Re: Das funktioniert ziemlich simpel… - Ein Passwort für alles
passwortenn dann? Du änderst entweder den Plaintext oder den Schlüssel.
Ja.
> Plaintext war hier mein Vorschlag für den PasswortSitter, bei Deinem
> Vorschlag müsstest Du also den Schlüssel (Dein Masterpasswort)
> ändern,
Nein. Bei meinem Vorschlag gehört die verschlüsselte Variante des
selbst ausgesuchten Passworts zum
Juni 18th, 2008 - Posted in Allgemein | | 0 Comments
Re: hm? - Mit Hashing-Tricks gegen Passwort-Phishe…
passworteinem Passwort und der dazugehörigen Domain (also der wo du das
> Passwort einträgst)wird ein Hashwert berechnet, so funktioniert das
> von dir vergebene Passwort nur auf dieser Site. Lockt dich jemand auf
> eine gefälschte Site, stimmt die URL nicht mehr, das heisst beim
> überprüfen des Hashwertes kommt es zu Unterschieden.
>
> Hoffe geholfen zu haben.
>
> Gruß ORB
Das heisst also, wenn ich auf der Seite www.tolleseite.com als
Passwort 123456 waehle, wird “www.tolleseite.com123456″ ein bisschen
gehasht und der Hashwert wird an www.tolleseite.com als Passwort
geschickt?
Falls nein, habe ich es auch nicht verstanden.
Fall ja, gibt das eine ganze Reihe von Folgeproblemen:
-Hoffentlich antwortet die dann nicht mit “Ihr Passwort ist zu lang”
oder
“das Zeichen “4″ ist im Passwort nicht erlaubt. 
-Wenn man das Passwort vergessen hat und ein neues zugeschickt
bekommt,
muss man dann auch noch eine elegante Moeglichkeit haben, dieses
ungehashed zu schicken.
-Irgendwelche Javascript-Funktionen, die etwas validieren, sind nur
noch
beschraenkt nuetzlich.
-wohl noch etc
Mir waere es lieber, dass man die Leute erziehen wuerde, dass sie
sich der Problematik bewusst sind. Aber das wird aller Voraussicht
nach nie geschehen.
Sargon
Juni 18th, 2008 - Posted in Allgemein | | 0 Comments
Bandbreite (Re: Schwachstelle Passwort!) - Schwachstellen
Ein weiterer begrenzender Faktor für das Knacken von Passworten von
außen besteht in der zur Verfügung stehenden Bandbreite. Während
bislang nur das Knacken von Codes bei einem vorliegenden
(verschlüsselten) oder lokalen Zugang berücksichtigt wurde, wäre bei
einem Angriff von Außen die Bandbreite des angeschlossenen Systems
der limitierende Faktor.
Durch eine 100 MBit-Leitung passen ja nicht mehr als etwa 12 Megabyte
pro Sekunde. Wenn wir die Ãœbertragung des Usernamen und all der
Protokolldaten einmal beiseite lassen und uns allein auf dieses Limit
konzentrieren, errechnet sich die Angriffsleistung eines
Passworthackers folgendermaßen:
Nehmen wir ein 3 Zeichen aus 72-Buchstaben Passwort, dann entsprächen
alle Möglichkeiten 72^3 Bytes (~19 Bit Stärke), sprich etwa 370
kbyte, mögliche komprimierte und verschlüsselte Verbindungen und
damit verbundene Ãœbertragungsoptimierung einmal bei Seite lassend.
Dieser Block wäre in 1/30 Sekunde übertragen. Die Leitung macht also
Angriffe bis zu 24 Bit pro Sekunde möglich (5 Bit = 32, 19 5=24).
John könnte also mit fast voller Angriffsgeschwindigkeit diesen Host
auch von außen aus dem Netz heraus attackieren.
Die Bandbreite des Netzanschlusses stellt also nicht unbedingt einen
ernsthaft limitierenden Faktor dar. Selbst eine DSL-Leitung mit nur 2
MBit ist gerade mal 6 Bit schlanker als die 100 MBit-Leitung (was das
Passworthacken angeht) und damit sind Angriffe bis zu 18 Bit pro
Sekunde möglich.
Wir erinnern uns: Datum ~19 Bit, 3-Zeichenpasswort ebenfalls ~19 Bit.
Juni 18th, 2008 - Posted in Allgemein | | 0 Comments
Das Passwort ist immer die Schwachstelle! - Schwachstellen
passwortßte Schwachstelle in unseren Systemen ist IMMER das Passwort
(Code, PIN, TAN, usw.) welches selbst eingegeben werden muss. Egal ob
Zuseher oder Lauscher an der Tastatur, am PC, im Netzwerk, beim
Empfänger, usw., irgendwo wird es immer eine Möglichkeit geben die
Informationen “mitzulesen”. Bei “Biometrischen Codes” ist es GENAU
DAS GLEICH, nur das man ein Passwort ändern kann … 
Es wird derzeit IMMER der GEHEIME Inhalt selbst eingegeben.
Genau hier muss die Trennung erfolgen:
1) Ein GEHEIMER SCHLÃœSSEL für den Anwender mit welchem er
2) Einen dynamischen One-Time-Code erzeugt welchen er dann
an das System, den Empfänger usw. verschickt. Den geheimen Schlüssel
darf der Anwender nicht eingeben sondern nur zur Erzeugung des
One-Time-Codes verwenden.
Damit wird erreicht:
A) Der Code (Passwort, PIN, TAN) kann abgehört werden
B) Der Code kann vor Publikum eingegeben werden
B) Hacker können keine Codes austesten und keine Code-Sammlungen
verwenden
C) Der Code bleibt übertragbar
D) Es benötigt nicht einmal eine neue Hardware
E) Das Ganze ist einfach zu erzeugen und einfach in der Wartung
F) Last but not least, das Ganze ist EXTREM kosteneffizient
Juni 17th, 2008 - Posted in Allgemein | | 0 Comments
Re: Das Passwort ist immer die Schwachstelle! - Schwachstellen
passwortrößte Schwachstelle in unseren Systemen ist IMMER das Passwort
> (Code, PIN, TAN, usw.) welches selbst eingegeben werden muss. Egal ob
> Zuseher oder Lauscher an der Tastatur, am PC, im Netzwerk, beim
> Empfänger, usw., irgendwo wird es immer eine Möglichkeit geben die
> Informationen “mitzulesen”. Bei “Biometrischen Codes” ist es GENAU
> DAS GLEICH, nur das man ein Passwort ändern kann …
>
> >
> Es wird derzeit IMMER der GEHEIME Inhalt selbst eingegeben.
> Genau hier muss die Trennung erfolgen:
>
> 1) Ein GEHEIMER SCHLÃœSSEL für den Anwender mit welchem er
> 2) Einen dynamischen One-Time-Code erzeugt welchen er dann
> an das System, den Empfänger usw. verschickt. Den geheimen Schlüssel
> darf der Anwender nicht eingeben sondern nur zur Erzeugung des
> One-Time-Codes verwenden.
(…)
Dann wird neben PIN und TAN (auch ein “One-Time_Code”) eben noch Ihr
“One-Time-Code” auf der gefaketen Bankseite abgefangen.
Wo soll der Vorteil sein?
mfg
cesimbra
Juni 17th, 2008 - Posted in Allgemein | | 0 Comments
Re: Das Passwort ist immer die Schwachstelle! - Schwachstellen
> > 1) Ein GEHEIMER SCHLÃœSSEL für den Anwender mit welchem er
> > 2) Einen dynamischen One-Time-Code erzeugt welchen er dann
> > an das System, den Empfänger usw. verschickt. Den geheimen Schlüssel
> > darf der Anwender nicht eingeben sondern nur zur Erzeugung des
> > One-Time-Codes verwenden.
>
> Dann wird neben PIN und TAN (auch ein “One-Time_Code”) eben noch Ihr
> “One-Time-Code” auf der gefaketen Bankseite abgefangen.
> Wo soll der Vorteil sein?
OK, OK, ich habe nur die Hälfte hingeschrieben, so wie es da steht
ist es Bullshit!
Ich garantiere, dass dieser One-Time-Code wird immer dynamisch neu
generiert wird, d.h. ein alter Code ist wertlos. Dies erfolgt durch
Kommunikation zwischen Anwender und Empfänger, NICHT zeitgesteuert
und NICHT mit zusätzlicher HW.
D.h. ein Hacker hat den Wahrscheinlichkeitsraum aller möglichen
Eingabekombinationen, der Anwender jedoch seinen Schlüssel!
Jetzt ist es glaube ich verständlich.
Juni 16th, 2008 - Posted in Allgemein | | 0 Comments
Re: Das Passwort ist immer die Schwachstelle! - Schwachstellen
>
> > Schluderbacher schrieb am 10. September 2004 21:30
> > > 1) Ein GEHEIMER SCHLÃœSSEL für den Anwender mit welchem er
> > > 2) Einen dynamischen One-Time-Code erzeugt welchen er dann
> > > an das System, den Empfänger usw. verschickt. Den geheimen Schlüssel
> > > darf der Anwender nicht eingeben sondern nur zur Erzeugung des
> > > One-Time-Codes verwenden.
> >
> > Dann wird neben PIN und TAN (auch ein “One-Time_Code”) eben noch Ihr
> > “One-Time-Code” auf der gefaketen Bankseite abgefangen.
> > Wo soll der Vorteil sein?
>
> OK, OK, ich habe nur die Hälfte hingeschrieben, so wie es da steht
> ist es Bullshit!
> Ich garantiere, dass dieser One-Time-Code wird immer dynamisch neu
> generiert wird, d.h. ein alter Code ist wertlos. Dies erfolgt durch
> Kommunikation zwischen Anwender und Empfänger, NICHT zeitgesteuert
> und NICHT mit zusätzlicher HW.
> D.h. ein Hacker hat den Wahrscheinlichkeitsraum aller möglichen
> Eingabekombinationen, der Anwender jedoch seinen Schlüssel!
Ich habe nun aber doch die Empfängerseite gefaked. Sobald da nun
Kommunikation zwischen dem “One-Time-Schlüsselgenerator” und der Bank
ins Spiel kommt, handeln Sie den “One-Time”-Schlüssel scheinbar mit
der Bank, in Wahrheit jedoch mit mir aus, während ich meinerseits
parallel mit der Bank spreche und so der Zugang zum Keygenerator
unerheblich wird, da ich natürlich Ihren Schlüssel benutze.
Dies nur mal just4fun…
Ãœbrigens funktionieren aktuelle Karten-Authentifizierungssysteme
AFAIK nicht groß anders, als Sie beschreiben, es wird natürlich ein
“One-Time”-Sitzungsschlüssel dynamisch neu generiert und kein
Passwort im Klartext übertragen, der Rechner erfährt nicht, was an
der Tastatur des Lesegerätes eingegeben wird.
Der hauptsächliche Vorteil liegt darin, daß zum einen die Tastatur
des Lesegerätes nicht so einfach abhörbar ist und zum zweiten bei
geeigneter Einrichtung besondere Kommunikationsprotokolle genutzt
werden können, die nicht sooo einfach umgeleitet bzw. mitgeschnitten
werden können. Es mag noch weitere Vorteile geben.
Gruß
cesimbra
Juni 15th, 2008 - Posted in Allgemein | | 0 Comments
Re: hm? - Mit Hashing-Tricks gegen Passwort-Phishe…
> > Fall ja, gibt das eine ganze Reihe von Folgeproblemen:
> > -Hoffentlich antwortet die dann nicht mit “Ihr Passwort ist zu lang”
> > oder
> > “das Zeichen “4″ ist im Passwort nicht erlaubt. >
> ich denke mal 0-9, a-z, A-Z ist wohl überall als passwort erlaubt,
> und als hashwert bei base62 reichen 8 stellen auch komplett aus.
> das ganze hat sogar noch den vorteil, dass man überall passwörter mit
> sonderzeichen verwenden kann Das lasse ich mal so knapp durchgehen, obwohl es Sites ausschliesst,
die beispielsweise mind. 12 Stellen wollen. (ich kenne zwar keine,
aber vielleicht gibt’s ja solche > > -Wenn man das Passwort vergessen hat und ein neues zugeschickt
> > bekommt,
> > muss man dann auch noch eine elegante Moeglichkeit haben, dieses
> > ungehashed zu schicken.
> naja, da muss man sich sein passwort halt mal merken. ich hab eh
> wenig verständnis für leute, die sich ihre passwörter nicht merken.
> zur not aufschreiben und ins portmonaie/portmonee, da kriegt das kein
> hacker raus Das heisst, mit diesem Plugin wird man noch viel eher dazu verleitet,
immer dasselbe Passwort zu verwenden. Das scheint mir ein Schritt in
die falsche Richtung zu sein.
>
> > -Irgendwelche Javascript-Funktionen, die etwas validieren, sind nur
> > noch
> > beschraenkt nuetzlich.
> erkläre bitte.. javascript-validierung bei passwörtern ist höchstens
> if länge_ok and passwort1=passwort2 oder sowas.. das haut doch dann
> noch hin, oder nicht?
Ich hatte da auch an Laengenchecks und dergleichen gedacht, die aber
eigentlich schon im ersten Punkt erledigt wurden.
> > Mir waere es lieber, dass man die Leute erziehen wuerde, dass sie
> > sich der Problematik bewusst sind. Aber das wird aller Voraussicht
> > nach nie geschehen.
> da schliesse ich mich deiner voraussicht an… 
123456^H^H^H^H^H^HSargon
Juni 15th, 2008 - Posted in Allgemein | | 0 Comments
Re: Das Passwort ist immer die Schwachstelle! - Schwachstellen
> > Der hauptsächliche Vorteil liegt darin, daß zum einen die Tastatur
> > des Lesegerätes nicht so einfach abhörbar ist und zum zweiten bei
> > geeigneter Einrichtung besondere Kommunikationsprotokolle genutzt
> > werden können, die nicht sooo einfach umgeleitet bzw. mitgeschnitten
> > werden können.
> Und was machen Sie mit Zusehern? Jede Karte ist mit einem PIN
> geschützt. Dann geben Sie diesen ein paar Mal in aller Öffentlichkeit
> ein …
Wo kommt denn der ominoese One-Time-Key her? Er ist ja, wie sie sagen
nicht zeitabhaengig, nicht in HW implementiert etc. Wird der
herbeigezaubert oder wie?
So wie ich ihr Verfahren verstehe, ist es jedenfalls nicht sicher:
Warum soll ich denn eine PIN eingeben, wenn die PIN sowieso jeder
kennt? DAnn kann ich sie aus dem Verfahren gleich ganz rauslassen.
Oder soll die PIN sowas wie ein Zufallswert sein?
Fuer mich ist ausserdem nicht ganz klar, was fuer eine Sicherheit das
Verfahren bieten soll: Ist es eine Authentifizierung oder “nur” eine
reine Verschluesselung?
Juni 14th, 2008 - Posted in Allgemein | | 0 Comments
Re: Das Passwort ist immer die Schwachstelle! - Schwachstellen
passwort was machen Sie mit Zusehern? Jede Karte ist mit einem PIN
> > geschützt. Dann geben Sie diesen ein paar Mal in aller Öffentlichkeit
> > ein …
> Wo kommt denn der ominoese One-Time-Key her? Er ist ja, wie sie sagen
> nicht zeitabhaengig, nicht in HW implementiert dems/”>etc. Wird der
> herbeigezaubert oder wie?
Challenge Response
> So wie ich ihr Verfahren verstehe, ist es jedenfalls nicht sicher:
> Warum soll ich denn eine PIN eingeben, wenn die PIN sowieso jeder
> kennt? DAnn kann ich sie aus dem Verfahren gleich ganz rauslassen.
Habe ich geschrieben jeder kennt den geheimen Anwender-Key? Wenn ja
=> Sorry
> Oder soll die PIN sowas wie ein Zufallswert sein?
> Fuer mich ist ausserdem nicht ganz klar, was fuer eine Sicherheit das
> Verfahren bieten soll: Ist es eine Authentifizierung oder “nur” eine
> reine Verschluesselung?
Challenge Response bedeutet: Das System, wo man sich anmelden möchte,
erzeugt eine Frage die mit Hilfe des Anwender-Keys beantwortet werden
muss. Die Antwort ist (zumindest bei mir) ein One-Time-Code. Da das
System die Frage erzeugt, generiert es damit auch zugleich die
Antwort. Die Antwort ist zufällig und in meinem Fall beliebig sicher.
Der geheime Anwender-Key bleibt immer geheim!
Es ist eine Autorisierung / Authentifizierung mit einer möglichen
Verschlüsselung.
Juni 13th, 2008 - Posted in Allgemein | | 0 Comments
