisches Device oder eine spezielle Tabelle verwenden, ähnlich der iTANs von Banken. Und man kann sich auch One Time Passwörter erzeugen, damit man sich von unsicheren Rechnern bei LP einloggen kann, ohne sein *ECHTES* Masterpasswort einem Keylogger auszuliefern. Auch Datenverlust ist kein Thema. LP selber hat eine redundante Infrastruktur und zusätzlich zu ihren eigenen Backups machen sie noch regelmäßig Backups zum Amazon S3 Service. D.h. die Daten liegen in 3-facher Kopie vor.

    LP gibt es als Plugin für Firefox, Chrome, IE, Safari und als App für Android, Blackberry, iPhone, etc.

    /Mecki

  4. Re: Brauchen wir das noch?

    Autor: y.m.m.d. 15.07.11 - 13:18

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Also ich nicht. Ich habe LastPass, so wie alle meine Bekannten, Freunde und
    > Familie. Damit sharen wir uns sogar Passwörter. Jede Webseite hat bei mir
    > ein eigenes, zufälliges Passwort zwischen 8 und 24 Zeichen (warum nicht,
    > muss sie mir ja nicht merken) und alles was ich machen muss ist einmal beim
    > öffnen des Browsers mein LP Passwort einzugeben und danach werde ich
    > überall automatisch eingeloggt, bis ich den Browser zu mache oder mich bei
    > LP auslogge oder meinen Computer 15 Minuten lang nicht benutze (dann werde
    > ich bei LP automatisch ausgeloggt laut meinen Einstellungen). Da die
    > Passwörter in der Cloud liegen, habe ich auf allen Rechnern, die ich
    > regelmäßig benutze (das sind immerhin 5 verschiedene), immer alle
    > Passwörter zur Verfügung und sobald ich irgendwo einen neuen Login
    > erstelle, steht dieser sofort allen anderen Rechnern auch zu Verfügung.
    >
    > Und bevor jemand sagt "Passwörter und Cloud? Spinnst du?". Bei LP liegen
    > die Passwörter verschlüsselt in der Cloud und werden immer auf deinem
    > Rechner daheim ver- und entschlüsselt. Das dazu nötige Passwort ist LP
    > selber nicht bekannt, d.h. selbst wenn sie wollten, könnten sie nicht an
    > deine Passwörter. Auch kann man 2-Faktor Authentifizierung benutzen, d.h.
    > zusätzlich zum Passwort kann man auch ein physikalisches Device oder eine
    > spezielle Tabelle verwenden, ähnlich der iTANs von Banken. Und man kann
    > sich auch One Time Passwörter erzeugen, damit man sich von unsicheren
    > Rechnern bei LP einloggen kann, ohne sein *ECHTES* Masterpasswort einem
    > Keylogger auszuliefern. Auch Datenverlust ist kein Thema. LP selber hat
    > eine redundante Infrastruktur und zusätzlich zu ihren eigenen Backups
    > machen sie noch regelmäßig Backups zum Amazon S3 Service. D.h. die Daten
    > liegen in 3-facher Kopie vor.
    >
    > LP gibt es als Plugin für Firefox, Chrome, IE, Safari und als App für
    > Android, Blackberry, iPhone, etc.

    Klingt interessant :)

  5. Re: Brauchen wir das noch?

    Autor: s4mba 15.07.11 - 13:36

    Naja, vertrauenswürdig ist was anderes...

    http://www.chip.de/news/LastPass-Online-Passwortspeicher-geknackt_48879748.html

  6. Re: Brauchen wir das noch?

    Autor: /mecki78 15.07.11 - 23:43

    s4mba schrieb:
    --------------------------------------------------------------------------------
    > Naja, vertrauenswürdig ist was anderes...

    Also ich finde das höchst vertrauenswürdig, wenn ein Anbieter, nur aufgrund der Tatsache, dass er "ungewöhnlich hohen Datenverkehr" bemerkt hat, ohne jeglichen Beweis, dass irgendwer von extern Zugriff auf die Datenbank hatte, sicherheitshalber alle Accounts so lange sperrt, bis die Nutzer ihr Master Passwörter geändert haben. Die meisten Anbieter würden sagen: Nichts in den Logs, ist wohl auch nichts passiert. Was kümmert mich ein bisschen hoher Traffic?

    Man kann LP höchstens vorwerfen, dass sie übervorsichtig sind. Wenn sie nicht so reagiert hätten, hätte niemand davon erfahren, sie hätten das ganze schön stillschweigend unter dem Tisch fallen lassen, so wie das 99,99% aller anderen Anbieter tun, solange bis es nicht mehr zu leugnen ist, und das nenne ich dann nicht vertrauenswürdig. Die Macher hinter LP geben ja sogar offen zu, dass sie nicht nur vorsichtig, sondern fast schon paranoid sind (alles wird doppelt und dreifach gehashed mit zufälligen Salt werten, nichts liegt irgendwo zu irgend einem Zeitpunkt unverschlüsselt herum, usw.)

    Abgesehen davon, dass dieser Newsbeitrag bei Chip etwa auf Bildzeitungsniveau liegt, und bis heute kein Beweis oder auch nur ein eindeutiges Indiz existiert, dass irgend jemand sich Zugriff verschafft hätte, muss man hier schon genau aufpassen, wenn mit Worten wie "geknackt" hantiert wird. Mag theoretisch sein, dass irgendwer den Zugang zum Server geknackt hat und mag sein, dass er sogar die ganze Datenbank kopiert hat. Toll. Jetzt hat er eine Datenbank mit Daten, die mit einem gehashten Schlüssel verschlüsselt sind. Und jetzt? Um auch nur einen Datensatz davon entschlüsseln zu können, braucht er folgende Informationen:

    1) Er muss die E-mail Adresse des Nutzers kennen, zu dem dieser Datensatz gehört (in der Datenbank sind nur zufällige UserIDs gespeichert)

    2) Er muss das MasterPasswort des Nutzers kennen, dass in meinem Fall über 15 Zeichen lang ist, aus Groß- und Kleinbuchstaben, so wie Sonderzeichen besteht und so in keinem Wörterbuch der Welt zu finden ist.

    Nur wenn er das richtige MasterPasswort mit der Richtigen E-mail Adresse hashed und mit dem Ergebnis den richtigen Datensatz entschlüsselt kommt er jemals an brauchbare Daten heran. Andernfalls kann er ja mal versuchen AES-256 per Brute Force zu knacken, viel Spaß. Vielleicht werden es seine Urururururururenkel erleben, dass der Computer einen einzigen Datensatz so entschlüsselt bekommt. Dummerweise muss er dann für den zweiten wieder bei 0 anfangen und der braucht somit genauso lange. Bis dahin sind alle diese Webseiten, für die die Passwörter sind wahrscheinlich schon 1000 Jahre lang Asche.

    Die Sicherheit bei LP basiert eben nicht darauf, dass niemand an die Daten ran kommt. Die Sicherheit bei LP basiert primär darauf, dass selbst wenn jemand an die Daten kommt, er es nie im Leben schafft, diese zu knacken. Nicht wenn du ihn die dafür nötige Information nicht direkt in die Hand spielst. Und wenn du das tust, dann ist jedes PIN oder Passwort basierte System dieser Welt zu knacken. Um das zu verhindern, gibt es ja 2-Faktor Authentifizierung bei LP und One Time Passwörter.

    /Mecki

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Kassenärztliche Vereinigung Berlin, Berlin
  2. NOVENTI Health SE, Oberhausen, Mannheim, Gefrees
  3. Infokom GmbH, Karlsruhe
  4. DAKOSY Datenkommunikationssystem AG, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 107€ (Bestpreis!)
  3. ab 369€ + Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


CO2-Emissionen und Lithium: Ist das Elektroauto wirklich ein Irrweg?
CO2-Emissionen und Lithium
Ist das Elektroauto wirklich ein Irrweg?

In den vergangenen Monaten ist die Kritik an batteriebetriebenen Elektroautos stärker geworden. Golem.de hat sich die Argumente der vielen Kritiker zur CO2-Bilanz und zum Rohstoff-Abbau einmal genauer angeschaut.
Eine Analyse von Friedhelm Greis

  1. Reichweitenangst Mit dem E-Auto von China nach Deutschland
  2. Ari 458 Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
  3. Nobe 100 Dreirädriges Retro-Elektroauto parkt senkrecht an der Wand

Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Switch Wenn die Analogsticks wandern
  2. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  3. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch

Linux-Gaming: Steam Play or GTFO!
Linux-Gaming
Steam Play or GTFO!

Meine ersten Gaming-Eindrücke nach dem Umstieg von Windows auf Linux sind dank Steam recht positiv gewesen: Doch was passiert, wenn ich die heile Steam-(Play-)Welt verlasse und trotzdem Windows-Spiele unter Linux starten möchte? Meine anfängliche Euphorie weicht Ernüchterung.
Ein Praxistest von Eric Ferrari-Herrmann

  1. Project Mainline und Apex Google bringt überall Android-Updates, außer am Kernel
  2. Ubuntu Lenovo bietet Laptops mit vorinstalliertem Linux an
  3. Steam Play Tschüss Windows, hallo Linux - ein Gamer zieht um

  1. Apple: Neues iOS-Update beseitigt viele Webkit-Schwächen
    Apple
    Neues iOS-Update beseitigt viele Webkit-Schwächen

    Apples iOS 12.4 beseitigt zahlreiche Sicherheitslücken in dem Mobilsystem. Besonders betroffen ist dieses Mal die Webkit-Engine des Browsers. Zudem ließ sich Verkehr des Samba-Servers abhören.

  2. Geforce RTX 2080 Super im Test: Bei Nvidia wird fast alles Super
    Geforce RTX 2080 Super im Test
    Bei Nvidia wird fast alles Super

    Nach der Geforce RTX 2060 und der Geforce RTX 2070 legt Nvidia auch die Geforce RTX 2080 als Super-Edition auf: Mehr Shader-Kerne und ein höherer Takt steigern die Leistung leicht, die Effizienz sinkt allerdings. Dennoch ist die Super-Karte attraktiv, da Nvidia indirekt die Preise verringert.

  3. Supercharger: Tesla schafft kostenloses Laden für Gebrauchtwagen ab
    Supercharger
    Tesla schafft kostenloses Laden für Gebrauchtwagen ab

    Kostenloses Laden von Elektroautos ist auf Dauer nicht wirtschaftlich: Tesla hat die pauschale Nutzung der eigenen Supercharger schon früher eingeschränkt. Jetzt folgt der nächste Schritt: Tesla schafft die Sonderleistung für einen Teil der Gebrauchtwagen ab.


  1. 15:00

  2. 15:00

  3. 14:30

  4. 14:15

  5. 14:02

  6. 13:18

  7. 13:05

  8. 12:50