LinuxMcBook
Banned
- Registriert
- Juli 2008
- Beiträge
- 4.595
1668mib schrieb:
Waren 14 Zeichen. Also trotzdem begrenzt.
http://www.heise.de/security/artikel/Mit-roher-Gewalt-270318.html
News Unsichere Passwort-Abfrage bei Amazon
- Ersteller mischaef
- Erstellt am
- Zur News: Unsichere Passwort-Abfrage bei Amazon
Waren 14 Zeichen. Also trotzdem begrenzt.
http://www.heise.de/security/artikel/Mit-roher-Gewalt-270318.html
1
1668mib
Gast
Der Aritkel hat echt eine krasse Relevanz...
Ich habe ein 8-Zeichen Passwort und bei mir klappt das ganze. Alles, was ich über die 8-Zeichen hinaus eingebe, wird gepflegt ignoriert und ich kann mich einloggen, solange die ersten 8 Zeichen stimmen.
Der Account scheint von 2006 zu sein, zumindest sind in dem Jahr meine ersten Bestellungen gelistet.
Der Account scheint von 2006 zu sein, zumindest sind in dem Jahr meine ersten Bestellungen gelistet.
Zuletzt bearbeitet:
riDDi
Admiral
- Registriert
- Aug. 2004
- Beiträge
- 7.558
Auch interessant: Ich hab grade mal mein Passwort geändert, um es zu testen. Es kam eine Mail, dass mein Passwort zurückgesetzt wurde. Keine Bestätigung erforderlich. Wenn jemand anderes mein Passwort geändert hätte, dann könnte ich rein gar nichts dagegen tun. Das sind Anfängerfehler, die man von einem internationalen Multimilliarden-Dollar-Unternehmen nicht erwarten würde.
easy.2ci
Commodore
- Registriert
- Mai 2006
- Beiträge
- 4.388
Also ich bin betroffen, halte das aber für keine große Sache. Hab ein 8 stelliges Kennwort und kann da beliebige Zeichen hinten dranhängen und mich trotzdem einloggen.
Laut heise ist das so, wenn das Passwort vor zig Jahren gesetzt wurde und nicht mehr geändert wurde. Dann ist es immernoch mit dem damals unzulänglichen Hash Algorythmus berechnet und seitdem eben nicht mehr angefaßt worden.
Das macht mein PW aber jetzt auch nicht unsicherer.
Werds dennoch ändern, damit ein moderner Algorythmus benutzt wird.
Account besteht seit 2005.
Laut heise ist das so, wenn das Passwort vor zig Jahren gesetzt wurde und nicht mehr geändert wurde. Dann ist es immernoch mit dem damals unzulänglichen Hash Algorythmus berechnet und seitdem eben nicht mehr angefaßt worden.
Das macht mein PW aber jetzt auch nicht unsicherer.
Werds dennoch ändern, damit ein moderner Algorythmus benutzt wird.
Account besteht seit 2005.
Xport
Ensign
- Registriert
- Mai 2008
- Beiträge
- 205
Mein Passwort entspricht den meisten gängigen Regeln für "harte" Passworte, und nur mit den ersten 8 Zeichen klappt das nicht. Offenbar geht's nur, wie man hier liest, mit 8-stelligen an die man was anhängt. Das würde bedeuten, dass die Passwort-Abfrage einen Längenabgleich durchführt? So etwas habe ich ja noch nie gehört.
Jesterfox
Legende
- Registriert
- März 2009
- Beiträge
- 44.484
Kein Längenabgleich sondern einfach nur eine alte Hashfunktion die nur 8 Zeichen verarbeiten kann zusammen mit einem vorherigen SubString um es abzuschneiden. Wird aber wohl nur noch für richtig alte Passwörter verwendet die seitdem nicht geändert wurden.
WhiteShark
Admiral
- Registriert
- Mai 2002
- Beiträge
- 9.949
Das wäre aber ein recht unprofessioneller Weg. Ich würde mir da eher denken das es zuvor ein gravierendes Sicherheitsproblem gab und möglicherweise alle Passwörter geknackt worden wären. Nur das würde in meinen Augen solch einen Schritt rechtfertigen.Suxxess schrieb:
Professionell löst man sowas recht simpel. Man legt in der Datenbanktabelle ein weiteres Feld an, bspw New_Passwort.
Meldet sich der User jetzt an und sein Feld ist leer, so wird das eingegebene Passwort mit dem alten Passwort verglichen. Ist es korrekt und damit der Login erfolgreich, so wird das Klartextpasswort (hat der User ja eingegeben) mit dem neuen Verfahren gehasht und gepeichertin dem neuen Datenbankfeld.
Schon hat man das Passwort konvertiert.
Der nach der alten Methode erstellte Hash sollte dann natürlich aus der Datenbank entfernt werden (denn dieser ist ja leichter angreifbar).
Der Kunde bekommt davon nichts mit und erfährt nie etwas von der Sicherheitslücke.
Es ist spielt an sich keine Rolle ob man Groß/Kleinschreibung und Sonderzeichen verwendet.
Bei Bruteforce werden erstmal die Standard-Passwort-Listen abgearbeitet. Sind die durch so wird nach und nach jedes erdenkliche Passwort geprüft.
Nach aaaaaa kommt aaaaab, dann aaaaac und so weiter.
Es werden dabei für jede Stelle alle erdenklichen Zeichen ausprobiert. Ob man jetzt irgendwo ein Sonderzeichen hat spielt keine große Rolle, da die Anzahl an möglichen Kombinationen immer gleich ist.
Gehen wir mal von 100 möglichen Zeichen aus. Bei einem sechstelligem Passwort gibt es also 100^6 Kombinationen.
Ein siebenstelliges Passwort hat also hundert mal soviele Kombinationen wie ein sechsstelliges.
Es dauert also 100 mal länger es zu knacken.
1
1668mib
Gast
@WhiteShark: Wieso eine new_password-Spalte? Lieber eine Spalte, in der die Art des Algorithmus hinterlegt ist...
WielandSchmied
Cadet 4th Year
- Registriert
- Juni 2011
- Beiträge
- 89
Also ich habe ein richtig altes Passwort (1999) und trotzdem komm ich nicht mit 8 Zeichen rein (Passwortlänge 10 Zeichen).
WhiteShark
Admiral
- Registriert
- Mai 2002
- Beiträge
- 9.949
Das wäre ja kontraproduktiv. Dann würden ja die unsicher gehashten Passwörter weiter in der Datenbank stehen. Man will die aber raushaben und das bisherige Passwort mit dem neuen Algorithmus speichern.
1
1668mib
Gast
@WhiteShark: Und warum sollte das mit einer Spalte, in der das zur Speicherung verwendete Verfahren angegeben wird, nicht gehen? oO
WhiteShark
Admiral
- Registriert
- Mai 2002
- Beiträge
- 9.949
Ahh jetzt hats gerade "Klick" gemacht, bin etwas müde^^.
Also man erstellt eine neue Spalte, alle erhalten erstmal den Wert 0 (also altes Verfahren), ausser Neuregistrierungen. Ist es im alten Verfahren, so wird es nach dem alten Verfahren geprüft, neu gehasht und der Wert auf 1 gesetzt.
Jo wäre eine bessere Lösung.
Also man erstellt eine neue Spalte, alle erhalten erstmal den Wert 0 (also altes Verfahren), ausser Neuregistrierungen. Ist es im alten Verfahren, so wird es nach dem alten Verfahren geprüft, neu gehasht und der Wert auf 1 gesetzt.
Jo wäre eine bessere Lösung.
1
1668mib
Gast
Kann passieren ;-)
Suxxess
Admiral
- Registriert
- Feb. 2005
- Beiträge
- 7.214
Guter Einwand, wobei man dafür wohl nicht mal ein zweites Feld bräuchte. Wenn man davon ausgeht, dass man weiß wann die Passwortfunktion intern umgestellt wurde und wann der letzte Zugriff auf den jeweiligen Account stattgefunden hat, dann kann man durchaus das ursprüngliche Passwortfeld beim Login des Nutzers überschreiben.WhiteShark schrieb:
1
1668mib
Gast
Ich weiß jetzt nicht ob es einfacher ist, anhand des Datums auf den Algorithmus zu schließen, oder ob eine Spalte mit der Info zum Algorithmus einfacher wäre...
Im Übrigen: Das Umstellen des Passworts kann vielleicht automatisch erfolgen... aber...
Wenn es eines der Problempasswörter ist, dann geht das gar nicht... weil angenommen mein PW ist 1234567890. Ich geb jetzt aber 1234567899 ein.
Das System merkt den Irrtum nicht, weil es nur die ersten 8 Zeichen beachtet... und schwupps hab ich das falsche Passwort drin...
Im Übrigen: Das Umstellen des Passworts kann vielleicht automatisch erfolgen... aber...
Wenn es eines der Problempasswörter ist, dann geht das gar nicht... weil angenommen mein PW ist 1234567890. Ich geb jetzt aber 1234567899 ein.
Das System merkt den Irrtum nicht, weil es nur die ersten 8 Zeichen beachtet... und schwupps hab ich das falsche Passwort drin...
U
UnitedUniverse
Gast
naja der angreifer muss aber dennoch die ersten 8 zeichen des passwortes kennen, sonst nützt ihm das doch nichts oder stehe ich grade auf dem schlauch und verstehe den artikel nicht?
bei mir jedenfalls ist eine anmeldung nicht möglich wenn ich alles über 8 weg lasse.....
bei mir jedenfalls ist eine anmeldung nicht möglich wenn ich alles über 8 weg lasse.....
Ähnliche Themen
