1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Für solchen Schwachsinn gibt es keinen Grund

  1. Thema

Neues Thema Ansicht wechseln


  1. Für solchen Schwachsinn gibt es keinen Grund

    Autor: dietzi96 10.09.18 - 13:26

    Man kann Passwörter auch clientseitig darauf überprüfen, ob es eine bestimmte Länge überschreitet oder um sicher zu stellen, dass es nicht nur Kleinbuchstaben enthält.
    Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf Salt und Pepper hätte man dann verzichten müssen.

    Das ist eine billige Ausrede des Betreibers und ich finde es Schade, dass Golem diese praktisch unkommentiert und mit einer solchen Überschrift übernimmt.

  2. Re: Client-seitig

    Autor: Missingno. 10.09.18 - 13:33

    Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu müssen.
    Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw. man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    --
    Dare to be stupid!

  3. Re: Für solchen Schwachsinn gibt es keinen Grund

    Autor: Quantium40 10.09.18 - 13:36

    dietzi96 schrieb:
    > Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst
    > gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich
    > also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf
    > Salt und Pepper hätte man dann verzichten müssen.

    Filterfunktionen über gehashte Passwörter funktionieren durchaus auch mit Salt.
    Der Sinn von Salt ist ja nur, dass man dadurch die Nutzung von Rainbowtables unsinnig macht, indem jedes Passwort mit einer abweichenden Kryptokomponente gespeichert wird, womit es nicht mehr lohnt, Passworthashes vorzuberechnen, weil man für jeden Salt eine eigenständige Vorberechnung bräuchte, die einem Brute-Force-Angriff gleichkommt.

  4. Re: Client-seitig

    Autor: Quantium40 10.09.18 - 13:41

    Missingno. schrieb:
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    Ich kann aber auf dem Client einen Hash von Textbestandteilen errechnen lassen und diesen mit einem Hash (oder Teilen davon) abgleichen, den ich vom Server bekomme, ohne das eigentliche Wort kennen zu müssen.

    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.
    Natürlich gilt im Zweifelsfall "never trust the client".
    Aber wenn man einem angemeldeten Client nur Teile eines Hashes und ein paar sinnvolle Suchkriterien gibt, lässt sich wenigstens ein Großteil an Prüfaufwand auf den Client auslagern.
    Die endgültige Prüfung muss dann natürlich serverseitig erfolgen.

  5. Weitere Vereinfachung

    Autor: SJ 10.09.18 - 13:46

    Wenn die Passwortrichtlinie sagt, min. 8 Zeichen müsse das Passwort enthalten, dann fallen schon mal sehr viele Wörte im alltäglichen Gebrauch weg.

    Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  6. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 14:07

    SJ schrieb:
    > Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    Wobei eine ordentliche Prüfung ja erstmal alle Leerzeichen (und ggf. anderweitige nichterlaubte Sonderzeichen) rauswerfen würde, damit die Kids dann nicht heldenhafterweise etwas im Stil "g e he i m e s Pa s s w o r t" rumschicken.
    100% klappt das dann zwar auch nicht mit dem Ausfiltern, aber im Zweifelsfall kann man Passwort-Filter ja noch an erzieherische Maßnahmen knüpfen, indem man z.B. nach dem n-ten Versuch, sein Passwort im Chat zu versenden, entweder den Chat für Stunden/Tage/Wochen sperrt oder aber einen Passwortwechsel inklusive vorgeschalteter Belehrung zum Thema Passwortsicherheit und böse Menschen erzwingt.

  7. Re: Weitere Vereinfachung

    Autor: SJ 10.09.18 - 14:58

    Irgendwo musste auch einen Schlussstrich ziehen.

    Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und die bei nem Image Hoster hochladen oder sie könnten einen Pastebin benutzen....

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 16:53

    SJ schrieb:
    > Irgendwo musste auch einen Schlussstrich ziehen.
    > Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und
    > die bei nem Image Hoster hochladen oder sie könnten einen Pastebin
    > benutzen....

    Richtig - alle Fälle wird man so wohl nie abdecken.
    Aber wenigstens die typischen Fälle sollte man schon dabeihaben, wenn man sowas einbaut.

  9. Re: Client-seitig

    Autor: Auspuffanlage 10.09.18 - 18:57

    Missingno. schrieb:
    --------------------------------------------------------------------------------
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    Muss ich den Server benutzen?

    Bei dem Client für Windows muss ja das Passwort eingegeben werden um Zugriff auf den Dienst zu bekommen.
    Ergo ist das Passwort ja sogesehen vorhanden (vielleicht nach Eingabe als gehashtes Passwort) Aber dann bestehe ja die Möglichkeit die Nachricht/ die Wörter ebenfalls zu hashen und zu gucken ob das dem Passwort entspricht. (mit dem Tipp von Sj muss ja nicht alles geprüft werden.)
    Wobei man das ja easy durch Bild oder externe Auslagerung einfach umgehen kann.

    Wird es eigentlich eine sammelklage geben?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. ITDZ Berlin über Kienbaum Consultants International GmbH, Berlin
  3. Proximity Technology GmbH, Hamburg
  4. Swyx Solutions GmbH, Dortmund

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 159,99€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)
  2. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,98€)
  3. 699€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Next-Gen: Tolle Indiegames für PS5 und Xbox Series X/S
Next-Gen
Tolle Indiegames für PS5 und Xbox Series X/S

Kaum ein unabhängiger Entwickler hat Dev-Kits für PS5 und Xbox Series X/S - aber The Pathinder und Falconeer sind tolle Next-Gen-Indiegames!
Von Rainer Sigl

  1. Indiegames-Rundschau Raumschiffknacker im Orbit
  2. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
  3. Indiegames-Rundschau Einmal durchspielen in 400 Tagen

Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

Weiterbildung: Was IT-Führungskräfte können sollten
Weiterbildung
Was IT-Führungskräfte können sollten

Wenn IT-Spezialisten zu Führungskräften aufsteigen, müssen sie Fachwissen in fremden Gebieten aufbauen - um Probleme im neuen Job zu vermeiden.
Ein Bericht von Manuel Heckel

  1. IT-Profis und Visualisierung Sag's in Bildern
  2. IT-Jobs Die schwierige Suche nach dem richtigen Arbeitgeber
  3. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden