AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Benutzerdaten einer Website - weg von MD5
Thema durchsuchen
Ansicht
Themen-Optionen

Benutzerdaten einer Website - weg von MD5

Ein Thema von Matze · begonnen am 6. Feb 2008 · letzter Beitrag vom 11. Feb 2008
Antwort Antwort
Seite 4 von 5   « Erste     234 5      
Benutzerbild von cware
cware

Registriert seit: 15. Feb 2007
Ort: Mannheim
38 Beiträge
 
Delphi 7 Enterprise
 
#31

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 00:35
Zitat von negaH:
Zitat:
kurz gesagt: genau das, was bei dem vorgehen, das ich gefunden habe, auch gemacht wird... Laughing
damit ist dein vorgehen also genauso anfällig für MITM wie das andere...
Nenn mir ein Verfahren das absolut betrachtet einer MITMA widerstehen kann !

Gruß Hagen
eben...

(sorry, falls das folgende falsch ist, aber bei deiner beschreibung des vorganges verstehe ich großteilig nur bahnhof, liegt wohl teilweise an den ganzen ein-zeichen-bezeichnern
das problem an der ganzen sache ist: der MITM kann sich einfach zwischen den client und server schalten und die challenge-response-phase mitnutzen...
es sagt ja niemand, dass der MITM sich nach dir nochmal einloggt... er loggt sich einfach ein, wenn du dich einloggst... damit fällt der login-counter schonmal flach... die response zur password-challenge lieferst du automatisch beim login mit...

das wohl interessanteste szenario ist, dass der MITM sich permanent einnistet und sich auf deiner seite als server ausgibt... er könnte z.b. alle passwort-änderungen, etc. mitmachen und sogar deine anfragen an den server weiterleiten und die antworten an dich zurückgeben (allerdings würden die anfragen über die gekaperte verbindung des MITM mit seinen zugangsdaten erfolgen)...
mitkriegen würdest du nicht viel - der counter wird erhöht (das kann sogar der echte server übernehmen) und das passwort wird geändert (das macht der MITM)...
und während du eingeloggt bist (und auch danach) kann der MITM auf dem server arbeiten...
sollte er gerade arbeiten und willst dich neu einloggen, kappt er die verbindung zum server und baut sie gemeinsam mit dir wieder neu auf => der login-counter ist korrekt und alle sind glücklich...


cheers...
> Why is 6 afraid of 7?
< Because 7 8 9!
  Mit Zitat antworten Zitat
gene

Registriert seit: 11. Feb 2008
55 Beiträge
 
Delphi 7 Personal
 
#32

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 01:47
Hi.

Du könntest es so Formulieren:

Da in letzter Zeit die anfälligkeit der Forensoftware durch Exploits stark angestiegen ist haben wir mit der Sicherheit stark nachgerüstet.
Wir bitten euch euer Passwort zu aktualisieren und somit eure Sicherheit zu gewährleisten.



Oder halt in die Richtung.
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#33

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 08:33
Hallo

@gene: Stimmt, das st eine gute Idee.
@alle anderen: Ich lese hier fleißig mit, muss mich aber teilweise genauer mit den angesprochenen Verfahren beschäftigen, da ich diese noch nicht ganz verstanden habe und somit auch nicht sachlich mitreden kann.
Auf jedenfall klingen einige Ansätze vielversprechend.

Diskutiert ruhig weiter, ich finde es sehr interessant.

Grüße
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#34

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 10:30
Zu eurer Salt Diskusion:
ein MD5 hasht zu einer 128bit Zahl. Also gibt es 2^128 Möglichkeiten.

Wenn ihr einen Salt verwendet, bringt das keinen Unterschieden an den Möglichkeiten was aus dem MD5 rauskommt.

Richtige BF-Angriffe probieren eine Kollision zu finden.
D.h. einen Input welcher nach dem MD5 das gleiche Ergebnis hat.

Somit ist der Salt auch uninteresant, da sowieso das orginal Passwort niemals ermittelt werden kann.

Der Salt verhindert nur eines (wenn diese gut gewählt ist):
Passwörter bestehen im Normalfall auf Zeichen welche über Tastatur eingegeben werden können.
Meist sind Passwörter nur aus Buchstaben (ausgenommen Freaks welche natürlich auch Zahlen und Sonderzeichen verwenden).
Dadurch ergibt sich für ein 0815 Passwort pro Stelle 52 Möglichkeiten (26+26)

Erzeugt man nun eine Rainbowtabelle mit diesen 52 Zeichen pro Stelle is diese Tabelle kleiner als würde man eine Tabelle erzeugen, welche alle Zeichen beinhaltet.
Was ein Vorteil ist.
Diese kleine Rainbowtabelle wird ausgehebelt wenn ihr Salts mit Sonderzeichen verwendet, ggf. auch Zeichen welche NICHT eingebbar sind über Tastatur.
Diese verkürzten Tabelle werden meistens verwendet, um funktionierende Passwörter zu ermitteln.
Größere komplette Tabelle zu erzeugen, verbraucht massig Speicher und massig Zeit.

Wer mal ein einzelnes Passwort aus einen MD5 braucht, für den habe ich noch diesen Link:
http://md5.rednoize.com/
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
franktron

Registriert seit: 11. Nov 2003
Ort: Oldenburg
1.446 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#35

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 10:36
Also wenn ich dies Diskussion richtig verstanden hab dann wollt ihr eine Brutforce Attacke Unterbinden.

Das geht aber nicht durch ändern des Verschlüsslungs Algorithmus des PW in der DB (weil Brute Force ist das egal)

Eine RainbowTabelle hilft dabei zwar das PW schneller zu erlange.

Jetzt zu einer Lösung. Das Problem ist die Eingabe des PW's, Also wie der Hacker die Daten an die DB Schickt da müsst ihr handeln und nicht irgendwelche Algos fürs PW ändern.
Frank
Tux sein Lieblingsquellcode
While anzfische<TuxSatt do begin
Fisch:=TFisch.Create; Tux.EssenFisch(Fisch); Fisch.Free;inc(anzfische); end;
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#36

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 10:50
Zitat von franktron:
Also wenn ich dies Diskussion richtig verstanden hab dann wollt ihr eine Brutforce Attacke Unterbinden.
Es geht mir nicht darum, die Bruteforce-Attacke auf der Website selbst zu verhindern, sondern darum, dass jemand, der an die Datenbankdaten gekommen ist, anhand der Hashs nicht ohne weiteres auf Passwörter schließen kann.

Bei einem MD5-Hash muss der Angreifer per Bruteforce lediglich alle möglichen MD5-Hashs erzeugen bis dieser mit dem gegebenen Passwort-Hash übereinstimmt. Dann wurde ein gültiges Passwort ermittelt.
Wenn man den Hash allerdings mit einem Salt und ähnlichem erzeugt, dann weiß der Angreifer nicht, wie der Passwort-Hash erzeugt wurde und kann so nicht ohne weiteres per Bruteforce auf ein gültiges Passwort kommen.

Das war zumindets mein Gedanke.
  Mit Zitat antworten Zitat
franktron

Registriert seit: 11. Nov 2003
Ort: Oldenburg
1.446 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#37

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 13:13
Zitat von Matze:
Zitat von franktron:
Also wenn ich dies Diskussion richtig verstanden hab dann wollt ihr eine Brutforce Attacke Unterbinden.
Es geht mir nicht darum, die Bruteforce-Attacke auf der Website selbst zu verhindern, sondern darum, dass jemand, der an die Datenbankdaten gekommen ist, anhand der Hashs nicht ohne weiteres auf Passwörter schließen kann.

Bei einem MD5-Hash muss der Angreifer per Bruteforce lediglich alle möglichen MD5-Hashs erzeugen bis dieser mit dem gegebenen Passwort-Hash übereinstimmt. Dann wurde ein gültiges Passwort ermittelt.
Wenn man den Hash allerdings mit einem Salt und ähnlichem erzeugt, dann weiß der Angreifer nicht, wie der Passwort-Hash erzeugt wurde und kann so nicht ohne weiteres per Bruteforce auf ein gültiges Passwort kommen.

Das war zumindets mein Gedanke.
Da ist doch was falsch wenn der Angreifer den MD5 für den Login nutzen kann oder ?

Er muss doch Username und PW eingeben.
Frank
Tux sein Lieblingsquellcode
While anzfische<TuxSatt do begin
Fisch:=TFisch.Create; Tux.EssenFisch(Fisch); Fisch.Free;inc(anzfische); end;
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#38

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 13:22
@Matze:

Stell es dir mal so vor:

Du schützt mit Algorithmus "Fantasy" alle Passwörter und andere Daten deines Systems. Nun sagt dir einer das Fantasy nicht mehr sicher ist, er tritt den Beweis an das er gebrochen werden kann. Du weißt nicht wer in der Zwischenzeit an deine verschlüsselten Daten herangekommen ist. Du must also von der Annahme augehen das Jemand an deine Daten herangekommen ist und du hast es nicht bemerkt. Du kannst nicht von der Annahme ausgehen das keiner an deine Daten rangekommen konnte denn das musst du dann hieb&stichfest beweisen können. Das geht nicht sobald du igrend ein OS benutzt. Du must auch davon ausgehen das Derjenige der deine Daten nun hat auch weiß das Fantasy gebrochen wurde. Du kannst also davon ausgehen das dieser deine Daten hat. Nun: das bedeutet, egal wie du es drehst und wendest:

1.) die User müssen darüber informiert werden das ihre Passwörter unsicher geworden sind
2.) deine System muß einen anderen Schutz benutzen der durch Experten als sicher eingestuft wurde
3.) alle User müssen ein neues Passwort benuten für dein neues System
4.) schlaue User ändern alle Accounts usw. bei denen sie das gleiche Passwort benutzt haben

Nur das macht es sicher. Du kannst da rumdoktorn wie du möchtest es kann nicht sicherer werden, wenn du davon ausgehen musst das der Angreifer schon längst dein System im geheimen geknackt hat, also den Worstcase.

Ein gutes Loginsystem sollte komplett beweisbar anonym arbeiten. Es darf keinerlei Information die einen Zusammenhang zu einem User herstellen könnte ungeschützt gespeichert werden.

Gruß Hagen
  Mit Zitat antworten Zitat
franktron

Registriert seit: 11. Nov 2003
Ort: Oldenburg
1.446 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#39

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 13:36
Zitat von negaH:
Ein gutes Loginsystem sollte komplett beweisbar anonym arbeiten. Es darf keinerlei Information die einen Zusammenhang zu einem User herstellen könnte ungeschützt gespeichert werden.

Gruß Hagen
Genau das wollte ich auch mit meinem Thread sagen das Loginsystem muss Sicher sein dann ist der PW Algo fast völlig egal.
Frank
Tux sein Lieblingsquellcode
While anzfische<TuxSatt do begin
Fisch:=TFisch.Create; Tux.EssenFisch(Fisch); Fisch.Free;inc(anzfische); end;
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#40

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 13:41
Hallo Hagen,

so ähnlich hast du das ja bereits geschildert. Ich habe nur die Ausgangssituation nochmals erläutert, um franktron klar zu machen, was ich ursprünglich meinte. Ich hatte ihn so verstanden.
Daher schrieb ich auch, es sind sehr interessante Aspekte erwähnt worden, von denen ich noch gar nicht wusste, dass es sie gibt. Sehr gut gefällt mir vor allem die Methode, das Passwort gar nicht erst zu übertragen. Ob ich das umsetzen kann, sei mal dahingestellt, aber näher auseinandersetzen werde ich mich damit auf jedenfall.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 4 von 5   « Erste     234 5      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:09 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz