AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Key für Verschlüsselung

Ein Thema von Tifoso · begonnen am 14. Okt 2003 · letzter Beitrag vom 16. Okt 2003
 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#9

Re: Key für Verschlüsselung

  Alt 14. Okt 2003, 23:55
Zitat:
Sicher wird es nur mit einer one-way Verschlüsselung, sprich man hasht das Passwort und bei der Eingabe wird das eingegeben Passwort "gehasht" und mit dem gespeicherten Hash verglichen
Was bedeutet das ein Angreifer sein eigenes Passwort mit der gleichen Funktion hasht, und das gespeicherte Benutzerpasswort mit diesem Hash ersetzen kann. Somit hat nun der Angreifer Zugriff.

Nein, ein Passwort gehört in das Hirn und mit diesem Passwort werden alle Daten verschlüsselt. Nur wer dieses Passwort beim Start der Anwendung eingibt kann die Daten entschlüsseln. Die Sicherheit besteht dann nur noch aus der Fragestellung "Wie gut ist das benutzte Passwort ansich". D.h. ein Passwort wie "A" ist schlecht, aber ein Passwort wie "Die Frage hier ist nicht Sein oder Sein, da 5 * 3 = 17 und somit grün" kann man als sicher ansehen. (nungut, nun natürlich nicht mehr da ihr es kennt).

D.h. Passwörter sollten wenn überhaupt nur in einbruchssichere Hardware gespeichert werden, ansonsten nur im Kopf. Da hilft auch keine Public Key Verschlüsselung wie mit OpenPGP, denn auch dort muß zur Entschlüsselung der Private Key benutzt werden. Dieser sollte immer per Passwort verschlüsselt gespeichert werden. Diese Passwort muß also ebenfalls zur Entschlüsselung beim Benutzer abgefragt werden. Der EINZIGSTE Vorteil mit PK's wäre der das man zur Verschlüsselung keine Passwortabfrage benötigt.

Logisch gesehen gibt es bei solchen Systemen keinerlei andere sichere Alternativen !

Ein Passwort in die EXE zu speichern ist so sicher wie überhaupt nicht zu verschlüsseln. Ein Angreifer mit Zugriff auf die EXE kann dieses innerhalb von Stunden extrahieren. Dagegen gibt es keinerlei effektiven Schutzes, falls keine zusätzliche Hardware benutzt wird.
Wird diese EXE noch vertrieben ohne dieses Passwort für jede Kopie jedesmal zu ändern, dann ist dieser "Schutz" eher unsicherer als überhaupt nicht zu verschlüsseln. Unverschlüsselt beträgt die Sicherheit 0 Prozent. Mit einmaligem EXE gespeicherten Passwort beträgt die Sicherheit 0% - x%, wobei x% die durch den Benutzer suggerierte und angenommene Sicherheit ist die nicht existiert.
D.h. der Benutzter glaubt sich ziemlich sicher, angenommen zu 90%. Da dies definitiv nicht der Fall ist ist die effektive Sicherheit -90%, und fügt MEHR Schaden zu als ohne vorgetäuschte Sicherheit.

Gruß Hagen
  Mit Zitat antworten Zitat
 

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:18 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz