Re: Eine zweite Methode - Schwachstelle in Sony-Ericssons Passwort…
> > Es wird offenbar auch zwischen numerisch und alphanumerisch
> > unterschieden und die Länge der Passworte wird auch preisgegeben. Das
> > sind auch Informationen, die für eine Brute-Force-Attacke auf eines
> > der eigentlichen Passwörter nützlich sein können.
>
> Ja schon, aber niemand anders kommt hoffentlich auf die Idee, ein
> 4-stelliges numerisches Passwort mit unbegrenzter Versuchsanzahl zu
> benutzen. D.h. eine Brute-Force-Attacke auf das MPW ist deutlich
> einfacher als auf eines der geschützten Passwörter, zudem ist der
> Schaden bei erfolgreichem Angriff beträchtlich höher.
Alles eine Frage des Szenarios. Ein Quadcore-Prozessor probiert pro
Sekunde ein paar mehr Passwörter durch als ein Handy. Wie lange die
10.000 Eingaben gedauert haben, steht da ja nicht. In der Zeit könnte
das Opfer sein Handy sicherlich vermissen und die Passwörter ändern.
Ein paar Hints hätte man unauffällig in wenigen Sekunden und man wäre
auch nicht darauf angewiesen, dass das Opfer sieben oder mehr
Passwörter gespeichert hat.
mfG KB
August 25th, 2008 - Posted in Allgemein | |
One Response to ' Re: Eine zweite Methode - Schwachstelle in Sony-Ericssons Passwort… '
Leave a reply
You must be logged in to post a comment.
on August 26th, 2008 at 05:12
[…] passwortDie Antwortzeit bei Falscheingabe des Passworts von Code Memo ist > > (wesentlich) grösser als bei Eingabe des richtigen Passworts. Daher > > könnte man auch das Antwortzeitverhalten auswerten, anstatt auf > > zulässige Codes zu prüfen. > > Es wird offenbar auch zwischen numerisch und alphanumerisch > unterschieden und die Länge der Passworte wird auch preisgegeben. Das > sind auch Informationen, die für eine Brute-Force-Attacke auf eines > der eigentlichen Passwörter nützlich sein können. Ja schon, aber niemand anders kommt hoffentlich auf die Idee, ein 4-stelliges numerisches Passwort mit unbegrenzter Versuchsanzahl zu benutzen. D.h. eine Brute-Force-Attacke auf das MPW ist deutlich einfacher als auf eines der geschützten Passwörter, zudem ist der Schaden bei erfolgreichem Angriff beträchtlich höher. Daher ist es tatsächlich wichtiger, das MPW zu schützen, deshalb der Aufwand mit Zeichenset-Erkennung und Längeninvarianz (leider ist der Schutz eben trotzdem noch löchrig). […]