Zurück   klamm-Forum > klamm.de > klamm talk

Like Tree1Likes

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 20.05.2014, 19:42:14   #31 (permalink)
Erfahrener Benutzer

Reg: 25.09.2007
Beiträge: 690
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Versteh ich ned Wieso kannst du von einem eMail-Konto auf das nächste kommen?

Wenn du nicht grad den PC mit eMail-Client, der alle Passwörter gespeichert hat, unter Kontrolle hast, wie willst du das machen? In Postfach 1 sollte doch nicht das Passwort von Postfach 2 liegen (außer man hats sichs zur Sicherheit da hingemailt ).
Geht evtl auch ohne sich eigene Paßwörter zwischen diversen Postfächern hin- und her zu schicken: freenet, gmx etc ermöglichen auch den Zugriff auf Postfächer bei anderen Anbietern. Werden die Zugangsdaten jedesmal abgefragt wenn man (nach dem Einloggen) "externes Postfach" klickt oder werden sie gespeichert um (zB per cron-Job) dort die Post regelmäßig abzurufen? Nach jedem Einloggen die Post aus zig Postfächern zur Verfügung zu haben ist doch 'ne feine Sache...
 
apolle ist offline   Mit Zitat antworten
Alt 21.05.2014, 02:18:40   #32 (permalink)
(Werbeplatz)

ID: 86595
Lose-Remote

Reg: 18.05.2006
Beiträge: 362
Standard

Dieses Problem ist mir soeben auch beim Erhalt des Passwortes zu meinem EF-Account aufgefallen.
Ich bitte Herrn Klamm dringend darum, auf die Nutzung von Hashes umzusteigen. Hierzu empfehle ich die Verwendung von SHA-256 oder SHA-512.

Dazu folgende passende Seite: https://crackstation.net/hashing-security.htm

Passend wäre hierbei der Einsatz von PBKDF2 in PHP: https://crackstation.net/source/pass...sswordHash.php

Ich kann gut verstehen, dass das Senden des Passwortes per Email ein interessantes Feature ist, jedoch sehe ich wichtige Gründe für Sicherheit vor Benutzerfreundlichkeit. Sollte beispielsweise eine Sicherheitslücke die Offenlegung der Passwörter verursachen (Beispielszenario: Eindringen in die Datenbank durch eine SQL Injection), so wären diese sofort für den Angreifer nutzbar. Bei Hashes müssen diese bei gut gewählten Passwörtern erstmal 'erraten' (Bruteforce) werden. Insbesondere beim Einsatz von Salts macht es das dem Angreifer um einiges schwieriger.

Im Übrigen sollte die Forensoftware ebenso die dortigen Passwörter verschlüsseln, soweit ich das im Kopf habe. Da es sich hierbei aber - so glaube ich - um ein etwas älteres vBulletin handelt, würde mich eine derzeitige Speicherung der Passwörter durch schlechte [SHA-1]- oder [MD5]-Hashes ohne Salt dort auch nicht wundern.
Im Zuge einer Optimierung der Sicherheit wäre daher möglicherweise angebracht, diese Speicherung einmal zu überprüfen und über Änderungen dieser ebenso nachzudenken. Nachteil: Dies kann mit einigem an Aufwand verbunden sein.

Schlussendlich ist es die Entscheidung von Herrn Klamm, welche Art der Speicherung der Passwörter zum Einsatz kommt. Ich hoffe, dass beim derzeitigen Einsatz einer symmetrischen Verschlüsselung ein guter Algorithmus verwendet wird und der dazu verwendete Schlüssel lang, kompliziert und nicht in der gleichen Datenbank gespeichert ist. (AES-256? Das wäre genial.)

Achja: Eine Verbesserung der Art der Speicherung der Passwörter verbessern den insgesamten Sicherheitszustand natürlich eher nur minimal, da dennoch viele weitere Angriffsszenarien möglich sind.
Beispiele: Zugriff auf eure Mailpostfächer, Abfangen der Daten auf dem Transportweg, Einschleusen von "Passwort-Abfang"-Code auf Server von Klamm, usw.

Daher sehe ich eine lange Diskussion über dieses Thema vielmehr eine Aufklärung und Darstellung der Sache für die Nutzer, als eine schlussendliche allzugroße Optmierung hervorzubringen
-------------------------------------------------
Hier könnte Ihr Werbung stehen
-------------------------------------------------

Tombi ist offline   Mit Zitat antworten
Alt 21.05.2014, 10:04:18   #33 (permalink)
Erfahrener Benutzer
Benutzerbild von M3Y3R

ID: 336361
Lose-Remote

Reg: 08.05.2006
Beiträge: 1.610
Standard

Ich finde die Idee mit der SMS-TAN am besten. @Lukas, was passiert denn, wenn ein User keine Handynummer eingetragen hat oder die Nummer nicht mehr aktuell ist? Gibt es dann eine alternative?

Denkbar wäre doch auch, sich das ganze Wahlweise zuschicken zu lassen. Ich meine das so, wenn ich mein Passwort anfordere, dass ich auswählen kann zwischen E-Mail oder Handy...

Benötigst du einen seperaten Thread in "Verbesserungsvorschläge" ?
 
M3Y3R ist offline   Mit Zitat antworten
Alt 21.05.2014, 22:48:26   #34 (permalink)
Erfahrener Benutzer

Reg: 25.09.2007
Beiträge: 690
Standard

Zitat:
Zitat von M3Y3R Beitrag anzeigen
Ich finde die Idee mit der SMS-TAN am besten. @Lukas, was passiert denn, wenn ein User keine Handynummer eingetragen hat oder die Nummer nicht mehr aktuell ist? ...
Oder weder Handy noch Smartphone (*) hat?

(*) Dabei sind die doch sooo praktisch: Man(n) darf jetzt auch mit dem Ding in der Hose denken...
 
apolle ist offline   Mit Zitat antworten
Alt 22.05.2014, 00:12:21   #35 (permalink)
Erfahrener Benutzer
Benutzerbild von Smssam

ID: 425675
Lose-Remote

Reg: 06.11.2011
Beiträge: 2.392
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
[...]Ich dachte da eher an (optional) 2-stufiges Einloggen via SMS-Tan. Also immer wenn von einem neuen Gerät aus eingeloggt wird, bekommt man eine TAN auf sein Handy. Danach wird dieses Gerät als "vetrauenswürdig" gespeichert - so wie es Google z.B. auch macht.[...]
Ein Authenticator (Beispiel: Google) via App würde ich als zusätzliche Alternative begrüßen. Das würde auch einen Zugriff ermöglichen, falls der Nutzer im Laufe der Zeit die Handynummer gewechselt haben sollte.
Manche sind wohl chronisch an "cerebrale Diarrhoe" erkrankt...

Geändert von Smssam (22.05.2014 um 00:18:21 Uhr)
Smssam ist offline   Mit Zitat antworten
Alt 22.05.2014, 01:11:46   #36 (permalink)
Moderator
Benutzerbild von Arusiek

ID: 36574
Lose-Remote

Reg: 05.05.2006
Beiträge: 6.381
Standard

Zitat:
Zitat von apolle Beitrag anzeigen
Oder weder Handy noch Smartphone (*) hat?
Oder man einfach keinen Bock hat, die rauszugeben..?

Aber auf der einen Seite wird sich über Datensammelwut und "Spionage" aufgeregt, auf der anderen Seite soll ich aber zwei Mailadressen und meine Handynummer rausgeben, um mich auf einer bezahlten Startseite anmelden/einloggen zu können um 0,2 cent/Aufruf zu verdienen...

Und um die obligatorische auftauchende Frage bei der regelmäßig wiederkehrenden Diskussion um die angeblich nicht ausreichend gesicherten PWs zu stellen: Wie oft wurde denn die Datenbank von klamm.de übernommen und daraus Passwörter wiederhergestellt?

Und wie oft wurden User "gehakt", weil sie ihr Passwort(!) auf allen möglichen Seiten, in freudiger Erwartung potenzieller 0,38 cent, angegeben haben? Sicherheitsabfragen/Reminder genutzt haben, die erratbar sind oder deren Antwort sie selbst auf allen möglichen assozialen Medien gespammt haben?

Und warum soll dann klamm.de die Sicherheitsstandards verbessern?

Gruß Aru
You're wondering now, what to do, now you know this is the end
You're wondering how, you will pay, for the way you misbehaved
Curtain has fallen, now you're on your own
I won't return, forever you will wait

Arusiek ist offline   Mit Zitat antworten
Alt 12.06.2014, 20:53:07   #37 (permalink)
Shodans Avatar
Benutzerbild von BastetFurry

ID: 43094
Lose-Remote

BastetFurry eine Nachricht über AIM schicken
Reg: 05.05.2006
Beiträge: 168
Standard

Oder einfach eine App wie den Battle.Net Mobile Authenticator, also ein Zeitschlüssel-Verfahren, verwenden.
Dafür muss nicht mal ein komplexer Daemon auf dem Server laufen, man muss nur sicherstellen das die Uhr jedes Teilnehmers bekannt ist weil man nur aus "Timestamp" und Salz den OTK generieren muss.
Das kann sogar reudiges PrettyHomePage, wenn man das statt glorreichem Perl verwendet.
(Drin vor "Ruby!!1!" oder "Python!!1!" )
Lust auf Retro? Dann komm ins Forum64 -> http://www.forum64.de/
BastetFurry ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Verschlüsselte Seiten laden nicht mehr resoucer Software/Windows 3 03.08.2008 14:35:26
Klamm Passwort mmps Ich bin neu hier und habe eine Frage! 5 20.02.2007 13:23:10
Klamm-Passwort <-> Tresor-Passwort *abgelehnt* 27o8 Verbesserungsvorschläge 28 03.06.2006 07:50:39


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:42:20 Uhr.