1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Knuddels-Leak: Datenschützer…

Aufwand im sechsstelligem Bereich?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Aufwand im sechsstelligem Bereich?

    Autor: crazypsycho 22.11.18 - 13:08

    Wie kommt denn so ein hoher Aufwand zustande? Ne Funktion um die Passwörter zu Hashen ist doch fix programmiert.
    Einen Backup-Server updaten ist jetzt auch keine Kunst.

  2. Re: Aufwand im sechsstelligem Bereich?

    Autor: ClausWARE 22.11.18 - 14:33

    Die Passwörter waren schon vorher gehasht für den Login, einzig die Funtion die das ausplaudern des Passwortes im Chat verhindern sollte, nutze das Klartext-Password und musste wohl nun neu implementiert werden. Abgesehend davon, wird man sich wohl das ganze System nochmal genauer angesehen haben um eventuelle Einfallstore zu schließen und das System weiter abzusichern.

  3. Re: Aufwand im sechsstelligem Bereich?

    Autor: andy01q 22.11.18 - 15:43

    Ich denke mal ein Teil der Verbesserungen wird ein minimaler halbinterner Audit gewesen sein. Codereview kostet vor allem Arbeitsstunden.
    Mal so als obere Grenze: Die NASA hat sich beim Start von Challenger jede Zeile Code 1000$ zu insgesamt 500Mio.$ für die Entwicklung von PASS.22 kosten lassen.
    https://history.nasa.gov/sts1/pages/computer.html
    Würde mich nicht wundern, wenn Knuddelz auch um die 500,000 Zeilen Code hat.

  4. Re: Aufwand im sechsstelligem Bereich?

    Autor: crazypsycho 22.11.18 - 19:02

    ClausWARE schrieb:
    --------------------------------------------------------------------------------
    > Die Passwörter waren schon vorher gehasht für den Login, einzig die Funtion
    > die das ausplaudern des Passwortes im Chat verhindern sollte, nutze das
    > Klartext-Password und musste wohl nun neu implementiert werden.

    Diese Funktion hätte man auch einfach entfernen können. Aber selbst neu implementieren sollte nicht so schwer sein.
    Eingabe-String splitten, jedes Wort hashen und vergleichen/ersetzen, fertig.

    > Abgesehend
    > davon, wird man sich wohl das ganze System nochmal genauer angesehen haben
    > um eventuelle Einfallstore zu schließen und das System weiter abzusichern.

    Mag sein, aber auch da ist es schwer auf sechsstellige Beträge zu kommen.

  5. Re: Aufwand im sechsstelligem Bereich?

    Autor: saithis 22.11.18 - 19:22

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > ClausWARE schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die Passwörter waren schon vorher gehasht für den Login, einzig die
    > Funtion
    > > die das ausplaudern des Passwortes im Chat verhindern sollte, nutze das
    > > Klartext-Password und musste wohl nun neu implementiert werden.
    >
    > Diese Funktion hätte man auch einfach entfernen können. Aber selbst neu
    > implementieren sollte nicht so schwer sein.
    > Eingabe-String splitten, jedes Wort hashen und vergleichen/ersetzen,
    > fertig.

    Dein Vorschlag gehört noch um "Zusehen wie die Server unter der Last in die Knie gehen" ergänzt werden. Gute Algorithmen zum Passwort Hashen sind langsam und verbrauchen viel Arbeitsspeicher, um das Knacken per Bruteforce zu erschweren.

  6. Re: Aufwand im sechsstelligem Bereich?

    Autor: ibsi 22.11.18 - 19:38

    Das dachte ich aber auch. Was für ein riesiges System man bauen müsste allein für die Funktion.
    Alternativ holt man sich den hash lokal und macht das dynamisch beim Client. Aber das reicht ja nicht aus (unsicher, auf dem Server müsste man das selbe wieder machen, um sicher zu gehen das die antwort stimmt, also nichts gewonnen).

    Weitere Alternativen?
    Wäre ich wirklich mal gespannt, ist nämlich ein interessantes Thema (viele viele abfragen von vielen vielen Menschen, gegen eine größere Datenbasis, in quasi dauerlast)

  7. Re: Aufwand im sechsstelligem Bereich?

    Autor: crazypsycho 22.11.18 - 19:47

    saithis schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ClausWARE schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Die Passwörter waren schon vorher gehasht für den Login, einzig die
    > > Funtion
    > > > die das ausplaudern des Passwortes im Chat verhindern sollte, nutze
    > das
    > > > Klartext-Password und musste wohl nun neu implementiert werden.
    > >
    > > Diese Funktion hätte man auch einfach entfernen können. Aber selbst neu
    > > implementieren sollte nicht so schwer sein.
    > > Eingabe-String splitten, jedes Wort hashen und vergleichen/ersetzen,
    > > fertig.
    >
    > Dein Vorschlag gehört noch um "Zusehen wie die Server unter der Last in die
    > Knie gehen" ergänzt werden. Gute Algorithmen zum Passwort Hashen sind
    > langsam und verbrauchen viel Arbeitsspeicher, um das Knacken per Bruteforce
    > zu erschweren.

    Ein Grund mehr diese Funktion einfach zu entfernen.

  8. Re: Aufwand im sechsstelligem Bereich?

    Autor: saithis 22.11.18 - 20:06

    Noch ein Problem, das mir grad einfällt: Wenn ein Passwort ein Leerzeichen enthält, am besten noch am Anfang oder Ende, würd String spliten selbst dann nicht funktionieren, wenn es das Problem mit der Last nicht geben würd :)

    Mich würd mal interessieren, ob sie die Funktion jetzt entfernt haben oder ob sie irgend eine Lösung gefunden haben.

  9. Re: Aufwand im sechsstelligem Bereich?

    Autor: seronulpha 22.11.18 - 22:09

    Lösung: Mit Login wird das Klarpassword als Sessionvariable gespeichert und kann zum Vergleich eingesetzt werden. Mit Logout, Zeitablauf oder jeder sonst denkbaren Bedingung verschwindet es aus dem Sessionspeicher.

  10. Re: Aufwand im sechsstelligem Bereich?

    Autor: saithis 23.11.18 - 15:57

    Dann können bei einem Hack trotzdem noch die Passwörter der eingeloggten Accounts ausgelesen werden. Bei "eingeloggt bleiben" Funktionen (falls es die bei Knuddels gibt) bleibt die Session üblicherweise so bis 1-4 Wochen nach der letzten Aktivität erhalten. Also keine so gute Idee.



    1 mal bearbeitet, zuletzt am 23.11.18 15:58 durch saithis.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Projektmanager / Projektmanagerin (m/w/d) Smart City Schwerpunkt (Geo-)Informatik
    Stadt Kempten (Allgäu), Kempten (Allgäu)
  2. IT-Systemadministrator (m/w/d)
    GRAMMER System GmbH, Zwickau
  3. IT-Administrator (m/w/d) Bereich IT-Infrastruktur
    J. Schmalz GmbH, Glatten
  4. Kundenbetreuer*in ERP-Software
    texdata software gmbh, Karlsruhe, Bielefeld

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Special Edition PS5 für 69,99€, Deluxe Edition Xbox Series X/S für 99,99€)
  2. 27,99€
  3. 23,49€
  4. 49,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hyte Revolt 3 im Test: Dieses Mini-ITX-Gehäuse ist eine Klasse für sich
Hyte Revolt 3 im Test
Dieses Mini-ITX-Gehäuse ist eine Klasse für sich

Kein anderes Mini-PC-Gehäuse kann mit einer 280-mm-AiO-Wasserkühlung und einer PCIe-Gen4-Grafikkarte hochkant ohne Riser-Band ausgestattet werden.
Ein Test von Marc Sauter

  1. Regner Cooling System Gehäuse made in Germany kostet 1.700 Euro
  2. Hyte Revolt 3 Kompaktes Mini-ITX-Gehäuse stellt Grafikkarte auf den Kopf
  3. H1-Gehäuse NZXT tauscht PCIe-Riser wegen Brandgefahr

Hauptverdächtiger sagt aus: Vom Computermillionär zum Cyberbunker-Angeklagten
Hauptverdächtiger sagt aus
Vom Computermillionär zum Cyberbunker-Angeklagten

Im Prozess um den Cyberbunker an der Mittelmosel hat der Hauptverdächtige sein Schweigen gebrochen. Ein Geständnis hat er jedoch nicht abgelegt.
Ein Bericht von Friedhelm Greis

  1. Teilgeständnis im Cyberbunker-Prozess Haftbefehl gegen Bunkermanager aufgehoben
  2. Teilgeständnis angekündigt Showdown im Cyberbunker-Verfahren
  3. Cyberbunker-Verfahren Angeklagter Hardware-Techniker könnte freikommen

Astrofotografie: Der Himmel so nah
Astrofotografie
Der Himmel so nah

Wer den Nachthimmel fotografiert, erfasst viel mehr als mit bloßem Auge. Wir geben Tipps für den Einstieg in das faszinierende Hobby Astrofotografie.
Eine Anleitung von Mario Keller