1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Für solchen Schwachsinn gibt es keinen Grund

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Für solchen Schwachsinn gibt es keinen Grund

    Autor: dietzi96 10.09.18 - 13:26

    Man kann Passwörter auch clientseitig darauf überprüfen, ob es eine bestimmte Länge überschreitet oder um sicher zu stellen, dass es nicht nur Kleinbuchstaben enthält.
    Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf Salt und Pepper hätte man dann verzichten müssen.

    Das ist eine billige Ausrede des Betreibers und ich finde es Schade, dass Golem diese praktisch unkommentiert und mit einer solchen Überschrift übernimmt.

  2. Re: Client-seitig

    Autor: Missingno. 10.09.18 - 13:33

    Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu müssen.
    Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw. man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    --
    Dare to be stupid!

  3. Re: Für solchen Schwachsinn gibt es keinen Grund

    Autor: Quantium40 10.09.18 - 13:36

    dietzi96 schrieb:
    > Tausende, wenn nicht Millionen Websiten beweisen, dass das geht. Und selbst
    > gehashte Passwörter lassen sich vergleichen. Die Filterfunktion hätte sich
    > also auch mit gehasht gespeicherten Passwörtern realisieren lassen. Nur auf
    > Salt und Pepper hätte man dann verzichten müssen.

    Filterfunktionen über gehashte Passwörter funktionieren durchaus auch mit Salt.
    Der Sinn von Salt ist ja nur, dass man dadurch die Nutzung von Rainbowtables unsinnig macht, indem jedes Passwort mit einer abweichenden Kryptokomponente gespeichert wird, womit es nicht mehr lohnt, Passworthashes vorzuberechnen, weil man für jeden Salt eine eigenständige Vorberechnung bräuchte, die einem Brute-Force-Angriff gleichkommt.

  4. Re: Client-seitig

    Autor: Quantium40 10.09.18 - 13:41

    Missingno. schrieb:
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    Ich kann aber auf dem Client einen Hash von Textbestandteilen errechnen lassen und diesen mit einem Hash (oder Teilen davon) abgleichen, den ich vom Server bekomme, ohne das eigentliche Wort kennen zu müssen.

    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.
    Natürlich gilt im Zweifelsfall "never trust the client".
    Aber wenn man einem angemeldeten Client nur Teile eines Hashes und ein paar sinnvolle Suchkriterien gibt, lässt sich wenigstens ein Großteil an Prüfaufwand auf den Client auslagern.
    Die endgültige Prüfung muss dann natürlich serverseitig erfolgen.

  5. Weitere Vereinfachung

    Autor: SJ 10.09.18 - 13:46

    Wenn die Passwortrichtlinie sagt, min. 8 Zeichen müsse das Passwort enthalten, dann fallen schon mal sehr viele Wörte im alltäglichen Gebrauch weg.

    Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  6. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 14:07

    SJ schrieb:
    > Im obigen Text würden nur 5 der 22 Wörter (inkl. der "8") zu prüfen sein.

    Wobei eine ordentliche Prüfung ja erstmal alle Leerzeichen (und ggf. anderweitige nichterlaubte Sonderzeichen) rauswerfen würde, damit die Kids dann nicht heldenhafterweise etwas im Stil "g e he i m e s Pa s s w o r t" rumschicken.
    100% klappt das dann zwar auch nicht mit dem Ausfiltern, aber im Zweifelsfall kann man Passwort-Filter ja noch an erzieherische Maßnahmen knüpfen, indem man z.B. nach dem n-ten Versuch, sein Passwort im Chat zu versenden, entweder den Chat für Stunden/Tage/Wochen sperrt oder aber einen Passwortwechsel inklusive vorgeschalteter Belehrung zum Thema Passwortsicherheit und böse Menschen erzwingt.

  7. Re: Weitere Vereinfachung

    Autor: SJ 10.09.18 - 14:58

    Irgendwo musste auch einen Schlussstrich ziehen.

    Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und die bei nem Image Hoster hochladen oder sie könnten einen Pastebin benutzen....

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Weitere Vereinfachung

    Autor: Quantium40 10.09.18 - 16:53

    SJ schrieb:
    > Irgendwo musste auch einen Schlussstrich ziehen.
    > Jugendliche könnten mal kurz eine PNG Datei mit dem Passwort anlegen und
    > die bei nem Image Hoster hochladen oder sie könnten einen Pastebin
    > benutzen....

    Richtig - alle Fälle wird man so wohl nie abdecken.
    Aber wenigstens die typischen Fälle sollte man schon dabeihaben, wenn man sowas einbaut.

  9. Re: Client-seitig

    Autor: Auspuffanlage 10.09.18 - 18:57

    Missingno. schrieb:
    --------------------------------------------------------------------------------
    > Du kannst nicht Client-seitig prüfen, ob ein Text ein auf dem Server
    > gespeichertes Wort enthält ohne auf das gespeicherte Wort zugreifen zu
    > müssen.
    > Außerdem sollte man Client-seitig überhaupt nichts relevantes prüfen bzw.
    > man kann nicht davon ausgehen, dass die Prüfung nicht manipuliert wurde.

    Muss ich den Server benutzen?

    Bei dem Client für Windows muss ja das Passwort eingegeben werden um Zugriff auf den Dienst zu bekommen.
    Ergo ist das Passwort ja sogesehen vorhanden (vielleicht nach Eingabe als gehashtes Passwort) Aber dann bestehe ja die Möglichkeit die Nachricht/ die Wörter ebenfalls zu hashen und zu gucken ob das dem Passwort entspricht. (mit dem Tipp von Sj muss ja nicht alles geprüft werden.)
    Wobei man das ja easy durch Bild oder externe Auslagerung einfach umgehen kann.

    Wird es eigentlich eine sammelklage geben?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Datenschutzkoordinator (m/w/d)
    S-Kreditpartner GmbH, Berlin
  2. Global IT Project Manager (m/w/d)
    Maag Germany GmbH, Großostheim
  3. Senior Software Developer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)
  4. Digital Operation Manager (m/w/d)
    Bundeskriminalamt, Wiesbaden

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 167,96€ bei Mindfactory (Bestpreis)
  2. (u. a. Forza Horizon 5 (Windows PC oder Xbox One / Series X|S Download Code) für 45,99€, PSN...
  3. (u. a. Borderlands 3 für 13,99€, Assetto Corsa Competizione für 11,99€, F1 2021 für 28,99€)
  4. 888€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ohne Google, Android oder Amazon: Der Open-Source-Großangriff
Ohne Google, Android oder Amazon
Der Open-Source-Großangriff

Smarte Geräte sollen auch ohne die Cloud von Google oder Amazon funktionieren. Huawei hat mit Oniro dafür ein ausgefeiltes Open-Source-Projekt gestartet.
Ein Bericht von Sebastian Grüner

  1. Internet der Dinge Asistenten wie Alexa und Siri droht EU-Regulierung

Satellitenkonstellationen: Iod statt Xenon ist eine kleine Raumfahrtrevolution
Satellitenkonstellationen
Iod statt Xenon ist eine kleine Raumfahrtrevolution

Ionentriebwerke mit Iod sollen keine Leistungsrekorde aufstellen, sondern eine einfache und günstige Lösung für Satellitenkonstellationen wie Starlink sein.
Von Frank Wunderlich-Pfeiffer

  1. Skynet SpaceX soll britischen Militärsatelliten ins All bringen
  2. Patrick Drahi Eutelsat verhandelt über Verkauf an Telekom-Milliardär
  3. Von Cubesats zu Disksats Satelliten als fliegende Scheiben

NFTs: Pyramidensystem für Tech-Eliten
NFTs
Pyramidensystem für Tech-Eliten

NFTs sind das neue große Ding. Ja, sie haben Potenzial. Aber manche von ihnen sind leider nichts weiter als Netzwerk-Marketing für Tech-Eliten.
Von Evan Armstrong

  1. Nach Krypto-Betrug Kryptobörse will Squid-Game-Scammer finden
  2. Krypto-Betrug Meme-Coin-Projekt lässt 60 Millionen Dollar verschwinden
  3. Cream Finance Hacker stehlen 130 Millionen US-Dollar von Krypto-Plattform