1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…
  6. T…

Bitte was?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Bitte was?

    Autor: Quantium40 10.09.18 - 13:30

    non_existent schrieb:
    > Naja, stell dir vor, jedes Wort jedes Nutzers wird gehasht und mit dem
    > Passwort verglichen. Das mit 1,9 Millionen Usern ... autsch. Da braucht man
    > dicke Server für.

    Nicht unbedingt. Die Zahl von zu hashenden Worten lässt sich drastisch reduzieren, indem man z.B. 2 Zeichen des Passwortes und ihre Distanz an den (mit dem Passwort angemeldeten) Client übergibt, so dass dieser alle Nachrichten des Nutzers auf Passwortkandidaten vorfiltert und ggf. schon das Hashing übernimmt.

    Beispiel: Serverlast zu reduzieren ohne gleich das Passwort zu kompromittieren oder den vollen Hash zum Client zu geben.

    Passwort : GEHEIM1234
    Suchzeichen: G Pos. 1 und 2 Pos. 8, Suchlänge = 10
    letzte 4 Zeichen vom Passworthash im Server: 87B4
    Dann einfach nach allen Bestandteilen der Nachricht suchen, die ins Muster passen, Dubletten entfernen und die verbleibenden Einträge im Client Hashen. Jetzt noch Ausfilter nach den letzten 4 Zeichen vom Passworthash und den Rest an Hashes zusammen mit der Nachricht an den Server, so da denn überhaupt Hashes übrigbleiben.
    Die paar übriggeblieben Vergleiche machen dem Server nichts.

    Damit senkt man zwar effektiv auch die kryptografische Sicherheit, aber gegenüber kompletter Klartextspeicherung liegt man immer noch weitaus besser. Zudem kann man mit ein paar Vorgaben zur Passwortzusammensetzung oder Länge diesen Makel hinreichend ausgleichen.

  2. Re: Bitte was?

    Autor: masel99 10.09.18 - 19:07

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Welche Gefahr besteht für die Seite, wenn ein Nutzer sein Passwort
    > weitergibt?
    > Und selbst wenn es auf DIESER Plattform nicht geht. Dann lockt man den
    > anderen eben zu nem anderen Chat.

    Ja, oder die User schreiben dann einfach etwas wie "mein Passwort ist ".kleineSusi" ohne Punkt am Anfang" und schon ist der Passworabgleich für die Tonne.

  3. Re: Seitenangriff?

    Autor: masel99 10.09.18 - 19:11

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Missingno. schrieb:
    > > Wenn der Filter zuschlägt (und dann wirklich nur das Passwort
    > "schwärzt")
    > > wäre da gar nichts verhindert, wenn es ein normales Wort ist, welches
    > man
    > > ggf. aus dem Kontext des Satzes erschließen kann.
    >
    > Die Frage ist an der Stelle, ob die dann wirklich aus-X-en oder aber z.B.
    > anstatt zu senden dem Nutzer einfach nur die Rückmeldung geben: "Diese
    > Nachricht wurde sicherheitshalber nicht versendet. Du darfst dein Passwort
    > niemals anderen im Chat mitteilen."

    UserA: Du machst doch keinen Blödsinn und hilfst mir nur kurz, oder?
    UserB: Nein natürlich nicht.

    ;)

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Generali Deutschland AG, Aachen, Hamburg, München
  2. Etkon GmbH, Gräfelfing
  3. Deutsche Leasing AG, Bad Homburg
  4. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 15,99€
  3. 4,69€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Covid-19: So funktioniert die Corona-Vorhersage am FZ Jülich
Covid-19
So funktioniert die Corona-Vorhersage am FZ Jülich

Das Forschungszentrum Jülich hat ein Vorhersagetool für Corona-Neuinfektionen programmiert. Projektleiter Gordon Pipa hat uns erklärt, wie es funktioniert.
Ein Bericht von Boris Mayer

  1. Top 500 Deutscher Supercomputer unter den ersten zehn
  2. Hochleistungsrechner Berlin und sieben weitere Städte bekommen Millionenförderung
  3. Cineca Leonardo Nvidias A100 befeuert 10-Exaflops-AI-Supercomputer

Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe