Re: Eine zweite Methode - Schwachstelle in Sony-Ericssons Passwort…

passwortDie Antwortzeit bei Falscheingabe des Passworts von Code Memo ist
> > (wesentlich) grösser als bei Eingabe des richtigen Passworts. Daher
> > könnte man auch das Antwortzeitverhalten auswerten, anstatt auf
> > zulässige Codes zu prüfen.
>
> Es wird offenbar auch zwischen numerisch und alphanumerisch
> unterschieden und die Länge der Passworte wird auch preisgegeben. Das
> sind auch Informationen, die für eine Brute-Force-Attacke auf eines
> der eigentlichen Passwörter nützlich sein können.
Ja schon, aber niemand anders kommt hoffentlich auf die Idee, ein
4-stelliges numerisches Passwort mit unbegrenzter Versuchsanzahl zu
benutzen. D.h. eine Brute-Force-Attacke auf das MPW ist deutlich
einfacher als auf eines der geschützten Passwörter, zudem ist der
Schaden bei erfolgreichem Angriff beträchtlich höher. Daher ist es
tatsächlich wichtiger, das MPW zu schützen, deshalb der Aufwand mit
Zeichenset-Erkennung und Längeninvarianz (leider ist der Schutz eben
trotzdem noch löchrig).

August 26th, 2008 - Posted in Allgemein | |

Leave a reply

You must be logged in to post a comment.