1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Re: Filterfunktion auch ohne Klartext möglich

  1. Beitrag
  1. Thema

Re: Filterfunktion auch ohne Klartext möglich

Autor: RFZ 10.09.18 - 20:34

PHPGangsta schrieb:
--------------------------------------------------------------------------------
> Rechenleistung? Wohl eher nicht, eine CPU kann mehrere Milionen Hashes pro
> Sekunde (Mhash) errechnen. Hängt natürlich stark vom genutzten
> Hash-Algorithmus ab, aber den aller neuesten, besten, aufwändigen haben sie
> vermutlich nicht genutzt. Würde mich wundern wenn sie PBKDF2, scrypt oder
> bcrypt mit hohen Kostenfaktoren genutzt haben...
>
> Hier eine Liste, wie viele MHashes so eine CPU macht (natürlich nur
> ungefähr, hängt vom Algorithmus ab):
> en.bitcoin.it

Hash-Funktionen kann man grob in zwei Kategorien unterteilen. Solche die möglichst performant sind, z.B. für Cache-Lookups, Suchen, etc... und solche die möglichst inperformant sind, für Sicherheitsanwendungen wie Passwörter.

Was du vorschlägst ist die Verwendung eines explizit inperformanten Hashes (passwort) in einer Anwendung die typisch performante Hashes benötigt (Suche).
Das ist unabhängig von der technischen Realisierbarkeit einfach völlig falsch...

> Da mal einen Text mit 10 oder 100 oder 1000 Wörtern zu hashen, ist wohl
> eher kein Problem, da stellt man noch einen weiteren Server dazu, und schon
> hat man die nötige Zusatzperformance im Cluster.

Für einen Text mit 100 Zeichen und einer maximal erlaubten Passwortlänge von 32 Zeichen musst du grob 3.200 Hashes erzeugen.
Ich kann wirklich nicht abschätzen wie aufwändig das wäre. Fakt ist aber, du erzeugst Serverseitig eine zusätzliche Last im Bereich mehrerer Größenordnungen. Sowas möchte man normal nicht...
Weitaus handhabbarer wird es, wenn du dir die Passwortlänge speicherst, dann musst du nur noch ~100 Hashes generieren.

> Zur Not kann man das sogar im Client machen lassen, per Javascript im
> Browser des Users. Dann hat man exakt 0 Zusatzlast auf den Servern.

Aus Performance-Sicht die bessere Lösung. Der Server-Seitig verwendete Hash ist dann sogar irrelevant, wenn die Prüfung Client-seitig erfolgt. Der Client kann ja aus dem Passwort seinen eigenen Hash bilden und muss überhaupt nicht wissen was auf dem Server passiert (und umgekehrt).
Der Client könnte dann also z.B. md5() verwenden, was recht performant wäre.
Die Verwendung von md5 wäre hier nicht so kritisch. Es gibt ja keine Datei in der alle 1.8 Millionen Hashes stehen, sondern man kann pro angegriffenem Client dann nur einen Hash ergattern.
Zu bemerken wäre hier nur, dass es generell oft einfacher ist, einen Client anzugreifen (XSS etc.) statt einen Server. Aber selbst wenn man eine wirklich fiese XSS Lücke findet, kann man maximal alle aktiven Nutzer angreifen und nicht alle.

Es kann aber gute Grunde geben, warum eine Client-Seitige Prüfung nicht in Frage kommt.
Client-seitig heisst immer, der Client macht es freiwillig und der Anbieter kann nicht erzwingen dass es passiert.
Ich weiss nicht wie das bei Knuddels ist, aber wenn es z.B. beliebte Dritt-Clients für die Plattform gibt die der Anbieter nicht kontrollieren kann, hat er hier ein Problem. Wenn er diese unterstützen will, muss er es eben Server-Seitig lösen.


Neues Thema Ansicht wechseln


Thema
 

Filterfunktion auch ohne Klartext möglich

das Keks | 10.09.18 - 15:56
 

Re: Filterfunktion auch ohne Klartext...

M.P. | 10.09.18 - 16:02
 

Re: Filterfunktion auch ohne Klartext...

theonlyone | 10.09.18 - 16:08
 

Re: Filterfunktion auch ohne Klartext...

PHPGangsta | 10.09.18 - 18:27
 

Re: Filterfunktion auch ohne Klartext möglich

RFZ | 10.09.18 - 20:34
 

Re: Filterfunktion auch ohne Klartext...

starscream | 10.09.18 - 16:04
 

Re: Filterfunktion auch ohne Klartext...

Quantium40 | 10.09.18 - 16:50
 

Re: Filterfunktion auch ohne Klartext...

lear | 10.09.18 - 17:09
 

Re: Filterfunktion auch ohne Klartext...

Mephir | 10.09.18 - 17:13
 

Re: Filterfunktion auch ohne Klartext...

mambokurt | 10.09.18 - 17:14
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 17:20
 

Re: Filterfunktion auch ohne Klartext...

PineapplePizza | 10.09.18 - 17:12
 

Re: Filterfunktion auch ohne Klartext...

bastie | 10.09.18 - 17:13
 

Re: Filterfunktion auch ohne Klartext...

hyperlord | 10.09.18 - 17:20
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 17:24
 

Re: Filterfunktion auch ohne Klartext...

lear | 10.09.18 - 17:40
 

Re: Filterfunktion auch ohne Klartext...

Hotohori | 10.09.18 - 17:46
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 17:57
 

Re: Filterfunktion auch ohne Klartext...

Quantium40 | 10.09.18 - 17:53
 

Re: Filterfunktion auch ohne Klartext...

dura | 10.09.18 - 18:14
 

Re: Filterfunktion auch ohne Klartext...

Quantium40 | 10.09.18 - 20:43
 

Re: Filterfunktion auch ohne Klartext...

Anonymer Nutzer | 10.09.18 - 22:38
 

Re: Filterfunktion auch ohne Klartext...

redmord | 10.09.18 - 22:42
 

Re: Filterfunktion auch ohne Klartext...

Anonymer Nutzer | 10.09.18 - 22:50
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 22:57
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 22:45
 

Re: Filterfunktion auch ohne Klartext...

Anonymer Nutzer | 10.09.18 - 23:02
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 23:13
 

Re: Filterfunktion auch ohne Klartext...

Cybso | 10.09.18 - 18:09
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 18:20
 

Re: Filterfunktion auch ohne Klartext...

seronulpha | 10.09.18 - 23:37
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 11.09.18 - 00:03
 

Re: Filterfunktion auch ohne Klartext...

Neutrinoseuche | 11.09.18 - 07:11

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stadtwerke Tübingen GmbH, Tübingen
  2. cbs Corporate Business Solutions Unternehmensberatung GmbH, verschiedene Standorte (Home-Office möglich)
  3. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz
  4. Commerz Direktservice GmbH, Duisburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de