Re: Einiges macht mich stutzig … - Ein Passwort für alles
passwort
> Die Passwörter werden aufgrund des Master-Passwortes, des
> Service-Namens und des Service-Logins (von dem Service, den Du nutzen
> willst…) generiert. Es werden KEINE Passwörter gespeichert. (Kann
> man ganz nett im Offline-Modus des Applets ausprobieren…)
> Das Passwort ist bei gleichem Service-Namen und Service-Login immer
> gleich. Wobei ich noch nicht weiß, wie das mit dem Ablauf des
> Passwortes funktioniert.
>
D.h., passwort=f(master-pw,service-name,service-login,X), wobei X die
im Artikel angedeuteten zusätzliche Parameter sind?
Folglich, bei (mehr oder weniger) bekannten Parametern und
Algorithmen sind die so “gesicherten” Passwörter so stark wie das
Master-Passwort, und wenn ich mir so manche Passwörter von
Arbeitskollegen so anschaue wird mir schon ein wenig schwindlig.
> Zu 4)
> Die Idee ist eigentlich eher neu. Bisher wurden die Passwörter immer
> mehr oder weniger verschlüsselt gespeichert. Hier wird ein Passwort
> algorithmisch nachvollziehbar aber nicht umkehrbar erzeugt.
Genau das macht mir Sorgen. Die generierten Passwörter sind dann nur
so sicher wie das Masterpasswort, und man braucht nichteinmal eine
Datei vom Rechner des Opfers zu holen und zu entschlüsseln.
Viel schlimmer, möglicherweise ist der Algorithmus sogar umkehrbar?
Kann man aus dem generierten Passwort vielleicht das Master-Passwort
ermitteln? Phischer würden sich riesig darüber freuen …
August 18th, 2008 - Posted in Allgemein | |
One Response to ' Re: Einiges macht mich stutzig … - Ein Passwort für alles '
Leave a reply
You must be logged in to post a comment.
on August 18th, 2008 at 09:02
[…] warum die erfindung nur mäßig sinn macht. das ding benutzt servicename, benutzerkennung und masterpasswort um daraus einen hash zu generieren. das hat den vorteil, dass mein hinterlegtes passwort bei […]