Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Mozilla BrowserID: Ein…

Brauchen wir das noch?

  1. Thema

Neues Thema Ansicht wechseln


  1. Brauchen wir das noch?

    Autor: BlaM 4cheaters.de 15.07.11 - 10:34

    Brauchen wir wirklich noch eine weitere "getrickste" Single SignOn Lösung?

    Heute kann man sich doch in der Regel schon mit Twitter, Facebook, Google oder - allgemein - OpenID auf Webseiten einloggen.

    Der einzig sinnvolle nächste Schritt wäre es mit "echten" Client-Zertifikaten was zu machen. Da muss man nicht so "rumpfrickeln" und E-Mail für noch was anderes benutzen. Es ist langsam kompliziert genug einen eigenen (Firmen-)Mailserver zu betreiben.

  2. Re: Brauchen wir das noch?

    Autor: dabbes 15.07.11 - 11:22

    Klingt für mich insgesamt einfach zu kompliziert und wird daran schon scheitern.

    Wenn Seiten OpenID, FB, Twitter oder google Login anbieten, dann hat man wohl schon 99% erschlagen (von Usern die sowas nutzen).
    Für den Rest gilt Benutzer + Passwort.

  3. Re: Brauchen wir das noch?

    Autor: /mecki78 15.07.11 - 11:37

    Also ich nicht. Ich habe LastPass, so wie alle meine Bekannten, Freunde und Familie. Damit sharen wir uns sogar Passwörter. Jede Webseite hat bei mir ein eigenes, zufälliges Passwort zwischen 8 und 24 Zeichen (warum nicht, muss sie mir ja nicht merken) und alles was ich machen muss ist einmal beim öffnen des Browsers mein LP Passwort einzugeben und danach werde ich überall automatisch eingeloggt, bis ich den Browser zu mache oder mich bei LP auslogge oder meinen Computer 15 Minuten lang nicht benutze (dann werde ich bei LP automatisch ausgeloggt laut meinen Einstellungen). Da die Passwörter in der Cloud liegen, habe ich auf allen Rechnern, die ich regelmäßig benutze (das sind immerhin 5 verschiedene), immer alle Passwörter zur Verfügung und sobald ich irgendwo einen neuen Login erstelle, steht dieser sofort allen anderen Rechnern auch zu Verfügung.

    Und bevor jemand sagt "Passwörter und Cloud? Spinnst du?". Bei LP liegen die Passwörter verschlüsselt in der Cloud und werden immer auf deinem Rechner daheim ver- und entschlüsselt. Das dazu nötige Passwort ist LP selber nicht bekannt, d.h. selbst wenn sie wollten, könnten sie nicht an deine Passwörter. Auch kann man 2-Faktor Authentifizierung benutzen, d.h. zusätzlich zum Passwort kann man auch ein physikalisches Device oder eine spezielle Tabelle verwenden, ähnlich der iTANs von Banken. Und man kann sich auch One Time Passwörter erzeugen, damit man sich von unsicheren Rechnern bei LP einloggen kann, ohne sein *ECHTES* Masterpasswort einem Keylogger auszuliefern. Auch Datenverlust ist kein Thema. LP selber hat eine redundante Infrastruktur und zusätzlich zu ihren eigenen Backups machen sie noch regelmäßig Backups zum Amazon S3 Service. D.h. die Daten liegen in 3-facher Kopie vor.

    LP gibt es als Plugin für Firefox, Chrome, IE, Safari und als App für Android, Blackberry, iPhone, etc.

    /Mecki

  4. Re: Brauchen wir das noch?

    Autor: y.m.m.d. 15.07.11 - 13:18

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Also ich nicht. Ich habe LastPass, so wie alle meine Bekannten, Freunde und
    > Familie. Damit sharen wir uns sogar Passwörter. Jede Webseite hat bei mir
    > ein eigenes, zufälliges Passwort zwischen 8 und 24 Zeichen (warum nicht,
    > muss sie mir ja nicht merken) und alles was ich machen muss ist einmal beim
    > öffnen des Browsers mein LP Passwort einzugeben und danach werde ich
    > überall automatisch eingeloggt, bis ich den Browser zu mache oder mich bei
    > LP auslogge oder meinen Computer 15 Minuten lang nicht benutze (dann werde
    > ich bei LP automatisch ausgeloggt laut meinen Einstellungen). Da die
    > Passwörter in der Cloud liegen, habe ich auf allen Rechnern, die ich
    > regelmäßig benutze (das sind immerhin 5 verschiedene), immer alle
    > Passwörter zur Verfügung und sobald ich irgendwo einen neuen Login
    > erstelle, steht dieser sofort allen anderen Rechnern auch zu Verfügung.
    >
    > Und bevor jemand sagt "Passwörter und Cloud? Spinnst du?". Bei LP liegen
    > die Passwörter verschlüsselt in der Cloud und werden immer auf deinem
    > Rechner daheim ver- und entschlüsselt. Das dazu nötige Passwort ist LP
    > selber nicht bekannt, d.h. selbst wenn sie wollten, könnten sie nicht an
    > deine Passwörter. Auch kann man 2-Faktor Authentifizierung benutzen, d.h.
    > zusätzlich zum Passwort kann man auch ein physikalisches Device oder eine
    > spezielle Tabelle verwenden, ähnlich der iTANs von Banken. Und man kann
    > sich auch One Time Passwörter erzeugen, damit man sich von unsicheren
    > Rechnern bei LP einloggen kann, ohne sein *ECHTES* Masterpasswort einem
    > Keylogger auszuliefern. Auch Datenverlust ist kein Thema. LP selber hat
    > eine redundante Infrastruktur und zusätzlich zu ihren eigenen Backups
    > machen sie noch regelmäßig Backups zum Amazon S3 Service. D.h. die Daten
    > liegen in 3-facher Kopie vor.
    >
    > LP gibt es als Plugin für Firefox, Chrome, IE, Safari und als App für
    > Android, Blackberry, iPhone, etc.

    Klingt interessant :)

  5. Re: Brauchen wir das noch?

    Autor: s4mba 15.07.11 - 13:36

    Naja, vertrauenswürdig ist was anderes...

    http://www.chip.de/news/LastPass-Online-Passwortspeicher-geknackt_48879748.html

  6. Re: Brauchen wir das noch?

    Autor: /mecki78 15.07.11 - 23:43

    s4mba schrieb:
    --------------------------------------------------------------------------------
    > Naja, vertrauenswürdig ist was anderes...

    Also ich finde das höchst vertrauenswürdig, wenn ein Anbieter, nur aufgrund der Tatsache, dass er "ungewöhnlich hohen Datenverkehr" bemerkt hat, ohne jeglichen Beweis, dass irgendwer von extern Zugriff auf die Datenbank hatte, sicherheitshalber alle Accounts so lange sperrt, bis die Nutzer ihr Master Passwörter geändert haben. Die meisten Anbieter würden sagen: Nichts in den Logs, ist wohl auch nichts passiert. Was kümmert mich ein bisschen hoher Traffic?

    Man kann LP höchstens vorwerfen, dass sie übervorsichtig sind. Wenn sie nicht so reagiert hätten, hätte niemand davon erfahren, sie hätten das ganze schön stillschweigend unter dem Tisch fallen lassen, so wie das 99,99% aller anderen Anbieter tun, solange bis es nicht mehr zu leugnen ist, und das nenne ich dann nicht vertrauenswürdig. Die Macher hinter LP geben ja sogar offen zu, dass sie nicht nur vorsichtig, sondern fast schon paranoid sind (alles wird doppelt und dreifach gehashed mit zufälligen Salt werten, nichts liegt irgendwo zu irgend einem Zeitpunkt unverschlüsselt herum, usw.)

    Abgesehen davon, dass dieser Newsbeitrag bei Chip etwa auf Bildzeitungsniveau liegt, und bis heute kein Beweis oder auch nur ein eindeutiges Indiz existiert, dass irgend jemand sich Zugriff verschafft hätte, muss man hier schon genau aufpassen, wenn mit Worten wie "geknackt" hantiert wird. Mag theoretisch sein, dass irgendwer den Zugang zum Server geknackt hat und mag sein, dass er sogar die ganze Datenbank kopiert hat. Toll. Jetzt hat er eine Datenbank mit Daten, die mit einem gehashten Schlüssel verschlüsselt sind. Und jetzt? Um auch nur einen Datensatz davon entschlüsseln zu können, braucht er folgende Informationen:

    1) Er muss die E-mail Adresse des Nutzers kennen, zu dem dieser Datensatz gehört (in der Datenbank sind nur zufällige UserIDs gespeichert)

    2) Er muss das MasterPasswort des Nutzers kennen, dass in meinem Fall über 15 Zeichen lang ist, aus Groß- und Kleinbuchstaben, so wie Sonderzeichen besteht und so in keinem Wörterbuch der Welt zu finden ist.

    Nur wenn er das richtige MasterPasswort mit der Richtigen E-mail Adresse hashed und mit dem Ergebnis den richtigen Datensatz entschlüsselt kommt er jemals an brauchbare Daten heran. Andernfalls kann er ja mal versuchen AES-256 per Brute Force zu knacken, viel Spaß. Vielleicht werden es seine Urururururururenkel erleben, dass der Computer einen einzigen Datensatz so entschlüsselt bekommt. Dummerweise muss er dann für den zweiten wieder bei 0 anfangen und der braucht somit genauso lange. Bis dahin sind alle diese Webseiten, für die die Passwörter sind wahrscheinlich schon 1000 Jahre lang Asche.

    Die Sicherheit bei LP basiert eben nicht darauf, dass niemand an die Daten ran kommt. Die Sicherheit bei LP basiert primär darauf, dass selbst wenn jemand an die Daten kommt, er es nie im Leben schafft, diese zu knacken. Nicht wenn du ihn die dafür nötige Information nicht direkt in die Hand spielst. Und wenn du das tust, dann ist jedes PIN oder Passwort basierte System dieser Welt zu knacken. Um das zu verhindern, gibt es ja 2-Faktor Authentifizierung bei LP und One Time Passwörter.

    /Mecki

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Voith Group, Heidenheim an der Brenz, York (USA), Sao Paulo (Brasilien), Västerås (Schweden)
  2. Bayerische Versorgungskammer, München
  3. UmweltBank AG, Nürnberg
  4. ITEOS, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. D24f FHD/144 Hz für 149€ + Versand statt 193,94€ im Vergleich)
  2. (u. a. Acer KG241QP FHD/144 Hz für 169€ und Samsung GQ55Q70 QLED-TV für 999€)
  3. (u. a. mit Gaming-Monitoren, z. B. Acer ED323QURA Curved/WQHD/144 Hz für 299€ statt 379€ im...
  4. (u. a. Apple iPhone 6s Plus 32 GB für 299€ und 128 GB für 449€ - Bestpreise!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Mobile-Games-Auslese: Verdrehte Räume und verrückte Zombies für unterwegs
Mobile-Games-Auslese
Verdrehte Räume und verrückte Zombies für unterwegs

Ein zauberhaftes Denksportspiel wie Rooms, ansteckende Zombies in Infectonator 3 Apocalypse und Sky - Children of the Light, das neue Werk der Journey-Entwickler: Für die Urlaubszeit hat Golem.de besonders schöne und vielfälige Mobile Games gefunden!
Eine Rezension von Rainer Sigl

  1. Dr. Mario World im Test Spielspaß für Privatpatienten
  2. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  3. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor

  1. Urheberrecht: Youtuber sollen bei Snippets kein Geld mehr verlieren
    Urheberrecht
    Youtuber sollen bei Snippets kein Geld mehr verlieren

    Bisher konnten Urheber die Einnahmen von Youtubern komplett an sich ziehen, auch wenn diese nur ganz kurze Teile der eigenen Werke übernahmen. Das soll künftig auf Youtube nicht mehr möglich sein.

  2. Einrichtungskonzern: Ikea startet eigenen Geschäftsbereich für Smart Home
    Einrichtungskonzern
    Ikea startet eigenen Geschäftsbereich für Smart Home

    Der Einrichtungskonzern Ikea will mit einem eigenen Geschäftsbereich seine Smart-Home-Produkte voranbringen. Das Unternehmen will damit mehr bieten als nur gewöhnliche Möbel.

  3. Zoncolan: Facebook testet 100 Millionen Zeilen Code in 30 Minuten
    Zoncolan
    Facebook testet 100 Millionen Zeilen Code in 30 Minuten

    Das Entwicklerteam von Facebook hat ein eigenes Werkzeug zur statischen Code-Analyse erstellt und stellt nun erstmals Details dazu vor. Das Projekt habe Tausende Sicherheitslücken verhindert.


  1. 14:34

  2. 13:28

  3. 12:27

  4. 11:33

  5. 09:01

  6. 14:28

  7. 13:20

  8. 12:29