Freigeisterhaus Foren-Übersicht
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   NutzungsbedingungenNutzungsbedingungen   BenutzergruppenBenutzergruppen   LinksLinks   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Passwort-Sicherheit - Kompliziertheit überschätzt?
Gehe zu Seite Zurück  1, 2
 
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> DAU's Paradise
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Assarbad
Computerversteher



Anmeldungsdatum: 29.07.2011
Beiträge: 105
Wohnort: Reykjavík

Beitrag(#1675472) Verfasst am: 15.08.2011, 15:23    Titel: Antworten mit Zitat

Arashi hat folgendes geschrieben:
Wenn ich dich recht verstehe, ist bei webanwendungen also ein besonders sicheres PWs mehr oder weniger sowieso für die Katz, während bei anderen Sachen wie z.B. dem PW eines Truecryptcontainers mit sensiblen Daten drin gilt: möglichst lang + Zeichenketten die in keiner Sprache ein Wort bilden?
Genau so.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name ICQ-Nummer
nocquae
diskriminiert nazis



Anmeldungsdatum: 16.07.2003
Beiträge: 18183

Beitrag(#1675504) Verfasst am: 15.08.2011, 15:57    Titel: Antworten mit Zitat

Assarbad hat folgendes geschrieben:
Arashi hat folgendes geschrieben:
Wenn ich dich recht verstehe, ist bei webanwendungen also ein besonders sicheres PWs mehr oder weniger sowieso für die Katz, während bei anderen Sachen wie z.B. dem PW eines Truecryptcontainers mit sensiblen Daten drin gilt: möglichst lang + Zeichenketten die in keiner Sprache ein Wort bilden?
Genau so.

Naja, „webanwendungen also ein besonders sicheres PWs mehr oder weniger sowieso für die Katz“ würde ich doch einschränken wollen: für wichtig halte ich es vor allem, nicht in allen Webanwendungen das gleiche Passwort zu verwenden.
Wie weiter oben gesagt muss das nicht bedeuten, sich 50 verschiedene Passwörter merken zu müssen. Eine einfache Möglichkeit ist es, das „Basispasswort“ nach einem bestimmten, persönlichen Algorithmus zu modifizieren, z. B. indem ich den letzten Buchstaben des Domainnamens an den Anfang des Passworts stelle und den ersten ans Ende. Oder den vorletzten ans Ende und den letzen an drittletzte Stelle des Passworts. Irgendwas. Auf die Weise muss ich mir nur mein „Basispasswort“ merken und den Algorithmus, den ich mir ausgedacht habe.

Denn wie gesagt: auch heutzutage kommt es noch vor, dass manche Seiten ihre Passwörter als Klartext speichern. Ein solches Passwort ist kompromittiert, ganz gleich, wie komplex es auch immer sein mag.
Mal abgesehen von Seitenbetreibern, die überhaupt nur auf Passwörter aus sind, weil man eben dann mal gleich die Kombination von Usernamen + Passwort, mit denen sich der User auf meiner Seite angemeldet hat, gleich mal auf 10.000 anderen Seiten ausprobieren kann.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
Assarbad
Computerversteher



Anmeldungsdatum: 29.07.2011
Beiträge: 105
Wohnort: Reykjavík

Beitrag(#1675533) Verfasst am: 15.08.2011, 16:36    Titel: Antworten mit Zitat

nocquae hat folgendes geschrieben:
Wie weiter oben gesagt muss das nicht bedeuten, sich 50 verschiedene Passwörter merken zu müssen. Eine einfache Möglichkeit ist es, das „Basispasswort“ nach einem bestimmten, persönlichen Algorithmus zu modifizieren, z. B. indem ich den letzten Buchstaben des Domainnamens an den Anfang des Passworts stelle und den ersten ans Ende. Oder den vorletzten ans Ende und den letzen an drittletzte Stelle des Passworts. Irgendwas. Auf die Weise muss ich mir nur mein „Basispasswort“ merken und den Algorithmus, den ich mir ausgedacht habe.
Guter Ansatz.

nocquae hat folgendes geschrieben:
Denn wie gesagt: auch heutzutage kommt es noch vor, dass manche Seiten ihre Passwörter als Klartext speichern. Ein solches Passwort ist kompromittiert, ganz gleich, wie komplex es auch immer sein mag.
Kompromittiert ist in solcherlei Fall technisch gesehen auch das Paßwort welches gehasht gespeichert wurde, ob mit Salz oder nicht. Abgesehen davon ist nichts daran per-se falsch Paßwörter im Klartext zu speichern. Es gibt sogar für diverse Anwendungen (Mailserver, Peer Heinlein hatte da eine sehr gute Begründung im Postfix-Buch) sehr gute Gründe dies zu tun. Dennoch kann ja der Zugriff zu dieser Information abgestuft gesichert sein. Und auch wenn es im Klartext gespeichert ist, muß wäre ja die Antwort des entsprechenden Codes nur stimmt oder stimmt nicht.

Anfälliger sind da sicherlich, da gebe ich dir recht, Webanwendungen. Sicherlich auch aufgrund der Tatsache, daß dort mehr Komponenten exponiert sind und angreifbar machen ...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name ICQ-Nummer
nocquae
diskriminiert nazis



Anmeldungsdatum: 16.07.2003
Beiträge: 18183

Beitrag(#1675544) Verfasst am: 15.08.2011, 16:52    Titel: Antworten mit Zitat

Assarbad hat folgendes geschrieben:
Und auch wenn es im Klartext gespeichert ist, muß wäre ja die Antwort des entsprechenden Codes nur stimmt oder stimmt nicht.

Ja, sicher, aber das ist ja nur entscheidend, wenn Verbindungen abgegriffen werden. Ich habe da eher andere Angriffsszenarien im Kopf, nämlich z. B. den Hack des Sony-Netzwerks. Da kann ich eben auf einen Schlag 25 Millionen Kombinationen von username + hash abgreifen, da lohnt es sich schon, Aufwand reinzustecken.

Aber natürlich ist jedes Passwort "unsicher" im Sinne von läßt sich auf die eine oder andere Weise herauskriegen. Deswegen würde ich auch der Option, überall verschiedene Passwörter zu verwenden ganz klar den Vorzug geben vor "sich ein einziges, ganz besonders komplexes Passwort ausdenken".
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
Fuxing
grösstenteils harmlos



Anmeldungsdatum: 07.05.2008
Beiträge: 1691
Wohnort: Ankh Morpork

Beitrag(#1675618) Verfasst am: 15.08.2011, 19:05    Titel: Antworten mit Zitat

nocquae hat folgendes geschrieben:
Assarbad hat folgendes geschrieben:
Und auch wenn es im Klartext gespeichert ist, muß wäre ja die Antwort des entsprechenden Codes nur stimmt oder stimmt nicht.

Ja, sicher, aber das ist ja nur entscheidend, wenn Verbindungen abgegriffen werden. Ich habe da eher andere Angriffsszenarien im Kopf, nämlich z. B. den Hack des Sony-Netzwerks. Da kann ich eben auf einen Schlag 25 Millionen Kombinationen von username + hash abgreifen, da lohnt es sich schon, Aufwand reinzustecken.

Aber natürlich ist jedes Passwort "unsicher" im Sinne von läßt sich auf die eine oder andere Weise herauskriegen. Deswegen würde ich auch der Option, überall verschiedene Passwörter zu verwenden ganz klar den Vorzug geben vor "sich ein einziges, ganz besonders komplexes Passwort ausdenken".


Wie bewertest du die Möglichkeit, auf Webseiten (z.B. Arcor-Webmail) die zusätzlich mögliche Funktion der SSL-Verschlüsselung zu wählen?
Manche Anbieter bieten das ja erst gar nicht an.
Mir kommt das Ganze insbesondere dann auch schon halb-unsicher vor, wenn die SSL-Verbindung erst nach Eingabe des Kennwortes aufgebaut wird - das ist aber aktuell eher ein Bauchgefühl denn tatsächliches Wissen, wie es funktioniert.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Assarbad
Computerversteher



Anmeldungsdatum: 29.07.2011
Beiträge: 105
Wohnort: Reykjavík

Beitrag(#1675623) Verfasst am: 15.08.2011, 19:34    Titel: Antworten mit Zitat

Fuxing hat folgendes geschrieben:
Mir kommt das Ganze insbesondere dann auch schon halb-unsicher vor, wenn die SSL-Verbindung erst nach Eingabe des Kennwortes aufgebaut wird - das ist aber aktuell eher ein Bauchgefühl denn tatsächliches Wissen, wie es funktioniert.
Okay, nehmen wir mal die übliche Methode. Man hat ein "form" (HTML-Element) und die Methode (HTTP: GET oder POST) und dann eben die Felder, bspw. "username" und "password".

Nehmen wir also an, daß du eine Seite hast bei der http:// oben in der Adreßleiste steht, okay? Die Seite ist also erstmal unsicher. Aber wenn jetzt das Ziel des GET oder POST ein https:// beinhaltet, ist alles in Butter. Dann wird dein Paßwort in jedem Fall verschlüsselt übertragen.

Es gibt dann noch andere Methoden bei denen der Client quasi einen Hash schickt, statt des Paßwortes, was selbst ohne Verschlüsselung noch relativ sicher sein kann, wenn denn diverse andere Sachen beachtet werden. Aber das geht jetzt zu weit das zu erklären.

Fazit: wenn POST oder GET bereits ein https:// beinhalten ist alles in Butter, selbst wenn die Seite über HTTP ohne SSL geladen wurde. Leider läßt sich dies nur herausfinden indem man den Quelltext der Webseite betrachtet. K.A. ob es da vielleicht Erweiterungen für FF oder so gibt um das anzuzeigen. bin selber Opera-Nutzer und schaue bei den Seiten wo ich das erste Mal bin immer selber (händisch) nach.

Ergänzung: nehmen wir mal den Fall, daß im Formular http:// steht aber serverseitig dann auf https:// umgeleitet wird, dann wurde dein Paßwort in diesem Fall tatsächlich im Klartext übertragen.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name ICQ-Nummer
nocquae
diskriminiert nazis



Anmeldungsdatum: 16.07.2003
Beiträge: 18183

Beitrag(#1675628) Verfasst am: 15.08.2011, 19:51    Titel: Antworten mit Zitat

Fuxing hat folgendes geschrieben:
nocquae hat folgendes geschrieben:
Assarbad hat folgendes geschrieben:
Und auch wenn es im Klartext gespeichert ist, muß wäre ja die Antwort des entsprechenden Codes nur stimmt oder stimmt nicht.

Ja, sicher, aber das ist ja nur entscheidend, wenn Verbindungen abgegriffen werden. Ich habe da eher andere Angriffsszenarien im Kopf, nämlich z. B. den Hack des Sony-Netzwerks. Da kann ich eben auf einen Schlag 25 Millionen Kombinationen von username + hash abgreifen, da lohnt es sich schon, Aufwand reinzustecken.

Aber natürlich ist jedes Passwort "unsicher" im Sinne von läßt sich auf die eine oder andere Weise herauskriegen. Deswegen würde ich auch der Option, überall verschiedene Passwörter zu verwenden ganz klar den Vorzug geben vor "sich ein einziges, ganz besonders komplexes Passwort ausdenken".


Wie bewertest du die Möglichkeit, auf Webseiten (z.B. Arcor-Webmail) die zusätzlich mögliche Funktion der SSL-Verschlüsselung zu wählen?
Manche Anbieter bieten das ja erst gar nicht an.
Mir kommt das Ganze insbesondere dann auch schon halb-unsicher vor, wenn die SSL-Verbindung erst nach Eingabe des Kennwortes aufgebaut wird - das ist aber aktuell eher ein Bauchgefühl denn tatsächliches Wissen, wie es funktioniert.

SSL verschlüsselt die Daten beim Sender, so dass die nicht mehr im Klartext gesendet werden, was dann jeder mitlesen könnte, der Zugriff auf Router hat, über die die gesendeten Daten geleitet werden.
Grundsätzlich geht das natürlich auch schon für die Passwort-Übertragung. Grade bei Mailservices ist es natürlich relativ witzlos, ausgerechnet das Passwort unverschlüsselt zu übertragen: so kann zwar niemand Mails mitlesen, wenn ich sie vom Server abrufe, aber sich in Besitz des Passworts bringen und sich mit meinem Usernamen und Passwort einloggen.
Das beschränkt sich aber eher auf Szenarien, bei denen Mitarbeiter beim ISP neugierig sind, oder ein größere Arbeitgeber seine Admins anweist, mal zu schnüffeln, was seine Angestellten so im Internet treiben; ansonsten noch Abhörmaßnahmen oder speziell eingerichtete Router, die extra für sowas hingestellt werden; das erfordert aber schon ein wenig an Infrastruktur, ist jedenfalls nicht mal eben so umzusetzen und dementsprechend filtert man die Informationen da nach großen Fischen, eher nicht nach pikanten Details aus dem privaten Datenverkehr.
Insgesamt spielt das auf jeden Fall eher eine Rolle im geschäftlichen Umfeld als im privaten und wenn, dann sind ggf. eher Kreditkartennummern oder Onlinebankingverbindungen gefragt als persönliche Mails. Und Onlinebanking läuft ja in aller Regel komplett über SSL, ich jedenfalls würde von Anbietern die Finger lassen, die das nicht tun.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
Fuxing
grösstenteils harmlos



Anmeldungsdatum: 07.05.2008
Beiträge: 1691
Wohnort: Ankh Morpork

Beitrag(#1675633) Verfasst am: 15.08.2011, 20:11    Titel: Antworten mit Zitat

Was auch noch bleibt, ist ein Angriffsszenario auf Kennwörter oder Bildschirminhalte per Hard- oder Software-Keylogger (wenn man die Begriffe googlet, wird man schnell und relativ preiswert fündig).
Auf den ersten Blick ist so ein Eingriff für Normalo-User gar nicht erkennbar.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Assarbad
Computerversteher



Anmeldungsdatum: 29.07.2011
Beiträge: 105
Wohnort: Reykjavík

Beitrag(#1675635) Verfasst am: 15.08.2011, 20:18    Titel: Antworten mit Zitat

nocquae hat folgendes geschrieben:
SSL verschlüsselt die Daten beim Sender [...]
Etwas komplizierter ist es schon und verschlüsselt/entschlüsselt wird auf beiden Seiten. Aber der Name sagt es eigentlich schon: TLS - transport layer security. SSL ist ganz strikt betrachtet der Vorgänger von TLS, wobei TLS heutzutage die üblichste Variante ist (und vor allem sicherer). Oft wird aber SSL auch als Bezeichnung für Verbindungen benutzt, die eigentlich TLS sind. Und sowohl server- wie clientseitig sind die Konfigurationen für SSL (legacy) und TLS oft gemeinsam zu finden. Muß aber einen Endanwender fast nicht interessieren zwinkern

nocquae hat folgendes geschrieben:
[...] speziell eingerichtete Router, die extra für sowas hingestellt werden; das erfordert aber schon ein wenig an Infrastruktur, [...]
... oder offene WLAN-Access Points. Und das erfordert exakt ein Notebook/Netbook mit WLAN-Karte Smilie ... okay okay, nicht alle WLAN-Karten sind gleich gut geeignet.

Zumal inzwischen vorgefertigte "Lösungen" existieren, bei denen der (Möchtegern-)"Hacker" nichtmal mehr Fachkenntnisse auf Grundlagenniveau haben muß ... ich sage nur Firesheep.

Und dann installieren wir uns noch Backtrack und sind gerüstet zum Schnüffeln zwinkern

Fuxing hat folgendes geschrieben:
Was auch noch bleibt, ist ein Angriffsszenario auf Kennwörter oder Bildschirminhalte per Hard- oder Software-Keylogger (wenn man die Begriffe googlet, wird man schnell und relativ preiswert fündig).
Noch günstiger ist nur selberschreiben zwinkern

Fuxing hat folgendes geschrieben:
Auf den ersten Blick ist so ein Eingriff für Normalo-User gar nicht erkennbar.
Leider ja. Wobei ich die Hardwarelösungen für am gefährlichsten halte. Beispiele sind Firewire, PCMCIA und das neue Thunderbolt. Alle diese ermöglichen es daß das eingesteckte Gerät auf den Speicherinhalt zugreifen und diesen manipulieren kann. So ließe sich also durchaus etwas auf einem Rechner plazieren.

USB ist auch interessant, wie erst vor ein paar Wochen offiziell bekannt wurde. USB-Geräte können zwar nicht das was die o.g. Geräteklassen können, aber sie können bspw. so ausgelegt werden, daß das Gerät welches nach außen hin wie eine Maus aussieht für den Rechner als Maus, Tastatur und bspw. CD erscheint. Die "Tastatur" kann dann bspw. passend (sagen wir wenn die Maus ruht) Befehle senden und so ein Programm welches auf der "CD" ist ausführen. Voila, Rechner ist kompromittiert.

Aber ich bin halt beruflich bedingt "vorgeschädigt" zwinkern
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name ICQ-Nummer
Assarbad
Computerversteher



Anmeldungsdatum: 29.07.2011
Beiträge: 105
Wohnort: Reykjavík

Beitrag(#1677424) Verfasst am: 19.08.2011, 21:32    Titel: Antworten mit Zitat

Assarbad hat folgendes geschrieben:
USB ist auch interessant, wie erst vor ein paar Wochen offiziell bekannt wurde. USB-Geräte können zwar nicht das was die o.g. Geräteklassen können, aber sie können bspw. so ausgelegt werden, daß das Gerät welches nach außen hin wie eine Maus aussieht für den Rechner als Maus, Tastatur und bspw. CD erscheint. Die "Tastatur" kann dann bspw. passend (sagen wir wenn die Maus ruht) Befehle senden und so ein Programm welches auf der "CD" ist ausführen. Voila, Rechner ist kompromittiert.
Hier ist was ich meinte, allerdings nicht von einem professionellen Pentester sondern einem Bastler: http://www.youtube.com/watch?v=lqyvnma5OSA
_________________
Periodic table of irrational nonsense

WinDirStat | UltraVNC forum
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name ICQ-Nummer
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> DAU's Paradise Alle Zeiten sind GMT + 1 Stunde
Gehe zu Seite Zurück  1, 2
Seite 2 von 2

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Impressum & Datenschutz


Powered by phpBB © 2001, 2005 phpBB Group