ComputerBase Menü
Aktuelles

Verschlüsselung von Passwörtern

M

Mr. Brooks

Lt. Commander
Registriert
Aug. 2011
Beiträge
1.441
Hallo,

einfache Frage: werden Passwörter z. b. zu EbcFS-verschlüsselten Dateien oder Forenanmeldungen oder was wriß ich auf dem System im Klartext gespeichert? Sprich: wenn ich meinen Nutzer unter Windows oder Linux automatisch anmelde, ust dann letztlich die Verschlüsselung für die Katz?

Über Google findet sich zwar viel, aber nichts zu diesem Thema. Vielleicht hat jemand eine gute Infoseite dazu parat?

Mr. Brooks
 
na auf deinem eigenen stationären Rechner ist Verschlüsselung sowieso für die Katz, der Trojaner wartet einfach bis du dich einloggst.
Verschlüsselung ist bei mobilen Geräten ratsam wegen Diebstahl/Verlust.

Webseiten sollten PW natürlich nur verschlüsselt und gesalzen ablegen, damit der Hacker die nicht einfach einsammelt!
 
Es geht mir darum das Prinzip zu verstehen, wie die Passwörter auf dem Rechner gespeichert werden.
 
https://security.stackexchange.com/questions/38828/how-can-i-securely-convert-a-string-password-to-a-key-used-in-aes schrieb:
What you do is the following:

  • Generate a long, key (this is just a secure randomly generated amount data, you can use 128 bits)
  • You use this key to encrypt your file with AES (meaning you use it as a password)
  • You encrypt the key itself with AES using your password (which is a bit shorter but easier to remember. Now AES requires this again to be either 128, 192 or 256 bits of length so you need to make your password of that length. Hence you can just use PBKDF2 (or scrypt or bcrypt) to create a fixed key length from your password. DO NOT STORE THIS.
  • You keep a hash of your hashed password using PBKDF2 (or bcrypt or scrypt). This will allow you to check if the password is correct before trying to decrypt your encrypted key.

So:

Code: 
hash(hash(password)) --> can be stored
hash(password) --> cannot be stored
Zum Vergrößern anklicken....
Verschlüsselt wird das Passwort nirgendwo.
 
Stell doch mal AutoLogon ein und schau in der Registry, was unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
in den Keys DefaultUserName und DefaultPassword steht.

Ich habe das zwar nicht getestet, aber wenn ich das richtig gelesen habe wird das da wohl im Klartext gespeichert.

//edit:
Das gilt natürlich nur für die automatische Anmeldung in Windows, die man nicht nutzen sollte ;)
Für einen normalen Login wird nur der Hash deines Kennworts gespeichert oder ein Server gefragt (wenn mit Domäne Verbunden).
 
Zuletzt bearbeitet:
Ich nutze Ubuntu, denke sollte aber ähnlich sein.

Mir würde interessieren, wie genau die Passwörter gespeichert werden, wenn ich Autologin ab/aus habe. Was ist das mit dem Hash? Wird der Hashwert des PWs gespeichert? Was bringt das?
 
Für einen normalen Login mit Benutzer und Passwort braucht man ja einen Vergleichswert, der einem aber nicht das Passwort verrät.
Dafür ist der Hash. Hash Werte werden aus dem Passwort berechnet, sind aber nicht zurückrechenbar. Wenn also jemand an deinem PC den Login auslesen will, sieht er normal nur den hashwert deines Passworts. Um dein Passwort herauszufinden müsste er jetzt so lange Passwörter probieren, bis der gleiche Hash herauskommt. Für Standard hashalgorithmen gibt es aber inzwischen Recht umfangreiche Tabellen, die das vereinfachen. Daher werden hashes inzwischen mit einem sogenannten Salt verändert.
Je nachdem kann es übrigens sein, dass mehrere Passwörter den gleichen Hash ergeben. Daher kann es vorkommen, dass mehr als 1 Passwort gültig ist, aber die Chance ein weiteres gültiges Passwort zu finden dürfte sehr gering sein...
 
Wo werden diese Hashwerte denn gespeichert? Es muss ja außerhalb des zu verschlüsselnden Bereiches (OS, Container, wasauchimmer) sein, da man ja erst nach der Prüfung "rein" kommt und auch erst dann Passworthash mit gespeichertem Hash vergleichen kann.

Wenn ich nun im Ubuntu Autologin an habe, liegt da das Passwort irgendwo als Klartext vor? Das gleiche bei Passwortmanagern. Liegen hier die gespeicherten PW als Klartext vor und werden dann nur durch das Master-Passwort des Managers verschlüsselt? Bei gespeicherten PW im Browser erfolgt ja überhaupt keine Anmeldung an irgendeiner Stelle.
 
Ich muss das Thema nochmal hoch holen. Weiß das keiner?
Ergänzung ()

Bei Ubuntu scheint es /etc/shadow zu sein, aber als Hash mit Salt. Wenn man Autologin verwendet MUSS doch das Passwort irgendwo im Klartext stehen, oder?
 
Nein. Wenn du bei Ubuntu die Auto Login Funktion aktivierst, wird das über System Rechte geregelt. Root z.B. kann sich als jeder User anmelden. Deswegen kann man Auto Login nicht bei verschlüsselten Home Verzeichnis aktivieren, da man zum entschlüsseln das Passwort bräuchte.
Im Nachhinein bin ich mir nicht mehr sicher, ob Windows das inzwischen ähnlich handhabt...
 
Root war ein Beispiel. Dein window Manager läuft ja auch mit Systemaccount und braucht (und hat) kein Passwort.
Schau doch Mal nach, wie viele Prozesse bei dir mit Root, System oder ohne Benutzernamen laufen...
 
Warun braucht dann der Passwortmanager bei Autologin immer einmalig eine manuelle Eingabe? Wenn es möglich ist für den Autologin das Userpaswort zu speichern ohne es im Klartext vorliegen zu haben, geht das dann auch für den Passwortmanager?

Das gleiche könnte man auch für Firefox fragen. Auch hier erfolgt ja keine Abfrage. Liegen da die PW im Klartext vor?
 
Meinst du den Passwort Manager von Ubuntu?
Bei normalem Login braucht der bei mir keine zusätzliche Kennwort Eingabe. Auto Login nutze ich nicht.
Bei Firefox kannst du ein master Passwort setzen, sonst kann man sich die Passwörter alle anzeigen lassen. Da Firefox die Passwörter auf den Webseiten eintragen muss, kann man da nicht mit hashwerten arbeiten. Ich hoffe Mal, dass die mit master Kennwort nur verschlüsselt gespeichert werden, aber habe das nie geprüft.
 
Ja, den meine ich. Ich bezog das aber auf Autologin. Da will er immer noch eine zusätzliche Abfrage.
 
Dann ist der wohl (sinnvoller Weise) auch mit deinem Kennwort gesichert. Sonst hätte jeder mit Adminrechten Zugriff auf alle deine Passwörter.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
E-Mail Verschlüsselung - Verständnisproblem?
Antworten
8
Aufrufe
873
CoMo
CoMo
Loretta
  • Gesperrt
Kein Backup, kein Mitleid... Verschlüsselung?
2
Antworten
21
Aufrufe
1.464
Markchen
Markchen
SmooTwo
Eine naive Frage bzgl. Verschlüsselung von Ordnern
2
Antworten
36
Aufrufe
1.830
kachiri
kachiri
M
Wie sicher ist eine Verschlüsselung mit LUKS?
2
Antworten
35
Aufrufe
2.874
Evil E-Lex
Evil E-Lex
Maitry
Bitrot: Hohe Datenintegrität+Verschlüsselung unter Windows? (ZFS, BTRFS, RAID, Scrubbing, Veracrypt, NAS, NFS)
2
Antworten
26
Aufrufe
1.360
gea
gea
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz