1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Passwortklau: Userdaten auch von Last…

Dämliche Aufforderung

  1. Thema

Neues Thema Ansicht wechseln


  1. Dämliche Aufforderung

    Autor: __destruct() 07.06.12 - 23:45

    Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich gemacht wurde?

    Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die bereits gehashte Eingabe auch nochmal. Dann die User dazu auffordern, ihr Passwort auf den anderen Seiten zu ändern, wenn sie es noch an anderer Stelle verwenden.

    Vorteil: Sofort sind alle geklauten Passwörter auf der eigenen Seite unbrauchbar, ohne, dass jeder einzelne User reagieren muss.

  2. Re: Dämliche Aufforderung

    Autor: JP 08.06.12 - 00:16

    Wenn die mal alle Ahnung davon hätten. Bestimmt wurde irgendein Framework für die Nutzerdatenbank verwendet oder ein Freelancer hat das vor Jahren mal implementiert oder irgendein anderer Umstand, dass keiner im Unternehmen Ahnung von der Thematik hat. Sie haben nur irgendwo stehen, dass die Passwörter nicht im Klartext gespeichert werden.

    Jemanden einzustellen, der zumindest ansatzweise Ahnung davon hat, kostet Geld. Das Geld wollen die Betriebswirte meistens nicht ausgeben. Besonders nicht für den "unwahrscheinlichen" Fall, dass sie mal gehackt werden.

    Auch habe ich schon das Argument gehört, dass Passwörter nicht gehashed abgespeichert werden können, weil man sie sonst dem User nicht mehr zusenden kann, wenn er sie vergessen hat. Und das Procedere des Zurücksetzens dürfe man dem User nicht antun. Die vernünftigen Leute gehen dann kopfschüttelnd aus dem Raum/Unternehmen, aber das Unternehmen macht erfolgreich weiter.


    Bis es dann mal knallt... Aber mindestens einen Experten fest einzustellen wird dann aber meistens immer noch nicht bedacht.

    Als ich letztens gelesen habe, dass Forscher die Passwörter von 72 Millionen Yahoo anhand des Hashes analysiert haben wunderte ich mich auch irgendwie, dass Yahoo keine salted Hashes verwendet. Und dass Yahoo auch nicht selber stutzig wurde, dass Forscher anhand der Hashes die Komplexität der Passwörter analysieren konnten und sogar prozentuale Angaben machen konnten, wieviele User "123456" als Passwort verwenden. Mal davon abgesehen, dass Yahoo sowas überhaupt zulässt. Da will man den Kunden nicht aufklären und auch nicht nerven.

  3. Re: Dämliche Aufforderung

    Autor: mav1 08.06.12 - 00:18

    Die Idee fehlerhaft bzw. totaler Unfug:

    Wenn man nur alle Hashs nochmal "hashed", und auch bei der Passworteingabe dementsprechend doppelt hashed, hat man keine Sicherheit gewonnen.

    Das Problem ist, dann müssten die Hacker einfach ihre Kopie der Hashes "cracken" und könnten sich damit problemlos im neuen System einloggen. Denn das Ursprungsbild ist gleich, wird eben nur doppelt gehashed.



    2 mal bearbeitet, zuletzt am 08.06.12 00:23 durch mav1.

  4. Re: Dämliche Aufforderung

    Autor: misterjack 08.06.12 - 00:37

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Besser: Alle Hashes nochmal hashen und im Login-System dementsprechend die
    > bereits gehashte Eingabe auch nochmal.

    Wie schon erwähnt. Totaler Quatsch.

    Die Hashes als solches nützen erstmal garnichts, sie müssen zuerst geknackt* werden, sprich der Klartext errechnet. Jetzt kommt es darauf an, wie sehr auf Sicherheit geachtet wurde. Reines md5 ohne Salting? Sekundensache. Gesalzen? Schon besser, aber md5 ist eben nicht das Wahre. Blowfish + mehrfaches Salzen und man kann sich den Tipp mit dem Neusetzen des Passworts wirklich sparen. Die rechnen noch in ein paar Jahren, um die Klartexte herauszubekommen :)

    *Stichwort Bruteforce-Attacke

  5. Re: Dämliche Aufforderung

    Autor: fuzzy 08.06.12 - 04:59

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Wieso gibt es immer die dämlichen Aufforderungen, sein Passwort auf der
    > Seite zu ändern, wenn die Userdatenbanktabelle einer Seite öffentlich
    > gemacht wurde?

    Weil wohl kein Salt zum Einsatz kam. Bei MD5. Deshalb. Wie man auch in wenigen Sekunden hätte recherchieren können.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. VerbaVoice GmbH, München
  2. nova-Institut für politische und ökologische Innovation GmbH, Hürth
  3. BASF Services Europe GmbH, Berlin
  4. ITSCare ? IT-Services für den Gesundheitsmarkt GbR, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 15,00€
  2. 14,99€
  3. (-40%) 35,99€
  4. 9,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

  1. Nanoracks: Astronauten backen Kekse auf der ISS
    Nanoracks
    Astronauten backen Kekse auf der ISS

    Frische Kekse 400 Kilometer über der Erde: Der Esa-Astronaut Luca Parmitano hat erstmals auf der ISS gebacken. Was auf der Erde einfach ist, erwies sich im Weltraum als kompliziert. Er brauchte mehrere Anläufe, um ein annehmbares Ergebnis zu erzielen.

  2. Nintendo: Mario Kart Tour testet Mehrspielerrennen
    Nintendo
    Mario Kart Tour testet Mehrspielerrennen

    Erst durften nur Abonnenten teilnehmen, nun können alle Spieler per Smartphone in Mario Kart Tour in Multiplayerrennen um die Wette fahren. Wer mag, kann sich Gegner in seiner geografischen Nähe vorknöpfen.

  3. ERP-Software: S/4 HANA liegt erstmals vor der Business Suite
    ERP-Software
    S/4 HANA liegt erstmals vor der Business Suite

    Die SAP-Anwenderfirmen haben den Umstieg vollzogen. Die Investitionen fließen in das neuere Produkt, so wie von SAP geplant. Wenn auch später, als viele erwartet haben.


  1. 19:34

  2. 16:40

  3. 16:03

  4. 15:37

  5. 15:12

  6. 14:34

  7. 14:12

  8. 13:47