P2P Kredite
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 
P2P Kredite Anbieter Vergleich
Mangelnde Sicherheit: Passwörter im Klartext gespeichert  
Gehe zu Seite Zurück  1, 2
 
Neues Thema eröffnen   Neue Antwort erstellen    P2P-Kredite.com Foren-Übersicht -> Bondora
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
topgear



Anmeldedatum: 05.06.2013
Beiträge: 6
BeitragVerfasst am: 20.08.2013, 23:55    Titel: Re: Mangelnde Sicherheit: Passwörter im Klartext gespeichert Antworten mit Zitat
Wagner1980 hat Folgendes geschrieben:
Stimmt, in den Log-Dateien wird man so nichts finden. Bleibt nur die Ungewissheit ob die Passwörter im Klartext gespeichert werden oder nicht.


Ich verstehe Deine Bedenken mit den Passwörtern im Klartext nicht so wirklich. Ich probier's trotzdem mal:
Natürlich hat isepankur irgendwo Dein Passwort - sonst könnten sie ja nicht überprüfen, ob Du das korrekte Passwort beim Login eingegeben hast. Die Sache mit den Salted-Hashed-Passwörtern dient nur dazu das Passwort zu überprüfen ohne das Passwort je wirklich vollständig über das Internet bei der Überprüfung zu übertragen; übertragen werden nur die Hashes. Ändert aber nichts daran, dass die Gegenseite auf jeden Fall das Originalpasswort irgendwo braucht - sonst kann man nicht richtig prüfen.
Sowas kann man beispielsweise gut einsetzen, wenn Du kein SSL verwenden kannst. Wenn man nur Hashes überträgt und zusätzlich SSL hat, dann ist das natürlich noch besser ... aber wenn man noch 10 weitere Sicherheitskonzepte mit draufwirft, dann sollte das theoretisch alles noch viel, viel sicherer sein.

Darüber wie isepankur seine Kopie Deines Passworts verwahrt kann man von außen nicht sagen. Das wirst Du aber auch bei Google, Apple und Deiner Bank, etc, nicht wirklich sagen können ohne Zugriffsrechte auf deren Datenbank oder Server ...

Das mit den Salted Hash Password ist eine funky Sache - keine Frage.
Man sollte annehmen je mehr Sicherheitskonzepte isePankur verwendet um so sicherer wird die ganze Sache dann. In der Praxis ist weniger, aber dafür altbewährte Sicherheitskonzepte, meist besser.
Manchmal sind komplizierte und vielschichte Lösungen in der Implementierung dann fehlerhaft weil niemand mehr alles versteht und die Implementierungsfehler bieten dann ganz andere, neue Angriffsmöglichkeiten.
Das absolute, einzig wahre Sicherheitskonzept gibts leider nicht :-/

Ich finde es persönlich nicht so schlimm, dass isepankur das mit den Salted-Hashes nicht macht. So weit ich das von hier aus sehen kann finde ich das Sicherheitskonzept von isepankur ganz solide. Aber stimmt schon - ist keine Raketentechnik dabei Smile

Ich hoffe das hilft Dir ein wenig.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
nobodyofconsequence
P2P Legende


Anmeldedatum: 02.09.2007
Beiträge: 5229
BeitragVerfasst am: 21.08.2013, 03:56    Titel: Re: Mangelnde Sicherheit: Passwörter im Klartext gespeichert Antworten mit Zitat
topgear hat Folgendes geschrieben:
Wagner1980 hat Folgendes geschrieben:
Stimmt, in den Log-Dateien wird man so nichts finden. Bleibt nur die Ungewissheit ob die Passwörter im Klartext gespeichert werden oder nicht.


Natürlich hat isepankur irgendwo Dein Passwort - sonst könnten sie ja nicht überprüfen, ob Du das korrekte Passwort beim Login eingegeben hast.

...

Das mit den Salted Hash Password ist eine funky Sache - keine Frage.



Argh. Jetzt rührt Ihr hier aber ganz viel Halbwissen durcheinander.

Also:

1. Der Kommentar, dass Hashen auf der Client-Seite nix bringt, war richtig. Da ändert auch ein Salted Hash nix dran. Jeder Hash sollte übrigens immer mit einem Salt versehen werden, sonst kannst Du's gleich bleiben lassen, insofern ist da auch nix dran "funky".

2. Der Kommentar, dass ansonsten der Hash die Rolle des Passworts einnimmt, war ebenfalls richtig.
Die Idee hinter einem Hash ist ja gerade, dass er NICHT zurückgerechnet werden kann, d.h. Du kannst aus dem Hash nicht wieder das Passwort bekommen. Damit Du trotzdem auf Server-Seite das Passwort prüfen kannst, müsstest Du GERADE in dem Fall mit dem Salted Hash das Passwort auf dem Server im Klartext speichern, sonst hast Du nix zum Vergleichen. Wenn Du dafür einfach den Hash nimmst, dann musst Du halt den speichern und der wird damit selbst zum Passwort. Kein Sicherheitsgewinn.

3. Hashing auf Client-Seite verwendet mann für so Dinge wie API-Keys oder Known Secrets die auf BEIDEN Seiten bekannt sind. Da macht man Hashing (immer mit Salt!), damit sich das nicht abfangen oder aus den Daten ableiten lässt (dafür ist das Salt).

4. Serverseitig sollten trotzdem Passwörter NIE gespeichert werden. HIER sollte normalerweise ein Hash des Passworts gespeichert werden. Der wird dann aus dem übertragenen Passwort beim Einloggen neu berechnet und verglichen. Die Berechnung findet komplett auf dem Server statt und kann deshalb nicht über das Internet abgefangen werden. SSL dient dabei der Sicherung des übertragenen Passworts. Weil man aus dem Hash alleine das Passwort nicht wieder zurückrechnen kann, hilft es einem Angreifer nix, wenn er den Hash in die Finger bekommt.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    P2P-Kredite.com Foren-Übersicht -> Bondora Alle Zeiten sind GMT + 1 Stunde
Gehe zu Seite Zurück  1, 2
Seite 2 von 2

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.

phpBB SEO URLs V2

*Anzeige / Affiliate Link
Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de

Anti Bot Question MOD - phpBB MOD gegen Spambots
Vereitelte Spamregistrierungen: 196590


Impressum & Datenschutz