Kommentare zu: Re: Eine zweite Methode - Schwachstelle in Sony-Ericssons Passwort… http://passwort-infos.com/2008/08/25/re-eine-zweite-methode-schwachstelle-in-sony-ericssons-passwort/ Thu, 09 Sep 2010 07:36:33 +0000 http://wordpress.org/?v=2.3.3 Von: Passwort-Infos » Re: Eine zweite Methode - Schwachstelle in Sony-Ericssons Passwort… http://passwort-infos.com/2008/08/25/re-eine-zweite-methode-schwachstelle-in-sony-ericssons-passwort/#comment-27 Passwort-Infos » Re: Eine zweite Methode - Schwachstelle in Sony-Ericssons Passwort… Tue, 26 Aug 2008 09:12:18 +0000 http://passwort-infos.com/2008/08/25/re-eine-zweite-methode-schwachstelle-in-sony-ericssons-passwort/#comment-27 [...] passwortDie Antwortzeit bei Falscheingabe des Passworts von Code Memo ist > > (wesentlich) grösser als bei Eingabe des richtigen Passworts. Daher > > könnte man auch das Antwortzeitverhalten auswerten, anstatt auf > > zulässige Codes zu prüfen. > > Es wird offenbar auch zwischen numerisch und alphanumerisch > unterschieden und die Länge der Passworte wird auch preisgegeben. Das > sind auch Informationen, die für eine Brute-Force-Attacke auf eines > der eigentlichen Passwörter nützlich sein können. Ja schon, aber niemand anders kommt hoffentlich auf die Idee, ein 4-stelliges numerisches Passwort mit unbegrenzter Versuchsanzahl zu benutzen. D.h. eine Brute-Force-Attacke auf das MPW ist deutlich einfacher als auf eines der geschützten Passwörter, zudem ist der Schaden bei erfolgreichem Angriff beträchtlich höher. Daher ist es tatsächlich wichtiger, das MPW zu schützen, deshalb der Aufwand mit Zeichenset-Erkennung und Längeninvarianz (leider ist der Schutz eben trotzdem noch löchrig). [...] […] passwortDie Antwortzeit bei Falscheingabe des Passworts von Code Memo ist > > (wesentlich) grösser als bei Eingabe des richtigen Passworts. Daher > > könnte man auch das Antwortzeitverhalten auswerten, anstatt auf > > zulässige Codes zu prüfen. > > Es wird offenbar auch zwischen numerisch und alphanumerisch > unterschieden und die Länge der Passworte wird auch preisgegeben. Das > sind auch Informationen, die für eine Brute-Force-Attacke auf eines > der eigentlichen Passwörter nützlich sein können. Ja schon, aber niemand anders kommt hoffentlich auf die Idee, ein 4-stelliges numerisches Passwort mit unbegrenzter Versuchsanzahl zu benutzen. D.h. eine Brute-Force-Attacke auf das MPW ist deutlich einfacher als auf eines der geschützten Passwörter, zudem ist der Schaden bei erfolgreichem Angriff beträchtlich höher. Daher ist es tatsächlich wichtiger, das MPW zu schützen, deshalb der Aufwand mit Zeichenset-Erkennung und Längeninvarianz (leider ist der Schutz eben trotzdem noch löchrig). […]

]]>