| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
 (#1414606) Verfasst am: 08.01.2010, 17:32 Titel: |
 |
|
| Nikolaus hat folgendes geschrieben: | Jetzt mal ernsthaft:
| Gordon Bleu hat folgendes geschrieben: | Kleiner Test, kleiner Test...
Übrigens apart paradox, die Willkommensmail:
----------------------------
Username: Gordon Bleu
Passwort: [PASSWORT IM KLARTEXT]
----------------------------
Das Passwort wurde nur verschlüsselt in unserer Datenbank gespeichert, wenn du es also vergisst, können wir es dir nicht mehr zusenden. |
Wie kann der Forenserver das Passwort unverschlüsselt verschicken, ohne dass der Admin darauf Zugriff hätte? |
Die Willkommensmail wird direkt vom dem PHP-Registrierungsskript aus verschickt. Da hat der User ja sein Passwort im Klartext eingetippt  Die Variable $data['password'] enthält zur Laufzeit des Scripts folglich natürlich zunächsteinmal das Passwort im Klartext. Diese Variable kann dann dazu genutzt werden, das Passwort dem Nutzer über eine E-Mail-Vorlage zuzuschicken und das Passwort in den gerade neu angelegten Datensatz des Users einzutragen. Sobald die Laufzeit des Registrierungsscripts endet, liegt der Inhalt dieser Variablen aber nicht mehr vor.
EDIT: wen es interessiert, der kann den entsprechenden PHP-Code auch einfach online einsehen (Hier phpBB 3, aber ich schätze, dass das zugrundeliegende Prinzip bei phpBB 2 das gleiche sein wird)
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
 |
Rasmus
entartet und notorisch gottlos - Ich bin Papst
Anmeldungsdatum: 20.05.2004
Beiträge: 17559
|
| (#1414612) Verfasst am: 08.01.2010, 17:57 Titel: |
|
|
| NOCQUAE hat folgendes geschrieben: | | Nikolaus hat folgendes geschrieben: | Jetzt mal ernsthaft:
| Gordon Bleu hat folgendes geschrieben: | Kleiner Test, kleiner Test...
Übrigens apart paradox, die Willkommensmail:
----------------------------
Username: Gordon Bleu
Passwort: [PASSWORT IM KLARTEXT]
----------------------------
Das Passwort wurde nur verschlüsselt in unserer Datenbank gespeichert, wenn du es also vergisst, können wir es dir nicht mehr zusenden. |
Wie kann der Forenserver das Passwort unverschlüsselt verschicken, ohne dass der Admin darauf Zugriff hätte? |
Die Willkommensmail wird direkt vom dem PHP-Registrierungsskript aus verschickt. Da hat der User ja sein Passwort im Klartext eingetippt Die Variable $data['password'] enthält zur Laufzeit des Scripts folglich natürlich zunächsteinmal das Passwort im Klartext. Diese Variable kann dann dazu genutzt werden, das Passwort dem Nutzer über eine E-Mail-Vorlage zuzuschicken und das Passwort in den gerade neu angelegten Datensatz des Users einzutragen. Sobald die Laufzeit des Registrierungsscripts endet, liegt der Inhalt dieser Variablen aber nicht mehr vor.
EDIT: wen es interessiert, der kann den entsprechenden PHP-Code auch einfach online einsehen (Hier phpBB 3, aber ich schätze, dass das zugrundeliegende Prinzip bei phpBB 2 das gleiche sein wird) |
So wie's aussieht, wird da eine hash-Funktion benutzt. D.h. das Passwort wird nicht verschlüsselt oder sonstwie abgespeichert, sondern aus dem PAsswort wird ein code errechnet und dieser Code wird dann gespeichert.
Selbst wenn der Server-Admin Einblick in die Datenbank nimmt und alle Zugänge zum Server kennt und benutzt, kann er so keine Passworte entschlüsseln. (Theoretisch wäre es möglich, eine Brute-Force-Attacke laufen zu lassen, bis ein so getestetes Password den richtigen Code ergibt, und ggf. kann das sogar schneller gehen, als wenn man das PAsswort direkt erraten wollen würde. Mehr wäre aber nicht möglich.
_________________
Brother Sword of Enlightenment of the Unitarian Jihad
If you ask the wrong questions you get answers like '42' or 'God'.
"Glaubst Du noch oder hüpfst Du schon?"
Sylvia Browne - Wahrsager oder Scharlatan?
|
|
| Nach oben |
|
|
fwo
Caterpillar D9
Anmeldungsdatum: 05.02.2008
Beiträge: 25877
Wohnort: im Speckgürtel
|
| (#1414615) Verfasst am: 08.01.2010, 18:13 Titel: |
|
|
| Rasmus hat folgendes geschrieben: | .....
So wie's aussieht, wird da eine hash-Funktion benutzt. D.h. das Passwort wird nicht verschlüsselt oder sonstwie abgespeichert, sondern aus dem PAsswort wird ein code errechnet und dieser Code wird dann gespeichert.
Selbst wenn der Server-Admin Einblick in die Datenbank nimmt und alle Zugänge zum Server kennt und benutzt, kann er so keine Passworte entschlüsseln. (Theoretisch wäre es möglich, eine Brute-Force-Attacke laufen zu lassen, bis ein so getestetes Password den richtigen Code ergibt, und ggf. kann das sogar schneller gehen, als wenn man das PAsswort direkt erraten wollen würde. Mehr wäre aber nicht möglich. |
Bis auf die ausgehende Bestätigung ist dieses Verfahren so ja üblich. Aber als schlitzohriger Admin würde ich hier nicht in in der Code-Datei für die Passwörter rumprokeln, sondern mir die rausgehenden Willkommensgrüße kopieren.
fwo
_________________
Ich glaube an die Existenz der Welt in der ich lebe.
The skills you use to produce the right answer are exactly the same skills you use to evaluate the answer. Isso.
Es gibt keinen Gott. Also: Jesus war nur ein Bankert und alle Propheten hatten einfach einen an der Waffel (wenn es sie überhaupt gab).
|
|
| Nach oben |
|
|
Rasmus
entartet und notorisch gottlos - Ich bin Papst
Anmeldungsdatum: 20.05.2004
Beiträge: 17559
|
| (#1414618) Verfasst am: 08.01.2010, 18:26 Titel: |
|
|
| fwo hat folgendes geschrieben: | | Rasmus hat folgendes geschrieben: | .....
So wie's aussieht, wird da eine hash-Funktion benutzt. D.h. das Passwort wird nicht verschlüsselt oder sonstwie abgespeichert, sondern aus dem PAsswort wird ein code errechnet und dieser Code wird dann gespeichert.
Selbst wenn der Server-Admin Einblick in die Datenbank nimmt und alle Zugänge zum Server kennt und benutzt, kann er so keine Passworte entschlüsseln. (Theoretisch wäre es möglich, eine Brute-Force-Attacke laufen zu lassen, bis ein so getestetes Password den richtigen Code ergibt, und ggf. kann das sogar schneller gehen, als wenn man das PAsswort direkt erraten wollen würde. Mehr wäre aber nicht möglich. |
Bis auf die ausgehende Bestätigung ist dieses Verfahren so ja üblich. Aber als schlitzohriger Admin würde ich hier nicht in in der Code-Datei für die Passwörter rumprokeln, sondern mir die rausgehenden Willkommensgrüße kopieren.
fwo |
Ja, wenn man das PAsswort haben will und nicht Zugriff auf spezielle diesen Usr-Account, dann ist das durchaus möglich. Aber das kann man auch tun, ohne dass die Original-Mail verschickt wird.
_________________
Brother Sword of Enlightenment of the Unitarian Jihad
If you ask the wrong questions you get answers like '42' or 'God'.
"Glaubst Du noch oder hüpfst Du schon?"
Sylvia Browne - Wahrsager oder Scharlatan?
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1414656) Verfasst am: 08.01.2010, 19:47 Titel: |
|
|
| Rasmus hat folgendes geschrieben: | | So wie's aussieht, wird da eine hash-Funktion benutzt. D.h. das Passwort wird nicht verschlüsselt oder sonstwie abgespeichert, sondern aus dem PAsswort wird ein code errechnet und dieser Code wird dann gespeichert. |
Man sagt halt umgangssprachlich bei den Hashsummen immer einfach so, das Passwort sei „verschlüsselt“. Aber ja: rein technisch ist es korrekt, dass das Passwort nicht verschlüsselt ist.
Diese korrekte Aussage zu vermeiden ist aber ein wenig mehr DAU-proof: Wenn ich einem User sage, dass „Passwörter in der Datenbank nicht verschlüsselt sind“ (was ja als Aussage an sich erstmal sachlich völlig richtig ist), dann verleitet das zu der Annahme, dass das Passwort ausgelesen werden kann, was ja gerade bei den Hashsummen genau nicht der Fall ist: Das Passwort existiert gar nicht mehr. Zumindest bei md5 gäbe es zwar Methoden, aus der Prüfsumme heraus andere funktionierende Passwörter zu errechnen, aber das Passwort kann unmöglich wieder hergestellt werden.
Wenn man die Passwörter zur Anschaulichkeit durch Zahlen und die Prüfsummen durch Quersummen ersetzt, dann ist in der Datenbank z. B. nur die Information gespeichert, dass die Quersumme meines Passworts 11 ist. Dieses Wissen kann ich nun nutzen, um verschiedene, funktionierende Passwörter zu erzeugen (542, 74, 111121211 …), es gibt aber keine Möglichkeit, mein ursprüngliches Passwort (515) wieder herzustellen. Und bei sicheren Hash-Algorithmen (also nicht md5) versagt die Methode, andere Passwörter zu erzeugen, dann auch völlig.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
able_archer
auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 09.01.2010
Beiträge: 592
|
| (#1415276) Verfasst am: 10.01.2010, 00:11 Titel: |
|
|
Hallo Welt!
http://www.ixquick.de/
[/img]http://bs.cyty.com/menschen/e-etzold/archiv/TV/test/img/farbe1967.jpg[img]
 [/img]
Rote Schrift in blaue Schrift umgewandelt. Hornochse
Rote Schrift ist der Moderation vorbehalten.
|
|
| Nach oben |
|
|
Hornochse
Orthographiefetischist
Anmeldungsdatum: 22.07.2007
Beiträge: 8223
Wohnort: Bundeshauptstadt
|
| (#1415278) Verfasst am: 10.01.2010, 00:17 Titel: |
|
|
| rumo hat folgendes geschrieben: | Hallo Welt!
http://www.ixquick.de/
[/img]http://bs.cyty.com/menschen/e-etzold/archiv/TV/test/img/farbe1967.jpg[img]
[/img]
Rote Schrift in blaue Schrift umgewandelt. Hornochse
Rote Schrift ist der Moderation vorbehalten. |
Hallo rumo,
die Forenregeln hast du offensichtlich gut gelesen. Da kann ja nichts mehr schief gehen.
_________________
Alles könnte anders sein - und fast nichts kann ich ändern.
- Niklas Luhmann -
|
|
| Nach oben |
|
|
Rasmus
entartet und notorisch gottlos - Ich bin Papst
Anmeldungsdatum: 20.05.2004
Beiträge: 17559
|
| (#1415281) Verfasst am: 10.01.2010, 00:24 Titel: |
|
|
| NOCQUAE hat folgendes geschrieben: | | ... |
Alles richtig.
Mir ging es nur darum, dass der Admin halt nicht an das Passwort selber rankommt, für den Fall dass noch anderswo benutzt wird.
_________________
Brother Sword of Enlightenment of the Unitarian Jihad
If you ask the wrong questions you get answers like '42' or 'God'.
"Glaubst Du noch oder hüpfst Du schon?"
Sylvia Browne - Wahrsager oder Scharlatan?
|
|
| Nach oben |
|
|
able_archer
auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 09.01.2010
Beiträge: 592
|
| (#1415293) Verfasst am: 10.01.2010, 00:46 Titel: |
|
|
| Hornochse hat folgendes geschrieben: |
Hallo rumo,
die Forenregeln hast du offensichtlich gut gelesen. Da kann ja nichts mehr schief gehen. |
hallöchen! die moderation ist hier jedenfalls auf zack.
gib mir noch ein bisschen zeit, dann wird das schon.
warum erscheint img* immer am ende des letzten textes wenn ich es klicke?
|
|
| Nach oben |
|
|
Rasmus
entartet und notorisch gottlos - Ich bin Papst
Anmeldungsdatum: 20.05.2004
Beiträge: 17559
|
| (#1415295) Verfasst am: 10.01.2010, 00:52 Titel: |
|
|
| rumo hat folgendes geschrieben: | | Hornochse hat folgendes geschrieben: |
Hallo rumo,
die Forenregeln hast du offensichtlich gut gelesen. Da kann ja nichts mehr schief gehen. |
hallöchen! die moderation ist hier jedenfalls auf zack.
gib mir noch ein bisschen zeit, dann wird das schon.
warum erscheint img* immer am ende des letzten textes wenn ich es klicke? |
Weil der Text-Editor vom Forum scheiße ist.
Herzlich willkommen.
_________________
Brother Sword of Enlightenment of the Unitarian Jihad
If you ask the wrong questions you get answers like '42' or 'God'.
"Glaubst Du noch oder hüpfst Du schon?"
Sylvia Browne - Wahrsager oder Scharlatan?
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1415298) Verfasst am: 10.01.2010, 01:17 Titel: |
|
|
| rumo hat folgendes geschrieben: | | warum erscheint img* immer am ende des letzten textes wenn ich es klicke? |
Normalerweise sollten die Tags beim Anklicken an der Cursorposition eingefügt werden oder - wenn sich der Cursor nicht im Textfeld befindet - am Ende. Bei sehr alten Firefox-Versionen gab es da Zeitweise mal Probleme, bei denen die Tags immer am Ende eingefügt wurden.
An sich sind diese Buttons nur Eingabehilfen, man kann die Tags ebensogut manuell eingeben.
Wichtig zu wissen ist eigentlich nur: beim ersten Klick wird das Tag geöffnet, also ein [x] eingefügt. Dann steht das Tag auf "offen", gekennzeichnet, indem dem betreffenden Button ein * hinzugefügt wird. Um es zu schließen, muss man nochmal auf den Button klicken, was das dann entsprechende [/x] an der Cursorposition einfügt. Wenn man den Beitrag aber absendet, ohne die offenen Tags geschlossen zu haben, dann werden dabei die entsprechenden End-Tags automatisch am Ende eingefügt.
Am einfachsten ist es, den entsprechenden Text (zum Beispiel den Link zu einem Bild) markiert, bevor man auf img klickt. Die img-Tags werden in dem Fall um den markierten Text herum gesetzt.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
Louseign
(-)
Anmeldungsdatum: 02.06.2006
Beiträge: 5585
|
| (#1415302) Verfasst am: 10.01.2010, 01:22 Titel: |
|
|
| NOCQUAE hat folgendes geschrieben: | | Bei sehr alten Firefox-Versionen gab es da Zeitweise mal Probleme, bei denen die Tags immer am Ende eingefügt wurden. |
Wenn der Skin »Desert Storm« verwendet wird, ist es übrigens immer noch so, auch mit FF 3.0.17
|
|
| Nach oben |
|
|
Zoff
registrierter User
Anmeldungsdatum: 24.08.2006
Beiträge: 21668
|
| (#1415322) Verfasst am: 10.01.2010, 03:14 Titel: |
|
|
| Louseign hat folgendes geschrieben: | | NOCQUAE hat folgendes geschrieben: | | Bei sehr alten Firefox-Versionen gab es da Zeitweise mal Probleme, bei denen die Tags immer am Ende eingefügt wurden. |
Wenn der Skin »Desert Storm« verwendet wird, ist es übrigens immer noch so, auch mit FF 3.0.17 |
Ich kenn das gar nicht anders..
|
|
| Nach oben |
|
|
Pfaffenschreck
Schwarzwaldelch; möööh
Anmeldungsdatum: 09.05.2006
Beiträge: 6422
Wohnort: City of dope
|
| (#1415353) Verfasst am: 10.01.2010, 11:32 Titel: |
|
|
| Zoff hat folgendes geschrieben: | | Louseign hat folgendes geschrieben: | | NOCQUAE hat folgendes geschrieben: | | Bei sehr alten Firefox-Versionen gab es da Zeitweise mal Probleme, bei denen die Tags immer am Ende eingefügt wurden. |
Wenn der Skin »Desert Storm« verwendet wird, ist es übrigens immer noch so, auch mit FF 3.0.17 |
Ich kenn das gar nicht anders.. |
me too, egal welche Version.
_________________
Merkwürdig, ich kann mich nicht erinnern, jemals einer kirchlichen Vereinigung beigetreten zu sein. Und doch mußte ich erst austreten, um Nichtmitglied zu werden!
---
In jedem Dorf gibt es eine Fackel, den Lehrer;
Und jemanden, der dieses Licht löscht, den Pfarrer.
Victor Hugo
---
http://www.humanisten-freiburg.de/
Reinschauen, mitmachen, mitgestalten und etwas bewegen.
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1416994) Verfasst am: 13.01.2010, 17:11 Titel: |
|
|
| fwo hat folgendes geschrieben: | | Bis auf die ausgehende Bestätigung ist dieses Verfahren so ja üblich. Aber als schlitzohriger Admin würde ich hier nicht in in der Code-Datei für die Passwörter rumprokeln, sondern mir die rausgehenden Willkommensgrüße kopieren. |
Äh, ja. Oder nur sagen, dass das Passwort „verschlüsselt“ würde, es aber im Klartext in die Datenbank eintragen.
Aber die einzige Möglichkeit, alle solche Wege zu umgehen, wäre es, den User selbst zuhause, lokal sein Passwort hashen zu lassen.
Bei der Anmeldung gibts dann kein Eingabefeld für das Passwort, sondern nur ein Eingabefeld für z. B. den sha256-Hash des gewünschten Passworts, und der Wert wird dann direkt so in die Datenbank eingetragen. Also anstatt Passwort „Spam“ „94a9eac404c8c6ff825a438e1f8f3ff1afa9340dd3d1a6412d2c511a800de478“ ...
Ich würde allerdings mal vermuten, dass der Löwenanteil aller User damit überfordert wäre. Die Akzeptanz für sowas dürfte auch im einstelligen Prozent-Bereich liegen. Ich wäre ja für sowas durchaus zu gewinnen,  aber alleine alle Windows-User müssten sich mangels sha256sum zuallererst überhaupt mal ein Hashprogramm installieren.
EDIT2: Zum Beweis dieser These beachte man bitte die folgenden Postings.
EDIT: zusätzlich birgt das das Problem, dass man dann keine Mindestanforderungen für Passwörter festlegen kann, bzw. den Hash gleich mal als Erstes gegen eine endlose Liste aus Hashes von „beliebten“ Passwörtern abgleichen müsste, um etwa Passwörter wie „a“, „123“ oder „“ auszuschließen.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
Zuletzt bearbeitet von nocquae am 13.01.2010, 17:18, insgesamt 2-mal bearbeitet |
|
| Nach oben |
|
|
vrolijke
Bekennender Pantheist
Anmeldungsdatum: 15.03.2007
Beiträge: 46337
Wohnort: Stuttgart
|
| (#1416996) Verfasst am: 13.01.2010, 17:15 Titel: |
|
|
I understand just station.
_________________
Glück ist kein Geschenk der Götter; es ist die Frucht der inneren Einstellung.
Erich Fromm
Sich stets als unschuldiges Opfer äußerer Umstände oder anderer Menschen anzusehen ist die perfekte Strategie für lebenslanges Unglücklichsein.
Grenzen geben einem die Illusion, das Böse kommt von draußen
|
|
| Nach oben |
|
|
Evilbert
auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 16.09.2003
Beiträge: 42408
|
| (#1416997) Verfasst am: 13.01.2010, 17:16 Titel: |
|
|
| vrolijke hat folgendes geschrieben: | | I understand just station. |
50% davon sind mir zu hoch. Der Rest davon ist mir viel zu hoch.
|
|
| Nach oben |
|
|
narziss
auf Wunsch deaktiviert
Anmeldungsdatum: 16.07.2003
Beiträge: 21939
|
| (#1416998) Verfasst am: 13.01.2010, 17:18 Titel: |
|
|
| vrolijke hat folgendes geschrieben: | | I understand just station. |
Du unterstehst der gerechten Station?
|
|
| Nach oben |
|
|
Rasmus
entartet und notorisch gottlos - Ich bin Papst
Anmeldungsdatum: 20.05.2004
Beiträge: 17559
|
| (#1417002) Verfasst am: 13.01.2010, 17:30 Titel: |
|
|
| NOCQUAE hat folgendes geschrieben: | | Bei der Anmeldung gibts dann kein Eingabefeld für das Passwort, sondern nur ein Eingabefeld für z. B. den sha256-Hash des gewünschten Passworts, und der Wert wird dann direkt so in die Datenbank eingetragen. Also anstatt Passwort „Spam“ „94a9eac404c8c6ff825a438e1f8f3ff1afa9340dd3d1a6412d2c511a800de478“ ... |
Was würde das denn bringen? Das ist dann ein langes und an sich hinreichend sicheres Password, aber es wäre mindestens ebenso angreifbar wie ein gutes Passwort das jetzt schon ist, oder?
_________________
Brother Sword of Enlightenment of the Unitarian Jihad
If you ask the wrong questions you get answers like '42' or 'God'.
"Glaubst Du noch oder hüpfst Du schon?"
Sylvia Browne - Wahrsager oder Scharlatan?
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1417003) Verfasst am: 13.01.2010, 17:35 Titel: |
|
|
| Noseman hat folgendes geschrieben: | | vrolijke hat folgendes geschrieben: | | I understand just station. |
50% davon sind mir zu hoch. Der Rest davon ist mir viel zu hoch. |
Also: wenn gesagt wird, dass Passwörter in der Datenbank „verschlüsselt“ seien, stimmt das rein technisch eigentlich nicht. „Verschlüsselung“ würde bedeuten, dass es auch wieder entschlüsselt werden kann. Geht aber nicht.
Zum Vergleich, wie das abläuft, bieten sich Zahlen und deren Quersummen an:
Angenommen, dein Passwort wäre „398776“. Dann wird in der Datenbank nicht gespeichert „Nosemans Passwort ist 398776“, sondern „Die Quersumme von Nosemans Passwort ist 40“.
Wenn du dich jetzt einloggst, und dein Passwort „398776“ in das entsprechende Feld einträgst, dann wird wieder die Quersumme aus deiner Eingabe gebildet und mit der in der Datenbank hinterlegten Quersumme verglichen. Wenn du z. B. 398775 eingegeben hattest (Quersumme 39) heißt das, dass das eingegebene Passwort falsch gewesen sein muss, und du musst draußen bleiben.
Die Frage, um die es hier geht, ist folgende: Wie verhindert man, dass irgendwer, der Zugriff auf die Technik hat, in den Besitz deines Passworts gelangt, dass du ja bei der Anmeldung im Klartext eingegeben hattest?
Die einzige Möglichkeit dafür ist, dass du nicht etwa dein Passwort bei der Registrierung angibst aus dem dann automatisch die Quersumme gebildet und in der Datenbank abgespeichert wird, sondern gleich direkt dessen Quersumme, z. B. „40“.
Bei dem Beispiel mit Zahlen und Quersummen anstatt Passphrasen und Hashsummen ist es recht witzlos, denn natürlich kann man auf einfachstem Wege andere Zahlen mit derselben Quersumme finden, die dann folglich auch „funktionierende Passwörter“ wären (weil ja nicht etwa die Zahl selbst geprüft wird, sondern nur deren Quersumme).
Hashsummen sind allerdings bedeutend komplexer, die md5-Hashsumme ist z. B. eine 32-stellige Hexadezimalzahl, der sha256-Hash eine 64-stellige Hexadezimalzahl. Bei ersterem Algorithmus ist es zwar noch möglich, andere Passphrasen mit dem gleichen Hash zu berechnen, bei letzterem aber nicht.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1417005) Verfasst am: 13.01.2010, 17:44 Titel: |
|
|
| Rasmus hat folgendes geschrieben: | | NOCQUAE hat folgendes geschrieben: | | Bei der Anmeldung gibts dann kein Eingabefeld für das Passwort, sondern nur ein Eingabefeld für z. B. den sha256-Hash des gewünschten Passworts, und der Wert wird dann direkt so in die Datenbank eingetragen. Also anstatt Passwort „Spam“ „94a9eac404c8c6ff825a438e1f8f3ff1afa9340dd3d1a6412d2c511a800de478“ ... |
Was würde das denn bringen? Das ist dann ein langes und an sich hinreichend sicheres Password, aber es wäre mindestens ebenso angreifbar wie ein gutes Passwort das jetzt schon ist, oder? |
Öh, nee. Das Verfahren wäre genau dasselbe, wie es jetzt ist, nur, dass einmal die Berechnung des Hashs automatisch vom Registrierungsskript übernommen wird, beim anderen mal die Berechnung vor der Anmeldung direkt vom User.
Der Sicherheitsgewinn ist der, dass das Passwort selbst zu keinem Zeitpunkt irgendwohin übertragen wird.
btw.: Hashwerte selbst als Passwörter zu nehmen ist nicht unbeliebt (weil man eine sehr simples, einfach zu erinnerndes Passwort hernehmen kann und eine Methode hat, das ist ein langes, scheinbar zufälliges zu verwandeln), aber: die Entropie des Passworts (log<sub>2</sub> (Zeichenvorrat, aus dem das Passwort stammt) * (Länge des Passworts)) ist ziemlich gering: Hexadezimalzahlen haben ja einen Zeichenvorrat von nur 16 Zeichen. Um die gleiche Sicherheit zu erreichen wie bei den „normalen“ Passwörtern (mit einem Zeichenvorrat von 95 Zeichen), muss das Passwort also 6 x länger sein. Eine 48-stellige Hexadezimalzahl hat die gleiche Entropie wie ein 8-stelliges Passwort aus dem „Standardzeichensatz“.
EDIT: gnaah, der letzte Teil ist natürlich Quatsch. Ein Zeichenvorrat von 95 Zeichen hat eine Entropie von 6,57 pro Stelle, ein Zeichenvorrat von 16 Zeichen eine von 4. Um die gleiche Entropie zu erreichen muss die Hexadezimalzahl also nicht 6 mal länger sein, sondern nur gut 1,6 mal  8 Zeichen „Standard“ entsprechen also 13 Stellen hexadezimal, einen sha256-Hash als Passwort herzunehmen wäre also in etwa das gleiche, wie ein 39-stelliges Passwort aus dem Standardzeichensatz. Das ist also doch schon sehr sicher (mit der Einschränkung, dass ein 39-stelliges Passwort mit ziemlicher Sicherheit Wörterbuchattacken widersteht, bei dem Hash muss man in Betracht ziehen, dass die Ausgangsphrase womöglich sehr simpel war und dann auch entsprechend einfach wieder hergestellt werden kann)
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
Zuletzt bearbeitet von nocquae am 13.01.2010, 18:07, insgesamt einmal bearbeitet |
|
| Nach oben |
|
|
Rasmus
entartet und notorisch gottlos - Ich bin Papst
Anmeldungsdatum: 20.05.2004
Beiträge: 17559
|
| (#1417010) Verfasst am: 13.01.2010, 18:07 Titel: |
|
|
| NOCQUAE hat folgendes geschrieben: | | Rasmus hat folgendes geschrieben: | | NOCQUAE hat folgendes geschrieben: | | Bei der Anmeldung gibts dann kein Eingabefeld für das Passwort, sondern nur ein Eingabefeld für z. B. den sha256-Hash des gewünschten Passworts, und der Wert wird dann direkt so in die Datenbank eingetragen. Also anstatt Passwort „Spam“ „94a9eac404c8c6ff825a438e1f8f3ff1afa9340dd3d1a6412d2c511a800de478“ ... |
Was würde das denn bringen? Das ist dann ein langes und an sich hinreichend sicheres Password, aber es wäre mindestens ebenso angreifbar wie ein gutes Passwort das jetzt schon ist, oder? |
Öh, nee. Das Verfahren wäre genau dasselbe, wie es jetzt ist, nur, dass einmal die Berechnung des Hashs automatisch vom Registrierungsskript übernommen wird, beim anderen mal die Berechnung vor der Anmeldung direkt vom User.
Der Sicherheitsgewinn ist der, dass das Passwort selbst zu keinem Zeitpunkt irgendwohin übertragen wird. |
Jetzt verstehe ich das. D.h. bei der Anmeldung übermittle ich den Hash von meinem PAsswort, und später beim Login benutze ich aber wie gehabt das Passwort? Das ist sinnvoll - dem bösen Admin bleibt dann nur, das Login-Script zu hacken ...
(Und die Lösung dafür sind KeyFobs, was für ein Forum ggf. doch etwas übertrieben wäre ...)
_________________
Brother Sword of Enlightenment of the Unitarian Jihad
If you ask the wrong questions you get answers like '42' or 'God'.
"Glaubst Du noch oder hüpfst Du schon?"
Sylvia Browne - Wahrsager oder Scharlatan?
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1417012) Verfasst am: 13.01.2010, 18:13 Titel: |
|
|
| Rasmus hat folgendes geschrieben: | | Jetzt verstehe ich das. D.h. bei der Anmeldung übermittle ich den Hash von meinem PAsswort, und später beim Login benutze ich aber wie gehabt das Passwort? |
Genau das meine ich. 
Aber wie gesagt: Ich glaube, dass die Akzeptanz der User bei so einem Registrierungsvorgehen ziemlich gering wäre.
Hätte allerdings wieder den zusätzlichen Vorteil, dass das auch sowas wie eine intellektuelle Mindest-Anforderungsüberprüfung darstellt ... „Ich bin in der Lage, vorgegebene, detaillierte Anweisungen Schritt für Schritt zu befolgen“. Wer schon daran scheitert, kann sich halt nicht anmelden.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
Evilbert
auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 16.09.2003
Beiträge: 42408
|
| (#1417014) Verfasst am: 13.01.2010, 18:17 Titel: |
|
|
| NOCQUAE hat folgendes geschrieben: | | „Ich bin in der Lage, vorgegebene, detaillierte Anweisungen Schritt für Schritt zu befolgen“. |
Ist das der Sinn eines kritischen Forums, das können und machen zu müssen? Dann lieber nur Doofe als User.
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1417019) Verfasst am: 13.01.2010, 18:27 Titel: |
|
|
| Noseman hat folgendes geschrieben: | | NOCQUAE hat folgendes geschrieben: | | „Ich bin in der Lage, vorgegebene, detaillierte Anweisungen Schritt für Schritt zu befolgen“. |
Ist das der Sinn eines kritischen Forums, das können und machen zu müssen? Dann lieber nur Doofe als User. |
Nee. Mit „Anweisungen“ ist gemeint:
„Um dich Anzumelden, musst du folgendermaßen vorgehen:
Schritt 1: Bewege den Mauscursor auf das Feld ‚Name’ und klicke einmal mit der linken Maustaste darauf.
[…]
Schritt 15: Bewege den Mauscursor auf den Button ‚Absenden‘ und klicke einmal mit der linken Maustaste darauf.“
Man kann das natürlich auch durchaus weniger militärisch formulieren. Z. B. anstatt „Um dich Anzumelden, musst du folgendermaßen vorgehen” vielleicht „Für den Fall, dass du dich Anmelden möchtest, darfst du Folgendes tun“ usw.
Das ist dann höflicher, aber Personen, die damit intellektuell überfordert sind, können sich trotzdem noch nicht anmelden.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
vrolijke
Bekennender Pantheist
Anmeldungsdatum: 15.03.2007
Beiträge: 46337
Wohnort: Stuttgart
|
| (#1417063) Verfasst am: 13.01.2010, 20:43 Titel: |
|
|
| narziss hat folgendes geschrieben: | | vrolijke hat folgendes geschrieben: | | I understand just station. |
Du unterstehst der gerechten Station? |
Gemeint war eigentlich: Ich verstehe nur Bahnhof.
_________________
Glück ist kein Geschenk der Götter; es ist die Frucht der inneren Einstellung.
Erich Fromm
Sich stets als unschuldiges Opfer äußerer Umstände oder anderer Menschen anzusehen ist die perfekte Strategie für lebenslanges Unglücklichsein.
Grenzen geben einem die Illusion, das Böse kommt von draußen
|
|
| Nach oben |
|
|
Zoff
registrierter User
Anmeldungsdatum: 24.08.2006
Beiträge: 21668
|
| (#1417276) Verfasst am: 14.01.2010, 17:56 Titel: |
|
|
| test1
|
|
| Nach oben |
|
|
Zoff
registrierter User
Anmeldungsdatum: 24.08.2006
Beiträge: 21668
|
| (#1417277) Verfasst am: 14.01.2010, 17:56 Titel: |
|
|
| test2
|
|
| Nach oben |
|
|
Evilbert
auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 16.09.2003
Beiträge: 42408
|
| (#1417278) Verfasst am: 14.01.2010, 17:58 Titel: |
|
|
| Zoff hat folgendes geschrieben: | | test2 |
Ich hab jedesmal eine Benachrichtigungsmail gekriegt. Hat das was mit dem Test zu tun?
|
|
| Nach oben |
|
|
Hornochse
Orthographiefetischist
Anmeldungsdatum: 22.07.2007
Beiträge: 8223
Wohnort: Bundeshauptstadt
|
| (#1417281) Verfasst am: 14.01.2010, 17:59 Titel: |
|
|
| Noseman hat folgendes geschrieben: | | Zoff hat folgendes geschrieben: | | test2 |
Ich hab jedesmal eine Benachrichtigungsmail gekriegt. Hat das was mit dem Test zu tun? |
Hast du vielleicht die Benachrichtigungsfunktion für diesen Thread aktiviert?
_________________
Alles könnte anders sein - und fast nichts kann ich ändern.
- Niklas Luhmann -
|
|
| Nach oben |
|
|
|
FAQ 
Suchen 
Mitgliederliste 
Nutzungsbedingungen 
Benutzergruppen 
Links
Registrieren
Profil 
Einloggen, um private Nachrichten zu lesen 
Login 
