AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Fragen / Anregungen zur DP Sicherheit bei der Anmeldung - Anregung zur DP
Thema durchsuchen
Ansicht
Themen-Optionen

Sicherheit bei der Anmeldung - Anregung zur DP

Ein Thema von Arty · begonnen am 1. Mai 2005 · letzter Beitrag vom 3. Mai 2005
Antwort Antwort
Seite 3 von 5     123 45      
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#21

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 08:42
Zitat von negaH:
Ich wette es dürfte eine einfache Suche hier in der DP nach meinem Namen ausreichen und schon solltest du meine derzeitge EMail Adresse finden können. Davon mal abgesehen ist es heute üblich seine EMail Adresse nicht zu verstecken.
Die eMail-Adressen werden normalen Benutzern vorenthalten. Solange du deine eMail-Adresse nicht im Klartext in einen Beitrag schreibst, wird sie keiner der User rausfinden. Trotzdem sehe ich keinen Grund, die Abfrage auf den Benutzernamen zu entfernen. Ich fuer meinen Teil behalte alle Registrierungsmails von Foren auf (und editiere das Passwort raus), da ich sonst einfach vergesse in welchen Foren ich registriert bin. Nick und Passwort sind immer gleich, aber bei derzeit 30+ Foren, bei denen ich einen Login habe, vergisst man schon mal die URLs

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#22

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 08:51
Zitat:
Die eMail-Adressen werden normalen Benutzern vorenthalten.
Aha, also gibt es auch anormale Benutzer die dann meine EMail Addresse rausbekommen können. Nun diese "Benutzer" könnten auch als "Hacker" versuchen mein Passwort rauszubekommmen um dann meine anderen Accounts zu hijacken.
Fazit: das Passwort sollte niemals meinen Rechner verlassen, ausserhalb meines Rechners sollte immer nur eine Einweg-Prüfsumme in den Datenbanken gespeichert werden, und das bedeutet das es unmöglich für einen Forenbetreiber sein wird mir mein eigenes Passwort zu mailen. Das ist gut so.

Gruß Hagen
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#23

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 09:05
Derzeit haben wir das System eines Standard-phpBB am Werk. Das Versenden des Passwortes in der Registrierungs-Email zum Beispiel könnte man von einer Benutzer-Eingabe abhängig machen - die Vorgabe hierfür wäre 'disabled- nicht versenden'.

Zusätzlich zu den von Andreas (alcaeus) und Sharky vorgeschlagenen Lösungen kann ich anbieten, eine Javascript-Implementation der MD5-Verschlüsselung ins Login-Script zu integrieren, so dass für die User, die es wünschen, das Passwort nach der Login-Eingabe tatsächlich lokal (!) verschlüsselt und dann nur als Hash zum DP-Server geschickt wird.


Selbstverständlich liegt mein größtes Interesse in der Sicherheit Eurer Daten, denn wenn die Vertrauensbasis erstmal hin ist, kann ich den Laden auch gleich dicht machen. Noch ein Wort zu 'normalen' und 'anormalen' Benutzern: Ich als Admin und die Mods sind in der Lage, Eure Mail-Adressen einzusehen - niemand sonst.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#24

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 09:10
Hallo Hagen,

Zitat von negaH:
Aha, also gibt es auch anormale Benutzer die dann meine EMail Addresse rausbekommen können. Nun diese "Benutzer" könnten auch als "Hacker" versuchen mein Passwort rauszubekommmen um dann meine anderen Accounts zu hijacken.
ja, diese "anormalen" Benutzer sind Admins und Mods der DP. Ich glaube nicht, dass diese deine eMail-Adresse weiterverkaufen

Zitat von negaH:
Fazit: das Passwort sollte niemals meinen Rechner verlassen, ausserhalb meines Rechners sollte immer nur eine Einweg-Prüfsumme in den Datenbanken gespeichert werden, und das bedeutet das es unmöglich für einen Forenbetreiber sein wird mir mein eigenes Passwort zu mailen. Das ist gut so.
Das wird es ja auch. Zum Beweis ein paar Codeschnipsel:
in login.php:
Code:
if( md5($password) == $row['user_password'] && $row['user_active'] )
in usercp_register.php, beim Setzen des Passworts:
Code:
if ( $row['user_password'] != md5($cur_password) )
//...
$new_password = md5($new_password);
$passwd_sql = "user_password = '$new_password', ";
Also, es wird wie bei jedem phpBB nur der MD5-Hash des Passworts abgespeichert, und beim Login der MD5-Hash des uebergebenen Passworts mit dem gespeicherten Hash verglichen. Ich denke dass ich dir nicht erklaeren muss, dass man ohne Rainbowtables (=Brute Force) das Passwort nicht aus dem Hash rauskriegt.
Beim Senden des Passworts geschieht das hier:
Code:
$user_actkey = gen_rand_string(true);
$key_len = 54 - strlen($server_url);
$key_len = ( $str_len > 6 ) ? $key_len : 6;
$user_actkey = substr($user_actkey, 0, $key_len);
$user_password = gen_rand_string(false);
Anschliessend wird das neue Passwort und der Activation key in die DB geschrieben (das Passwort wiederum als Hash), und der Benutzer muss den Account wieder aktivieren. Anschliessend kann er sich mit dem generierten Passwort anmelden und kann es aendern.
Ich versteh eure Sorge also wirklich nicht.

Zitat von Daniel:
Zusätzlich zu den von Andreas (alcaeus) und Sharky vorgeschlagenen Lösungen kann ich anbieten, eine Javascript-Implementation der MD5-Verschlüsselung ins Login-Script zu integrieren, so dass für die User, die es wünschen, das Passwort nach der Login-Eingabe tatsächlich lokal (!) verschlüsselt und dann nur als Hash zum DP-Server geschickt wird.
Das bringt vielleicht ein kleines bisschen, aber solange keine sichere Verbindung steht, ist das Passwort immer gefaehrdet. Der MD5-Hash wird trotzdem noch unverschluesselt gesendet, und man kann sich anhand des MD5-Hashs in ein Forum einloggen. Nichtsdestotrotz wuerde es ein paar Hackern die Arbeit erschweren, da das Anmelden per MD5-Hash viel komplizierter ist als mit Klartext-Passwort

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Arty

Registriert seit: 1. Mai 2005
6 Beiträge
 
#25

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 14:55
Also wie es sich ließt, braucht ihr die Sicherheit von MD5 tatsächlich um ruhig schlafen zu können.

Ich persönlich bin der Meinung, dass man Administratoren und ihren Servern vertrauen kann, dass sie niemanden, der nicht berechtigt wäre, an unsere Daten lassen.

Über MD5 habe ich gelesen, dass es Kollisionen gibt, d.h. MD5(S1) = MD5(S2), es gibt auch mit MD5 keine 100%ige Sicherheit und noch was: Ganz prinzipiell gibt es zu jeder Funktion eine Umkehrfunktion (auch wenn sie nicht linear ist) und wenn ich die Funktion kenne, dann kann ich auch die Umkehrfunktion berechnen und jeden Hash in eine mögliche Ausgangsbasis umwandeln.
So einfach ist das.

Mit Sicherheit werden Millionen Umsätze gemacht, weil die Leute Angst vor irgendetwas haben.
Ich habe Anti Vir, was aber überflüssig ist, denn es hat seit dem Computer-Kauf vor zwei Jahren keinen einzigen Virus oder Trojaner oder sonst was abgefangen der e-mail gekommen wäre, oder sich von einer Internetseite geladen hätte, weil man mit seiner E-Mail Adresse auch sorgfältig umgehen kann und aufpassen kann wo man surft.
Ich habe aber keine Firewall.
Es ist Tatsache: Kein Hacker will an meine Daten.
  Mit Zitat antworten Zitat
Benutzerbild von leddl
leddl

Registriert seit: 13. Okt 2003
Ort: Künzelsau
1.613 Beiträge
 
Delphi 2006 Professional
 
#26

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 15:15
Zitat von Arty:
Ich persönlich bin der Meinung, dass man Administratoren und ihren Servern vertrauen kann, dass sie niemanden, der nicht berechtigt wäre, an unsere Daten lassen.
Stimmt schon. Trotzdem kann ich besser schlafen, wenn ich weiß, daß auch falls mal was schief geht (und das passiert leider allzu häufig) mein Passwort noch geschützt ist.
Zitat von Arty:
Über MD5 habe ich gelesen, dass es Kollisionen gibt, d.h. MD5(S1) = MD5(S2)
Diese Kollisionen sind aber sehr sehr sehr selten.
Zitat von Arty:
es gibt auch mit MD5 keine 100%ige Sicherheit
Es ist aber auf jeden Fall sicherer als das Passwort so zu speichern.
Zitat von Arty:
und noch was: Ganz prinzipiell gibt es zu jeder Funktion eine Umkehrfunktion (auch wenn sie nicht linear ist) und wenn ich die Funktion kenne, dann kann ich auch die Umkehrfunktion berechnen und jeden Hash in eine mögliche Ausgangsbasis umwandeln.
So einfach ist das.
So einfach? Man, hab ich ja gar nicht gewußt. Dann sag mir mal die Umkehrfunktion zu f(x) = x².
Schwierig, ne? Da gibts nämlich keine, denn diese Funktion ist nicht bijektiv. Und diese Funktion ist noch recht einfach.
Zitat von Arty:
Es ist Tatsache: Kein Hacker will an meine Daten.
Dann kannst du genauso sagen: "Bisher ist bei mir daheim eingebrochen. Wozu brauch ich also ne Tür? Es ist Tatsache: Kein Dieb will an meine Sachen!"
Axel Sefranek
A programmer started to cuss, cause getting to sleep was a fuss.
As he lay there in bed, looping round in his head
was: while(!asleep()) ++sheep;
  Mit Zitat antworten Zitat
Benutzerbild von Meflin
Meflin

Registriert seit: 21. Aug 2003
4.856 Beiträge
 
#27

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 15:17
Zitat von leddl:
f(x) = x².
+/- Wurzel x, ist höchstens nicht eindeutig
aber mod z.B.... ist garantiert nicht umkehrbar, wenn du daher eine funktion wie f(x) = x mod x³²³³²²³³ hat, ist die einfach nicht umkehrbar aber ich fürchte ich bin ot

  Mit Zitat antworten Zitat
Benutzerbild von leddl
leddl

Registriert seit: 13. Okt 2003
Ort: Künzelsau
1.613 Beiträge
 
Delphi 2006 Professional
 
#28

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 15:25
Zitat von Meflin:
Zitat von leddl:
f(x) = x².
+/- Wurzel x, ist höchstens nicht eindeutig
Ja, nicht eindeutig, damit keine Funktion und daher sowieso keine Umkehrfunktion.
Umkehrbar sind nur bijektive Funktionen, also Funktionen die sowohl injektiv als auch surjektiv sind.
Injektiv: Für alle x aus dem Definitionsbereich von f existiert genau ein y aus dem Wertebereich von f, so daß gilt: f(x) = y
Surjektiv: Für alle y aus dem Wertebereich von f existiert genau ein x aus dem Definitionsbereich von f, so daß gilt: f^-1(y) = x.
==> 1. Semester Mathematikstudium, Grundlagen der Analysis

Und nur wenn beide Bedingungen erfüllt sind, ist die Funktion bijektiv und damit umkehrbar. Aber wie gesagt, x² war nur ein schnelles, noch recht einfaches Beispiel. Es gibt da noch ganz andere.
Axel Sefranek
A programmer started to cuss, cause getting to sleep was a fuss.
As he lay there in bed, looping round in his head
was: while(!asleep()) ++sheep;
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#29

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 15:28
MD5 ist auf normalem Wege (d.h. ohne Rainbow-Tables) nicht umkehrbar. Grund: ich kann aus einem 1 GB langem String einen 32 Byte langen Hash machen. Damit hat man einen bestimmten Informationsverlust, das duerfte jedem einleuchten. Das heisst wenn du aus einem Hash wieder den originalen String finden willst, musst du alle moeglichen Kombinationen durchprobieren. Zur Zeit werden Rainbow-Tables berechnet, die alle Hashes fuer 8 Zeichen lange, alphanumerische Strings enthalten. Du kannst dir vorstellen wie lange es da schon dauert, zu einem Hash den entsprechenden String zu finden.

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Benutzerbild von jfheins
jfheins

Registriert seit: 10. Jun 2004
Ort: Garching (TUM)
4.579 Beiträge
 
#30

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 15:35
Du musst ja auch nicht das richtige Passwort finden, sondern nur einen String, der den richtigen Hash erzeugt

Ich vertraue jedoch Md5, es ist 100 mal besser, als das Passwort im Klartext zu speichern.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 5     123 45      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:11 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz