1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Mozilla BrowserID: Ein…

Brauchen wir das noch?

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Brauchen wir das noch?

    Autor: BlaM 4cheaters.de 15.07.11 - 10:34

    Brauchen wir wirklich noch eine weitere "getrickste" Single SignOn Lösung?

    Heute kann man sich doch in der Regel schon mit Twitter, Facebook, Google oder - allgemein - OpenID auf Webseiten einloggen.

    Der einzig sinnvolle nächste Schritt wäre es mit "echten" Client-Zertifikaten was zu machen. Da muss man nicht so "rumpfrickeln" und E-Mail für noch was anderes benutzen. Es ist langsam kompliziert genug einen eigenen (Firmen-)Mailserver zu betreiben.

  2. Re: Brauchen wir das noch?

    Autor: dabbes 15.07.11 - 11:22

    Klingt für mich insgesamt einfach zu kompliziert und wird daran schon scheitern.

    Wenn Seiten OpenID, FB, Twitter oder google Login anbieten, dann hat man wohl schon 99% erschlagen (von Usern die sowas nutzen).
    Für den Rest gilt Benutzer + Passwort.

  3. Re: Brauchen wir das noch?

    Autor: /mecki78 15.07.11 - 11:37

    Also ich nicht. Ich habe LastPass, so wie alle meine Bekannten, Freunde und Familie. Damit sharen wir uns sogar Passwörter. Jede Webseite hat bei mir ein eigenes, zufälliges Passwort zwischen 8 und 24 Zeichen (warum nicht, muss sie mir ja nicht merken) und alles was ich machen muss ist einmal beim öffnen des Browsers mein LP Passwort einzugeben und danach werde ich überall automatisch eingeloggt, bis ich den Browser zu mache oder mich bei LP auslogge oder meinen Computer 15 Minuten lang nicht benutze (dann werde ich bei LP automatisch ausgeloggt laut meinen Einstellungen). Da die Passwörter in der Cloud liegen, habe ich auf allen Rechnern, die ich regelmäßig benutze (das sind immerhin 5 verschiedene), immer alle Passwörter zur Verfügung und sobald ich irgendwo einen neuen Login erstelle, steht dieser sofort allen anderen Rechnern auch zu Verfügung.

    Und bevor jemand sagt "Passwörter und Cloud? Spinnst du?". Bei LP liegen die Passwörter verschlüsselt in der Cloud und werden immer auf deinem Rechner daheim ver- und entschlüsselt. Das dazu nötige Passwort ist LP selber nicht bekannt, d.h. selbst wenn sie wollten, könnten sie nicht an deine Passwörter. Auch kann man 2-Faktor Authentifizierung benutzen, d.h. zusätzlich zum Passwort kann man auch ein physikalisches Device oder eine spezielle Tabelle verwenden, ähnlich der iTANs von Banken. Und man kann sich auch One Time Passwörter erzeugen, damit man sich von unsicheren Rechnern bei LP einloggen kann, ohne sein *ECHTES* Masterpasswort einem Keylogger auszuliefern. Auch Datenverlust ist kein Thema. LP selber hat eine redundante Infrastruktur und zusätzlich zu ihren eigenen Backups machen sie noch regelmäßig Backups zum Amazon S3 Service. D.h. die Daten liegen in 3-facher Kopie vor.

    LP gibt es als Plugin für Firefox, Chrome, IE, Safari und als App für Android, Blackberry, iPhone, etc.

    /Mecki

  4. Re: Brauchen wir das noch?

    Autor: y.m.m.d. 15.07.11 - 13:18

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Also ich nicht. Ich habe LastPass, so wie alle meine Bekannten, Freunde und
    > Familie. Damit sharen wir uns sogar Passwörter. Jede Webseite hat bei mir
    > ein eigenes, zufälliges Passwort zwischen 8 und 24 Zeichen (warum nicht,
    > muss sie mir ja nicht merken) und alles was ich machen muss ist einmal beim
    > öffnen des Browsers mein LP Passwort einzugeben und danach werde ich
    > überall automatisch eingeloggt, bis ich den Browser zu mache oder mich bei
    > LP auslogge oder meinen Computer 15 Minuten lang nicht benutze (dann werde
    > ich bei LP automatisch ausgeloggt laut meinen Einstellungen). Da die
    > Passwörter in der Cloud liegen, habe ich auf allen Rechnern, die ich
    > regelmäßig benutze (das sind immerhin 5 verschiedene), immer alle
    > Passwörter zur Verfügung und sobald ich irgendwo einen neuen Login
    > erstelle, steht dieser sofort allen anderen Rechnern auch zu Verfügung.
    >
    > Und bevor jemand sagt "Passwörter und Cloud? Spinnst du?". Bei LP liegen
    > die Passwörter verschlüsselt in der Cloud und werden immer auf deinem
    > Rechner daheim ver- und entschlüsselt. Das dazu nötige Passwort ist LP
    > selber nicht bekannt, d.h. selbst wenn sie wollten, könnten sie nicht an
    > deine Passwörter. Auch kann man 2-Faktor Authentifizierung benutzen, d.h.
    > zusätzlich zum Passwort kann man auch ein physikalisches Device oder eine
    > spezielle Tabelle verwenden, ähnlich der iTANs von Banken. Und man kann
    > sich auch One Time Passwörter erzeugen, damit man sich von unsicheren
    > Rechnern bei LP einloggen kann, ohne sein *ECHTES* Masterpasswort einem
    > Keylogger auszuliefern. Auch Datenverlust ist kein Thema. LP selber hat
    > eine redundante Infrastruktur und zusätzlich zu ihren eigenen Backups
    > machen sie noch regelmäßig Backups zum Amazon S3 Service. D.h. die Daten
    > liegen in 3-facher Kopie vor.
    >
    > LP gibt es als Plugin für Firefox, Chrome, IE, Safari und als App für
    > Android, Blackberry, iPhone, etc.

    Klingt interessant :)

  5. Re: Brauchen wir das noch?

    Autor: s4mba 15.07.11 - 13:36

    Naja, vertrauenswürdig ist was anderes...

    http://www.chip.de/news/LastPass-Online-Passwortspeicher-geknackt_48879748.html

  6. Re: Brauchen wir das noch?

    Autor: /mecki78 15.07.11 - 23:43

    s4mba schrieb:
    --------------------------------------------------------------------------------
    > Naja, vertrauenswürdig ist was anderes...

    Also ich finde das höchst vertrauenswürdig, wenn ein Anbieter, nur aufgrund der Tatsache, dass er "ungewöhnlich hohen Datenverkehr" bemerkt hat, ohne jeglichen Beweis, dass irgendwer von extern Zugriff auf die Datenbank hatte, sicherheitshalber alle Accounts so lange sperrt, bis die Nutzer ihr Master Passwörter geändert haben. Die meisten Anbieter würden sagen: Nichts in den Logs, ist wohl auch nichts passiert. Was kümmert mich ein bisschen hoher Traffic?

    Man kann LP höchstens vorwerfen, dass sie übervorsichtig sind. Wenn sie nicht so reagiert hätten, hätte niemand davon erfahren, sie hätten das ganze schön stillschweigend unter dem Tisch fallen lassen, so wie das 99,99% aller anderen Anbieter tun, solange bis es nicht mehr zu leugnen ist, und das nenne ich dann nicht vertrauenswürdig. Die Macher hinter LP geben ja sogar offen zu, dass sie nicht nur vorsichtig, sondern fast schon paranoid sind (alles wird doppelt und dreifach gehashed mit zufälligen Salt werten, nichts liegt irgendwo zu irgend einem Zeitpunkt unverschlüsselt herum, usw.)

    Abgesehen davon, dass dieser Newsbeitrag bei Chip etwa auf Bildzeitungsniveau liegt, und bis heute kein Beweis oder auch nur ein eindeutiges Indiz existiert, dass irgend jemand sich Zugriff verschafft hätte, muss man hier schon genau aufpassen, wenn mit Worten wie "geknackt" hantiert wird. Mag theoretisch sein, dass irgendwer den Zugang zum Server geknackt hat und mag sein, dass er sogar die ganze Datenbank kopiert hat. Toll. Jetzt hat er eine Datenbank mit Daten, die mit einem gehashten Schlüssel verschlüsselt sind. Und jetzt? Um auch nur einen Datensatz davon entschlüsseln zu können, braucht er folgende Informationen:

    1) Er muss die E-mail Adresse des Nutzers kennen, zu dem dieser Datensatz gehört (in der Datenbank sind nur zufällige UserIDs gespeichert)

    2) Er muss das MasterPasswort des Nutzers kennen, dass in meinem Fall über 15 Zeichen lang ist, aus Groß- und Kleinbuchstaben, so wie Sonderzeichen besteht und so in keinem Wörterbuch der Welt zu finden ist.

    Nur wenn er das richtige MasterPasswort mit der Richtigen E-mail Adresse hashed und mit dem Ergebnis den richtigen Datensatz entschlüsselt kommt er jemals an brauchbare Daten heran. Andernfalls kann er ja mal versuchen AES-256 per Brute Force zu knacken, viel Spaß. Vielleicht werden es seine Urururururururenkel erleben, dass der Computer einen einzigen Datensatz so entschlüsselt bekommt. Dummerweise muss er dann für den zweiten wieder bei 0 anfangen und der braucht somit genauso lange. Bis dahin sind alle diese Webseiten, für die die Passwörter sind wahrscheinlich schon 1000 Jahre lang Asche.

    Die Sicherheit bei LP basiert eben nicht darauf, dass niemand an die Daten ran kommt. Die Sicherheit bei LP basiert primär darauf, dass selbst wenn jemand an die Daten kommt, er es nie im Leben schafft, diese zu knacken. Nicht wenn du ihn die dafür nötige Information nicht direkt in die Hand spielst. Und wenn du das tust, dann ist jedes PIN oder Passwort basierte System dieser Welt zu knacken. Um das zu verhindern, gibt es ja 2-Faktor Authentifizierung bei LP und One Time Passwörter.

    /Mecki

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. K&P Computer Service- und Vertriebs GmbH, verschiedene Standorte (Home-Office)
  2. abasoft EDV-Programme GmbH, Ludwigsburg
  3. Josef Heuel GmbH, Meinerzhagen
  4. Universitätsklinikum Augsburg, Augsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 369,45€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de