AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Fragen / Anregungen zur DP Sicherheit bei der Anmeldung - Anregung zur DP
Thema durchsuchen
Ansicht
Themen-Optionen

Sicherheit bei der Anmeldung - Anregung zur DP

Ein Thema von Arty · begonnen am 1. Mai 2005 · letzter Beitrag vom 3. Mai 2005
Antwort Antwort
Seite 4 von 5   « Erste     234 5      
Arty

Registriert seit: 1. Mai 2005
6 Beiträge
 
#31

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 16:13
Das Beispiel mit der Tür, ist doch schlecht, denn:
Im Gegensatz zu den Daten auf meinem PC, die nicht wertvoll sind, steht in meiner Wohnung mein PC der wertvoll ist.

Außerdem wie soll ein Hacker auf die Idee kommen bei mir einzubrechen? Es gibt so viele verschiedene IP-Adressen, er kann mich nicht finden.

Beim Haus ist es was anderes. Der Dieb muss nur einmal einen Spaziergang in seiner Umgebung machen, schon sieht er mögliches Diebesgut.

Ich bin überzeugt, dass ich eine Tür aber kein MD5 brauche.

Das mit bijektiv ist eine mathematische genauigkeit wie wärs mit:

Fall 1: x >= 0: x = +√y
Fall 2: x < 0: x = -√y

Es geht also, denn man kann Funktionen auch intervalweise umkehren, ableiten und integrieren.
  Mit Zitat antworten Zitat
Benutzerbild von Meflin
Meflin

Registriert seit: 21. Aug 2003
4.856 Beiträge
 
#32

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 16:17
Zitat von Arty:
Das Beispiel mit der Tür, ist doch schlecht, denn:
Im Gegensatz zu den Daten auf meinem PC, die nicht wertvoll sind, steht in meiner Wohnung mein PC der wertvoll ist.

Außerdem wie soll ein Hacker auf die Idee kommen bei mir einzubrechen? Es gibt so viele verschiedene IP-Adressen, er kann mich nicht finden.

Beim Haus ist es was anderes. Der Dieb muss nur einmal einen Spaziergang in seiner Umgebung machen, schon sieht er mögliches Diebesgut.

Ich bin überzeugt, dass ich eine Tür aber kein MD5 brauche.

Das mit bijektiv ist eine mathematische genauigkeit wie wärs mit:

Fall 1: x >= 0: x = +√y
Fall 2: x < 0: x = -√y

Es geht also, denn man kann Funktionen auch intervalweise umkehren, ableiten und integrieren.
du glaubsts einfach nicht, oder
dann kehr mir mal diese funktion um:
f(x) = x² mod x/2
sagte ich vorhger schon, es geht einfach nicht. obiges was du vollbracht hast war auch keine umkehrung...

http://www.acira.net/troll.gif

  Mit Zitat antworten Zitat
Benutzerbild von SubData
SubData

Registriert seit: 14. Sep 2004
Ort: Stuhr
1.078 Beiträge
 
Delphi 11 Alexandria
 
#33

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 16:19
Sorry Arty aber ich glaube du hast den Sinn von Kryptographie und Datensicherheit absolut nicht verstanden.

Der Vorteil wenn ich mein Passwort mit MD5 abspeichern lasse ist folgender:

Ich habe für 2 Foren die Passwörter test_dp und test_df .. eins für die Delphi Praxis und eins fürs Delphi Forum.
Wenn der "Hacker" nun eines der Passwörter kennt kann er theoretisch das andere erraten, wenn er aber nur die beiden MD5 Strings hat, kann er solange rumcracken bis er beide hat, da es kaum möglich ist anhand des MD5 Strings das andere Passwort zu erraten...

In dem Sinne bin ich dafür den MD5 Algo auf JEDEN FALL beizubehalten... (Was auch nicht anders sein wird -g-)


Achja: Und ausserdem suchen Hacker nicht nach DIR sondern allgemein nach Rechnern wo was nettes drauf sein könnte...


Edit: Ihr braucht jetzt nicht anfangen und schauen ob die Passwörter wirklich gehen .. Das ist nurn Beispiel ^^
Ronny
/(bb|[^b]{2})/
  Mit Zitat antworten Zitat
Robert_G
(Gast)

n/a Beiträge
 
#34

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 16:27
Ich hätte ja gerne zurückgetrollt, aber nunja... *plonk*
  Mit Zitat antworten Zitat
Benutzerbild von leddl
leddl

Registriert seit: 13. Okt 2003
Ort: Künzelsau
1.613 Beiträge
 
Delphi 2006 Professional
 
#35

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 16:34
Zitat von Arty:
Das Beispiel mit der Tür, ist doch schlecht, denn:
Im Gegensatz zu den Daten auf meinem PC, die nicht wertvoll sind, steht in meiner Wohnung mein PC der wertvoll ist.
Und du glaubst wirklich, daß Informationen über dich nicht wertvoll sind? Dann horch dich mal um, was für ein Vermögen man mit sowas machen kann...
Zitat von Arty:
Außerdem wie soll ein Hacker auf die Idee kommen bei mir einzubrechen? Es gibt so viele verschiedene IP-Adressen, er kann mich nicht finden.
Beim Haus ist es was anderes. Der Dieb muss nur einmal einen Spaziergang in seiner Umgebung machen, schon sieht er mögliches Diebesgut.
Dann kannst du auch sagen: "In ner Großstadt gibts so viele Häuser, da kann kein Dieb meine Wohnung finden. Aber um zu deiner Frage zurückzukommen: Genau auf dieselbe Art. Er macht nen Spaziergang durchs Netz und findet deine IP.
Zitat von Arty:
Ich bin überzeugt, dass ich eine Tür aber kein MD5 brauche.
OK, das eine ist aber genau wie das andere zur Sicherheit da. Vielleicht war der Vergleich nicht besonders gut, aber ich hab mal was besseres.
Stell dir vor, du hast wieder ne Tür. Aber jetzt legst du den Schlüssel zu der Tür immer zB außen auf den Türrahmen. Damit hat man dann aber nun wirklich den perfekten Vergleich zum Passwort.
Zitat von Arty:
Das mit bijektiv ist eine mathematische genauigkeit wie wärs mit:

Fall 1: x >= 0: x = +√y
Fall 2: x < 0: x = -√y

Es geht also, denn man kann Funktionen auch intervalweise umkehren, ableiten und integrieren.
Was meinst du jetzt mit "mathematische Genauigkeit"? Du hattest gesagt, daß man zu jeder Funktion eine Umkehrfunktion finden kann, und das geht eben per Definition nicht! Das Beispiel, daß ich dir gegeben hatte war - wie auch gesagt - nur ein ganz einfaches. Du kannst es nicht generell "intervallweise" umkehren, denn dafür müßtest du erstmal durch probieren die jeweiligen Intervalle herausfinden. Hier ist das noch recht einfach möglich, aber jetzt bastel dir dochmal ne Funktion bei der unendlich viele x das selbe y ergeben. Dann man viel Spaß beim Ausprobieren.
Es ist immer möglich, alles zu knacken, hinter dem mathematische Logik steckt. Die Frage ist nur, wieviel Zeit dahinter steckt.

//Edit: Tagfehler verbessert
Axel Sefranek
A programmer started to cuss, cause getting to sleep was a fuss.
As he lay there in bed, looping round in his head
was: while(!asleep()) ++sheep;
  Mit Zitat antworten Zitat
Arty

Registriert seit: 1. Mai 2005
6 Beiträge
 
#36

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 17:03
OK, ok, von mir aus Passwörter als MD5 (will es ja eh nicht verhindern), aber ich will mein Passwort (egal ob ich mich jetzt daran erinnere oder nicht) behalten; => man sollte wählen können wie es gespeichert werden soll (als MD5 oder ASCII)!
Alternativ könnte man sich eine Textdatei anlegen, wo eigene Passwörter gespeichert sind, aber wechselt man den Rechner ist die auch schon wieder weg. Kopiert man die Textdatei wird der Wartungsaufwand enorm. Deswegen Speicherung auf dem Server. Mit Erreichbarkeit über registrierte e-Mail Adresse.

Frage an die Administratoren: Wie seht ihr das? Denn falls ihr auch denkt, dass diese hohe Sicherheit unter allen Umständen sein muss und auch sicher nicht für Einzelne aufgelockert wird höre ich sofort auf die DP mit meiner Nörgelei zu belästigen.

Meflin: Y = 0 ist dein Beispiel; Die Umkehrung ist eine Relation: X = 0;
Und um ein Interval festzusellen, in dem ich eine Funktion umkehren kann muss ich doch nur Definitionslücken in der Funktion und die Monotonie feststellen.

MOD gibt nur den Rest bei einer ganzahligen Teilung zurück. Man kann sich leicht was ausdenken, das den gleichen Wert von MOD ergibt.
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#37

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 17:07
Zitat von Arty:
OK, ok, von mir aus Passwörter als MD5 (will es ja eh nicht verhindern), aber ich will mein Passwort (egal ob ich mich jetzt daran erinnere oder nicht) behalten; => man sollte wählen können wie es gespeichert werden soll (als MD5 oder ASCII)!
Alternativ könnte man sich eine Textdatei anlegen, wo eigene Passwörter gespeichert sind, aber wechselt man den Rechner ist die auch schon wieder weg. Kopiert man die Textdatei wird der Wartungsaufwand enorm. Deswegen Speicherung auf dem Server. Mit Erreichbarkeit über registrierte e-Mail Adresse.
Egal ob es als MD5 oder ASCII gespeichert wird, du wirst es immer behalten koennen. Ich kann dir jetzt schon Daniels Antwort vorhersagen: das Passwort wird immer als MD5 gespeichert werden. Es geht nur darum, ob das Passwort im Klartext oder als MD5-Hash zum Server geschickt wird. Fuer dich als Endbenutzer aendert das nicht, du wirst wirklich nichts davon mitkriegen.
Und zur Idee, die Passwoerter in einer Textdatei auf dem Server zu speichern: vergiss es, etwas unsicheres gibt es gar nicht.

Zitat von Arty:
Frage an die Administratoren: Wie seht ihr das? Denn falls ihr auch denkt, dass diese hohe Sicherheit unter allen Umständen sein muss und auch sicher nicht für Einzelne aufgelockert wird höre ich sofort auf die DP mit meiner Nörgelei zu belästigen.
Die von dir "angekreideten" Dinge sind nur wichtig, wenn du mal dein Passwort vergisst. Mensch, schreib dir von mir aus dein Passwort auf eine Sticky-Note und klebs dir an den Rechner Ich fuer meinen Teil musste mir noch nie mein Passwort schicken lassen

Zitat von Arty:
Meflin: Y = 0 ist dein Beispiel; Die Umkehrung ist eine Relation: X = 0;
Und um ein Interval festzusellen, in dem ich eine Funktion umkehren kann muss ich doch nur Definitionslücken in der Funktion und die Monotonie feststellen.

MOD gibt nur den Rest bei einer ganzahligen Teilung zurück. Man kann sich leicht was ausdenken, das den gleichen Wert von MOD ergibt.
Koenntest du (und alle anderen) diese Diskussion per PN fortfuehren? Das wird laecherlich

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#38

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 17:12

Also in einem Punkt sind wir uns einig. Die Sicherheit unserer und Eurer Daten ist ein sehr wichtiges und sensibles Thema.

Serverseitig wird auf alle Fälle eines bleiben, wie es ist: Die Passworte werden ausschließlich als MD5-Hash abgespeichert. Es hat auch nie jemand darüber nachgedacht, dies zu ändern. Die Sicherheit, die MD5 hierbei bietet, ist für diesen Zweck allemal ausreichend. Es sind in diesem Thread Ideen gezeigt worden, die Sicherheit bei einer Neuanforderung eines Passwortes noch zu erhöhen - diese lasse ich mir durch den Kopf gehen und werde sie dann ggf. umsetzen. Es besteht jedoch kein akuter Handlungsbedarf.

Die mathematische Diskussion über Funktionen aller Art setzt Ihr bitte als PN fort.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Waldteufel
(Gast)

n/a Beiträge
 
#39

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 17:16
Hi.

Zitat von Meflin:
Zitat von leddl:
f(x) = x².
+/- Wurzel x, ist höchstens nicht eindeutig
aber mod z.B.... ist garantiert nicht umkehrbar, wenn du daher eine funktion wie f(x) = x mod x³²³³²²³³ hat, ist die einfach nicht umkehrbar aber ich fürchte ich bin ot [/img]
[ot] Es geht hier weder um umkehrbar, noch um eindeutig... Es geht darum, wie viele Möglichkeiten man (maximal) durchprobieren muss, um das Passwort, die Nullstelle, X, ... zu finden... In dem Fall f(x)=x^2 sind das gerade mal zwei. Da ist das egal, ob die Funktion eindeutig, oder umkehrbar ist. Nach maximal zwei, bei ASCII-Zeichen meist einem Versuch hat man das Ergebnis [/ot]

Back to Topic:

Bei MD5 sind es eindeutig zu viele Versuche und Möglichkeiten... MD5 ist sicher genug

Ich finde, das Passwort sollte keinesfalls im Klartext gespeichert werden, besser noch bereits beim Benutzer verschlüsselt werden, bevor es zum Server geschickt wird.

Für mich sieht der Ideale Passwortzuschickvorgang so aus:

1. Benutzer gibt Benutzername und E-Mailadresse ein (nicht gleich losbrüllen oder hauen, sondern bei 2. weiterlesen )

2. Wenn die eingegebene E-Mailadresse mit der in der Datenbank übereinstimmt, wird ein neues Passwort an die E-Mail-Adresse gesendet, die in der Datenbank steht.

3. Benutzer loggt sich mit neuem Passwort ein und darf nur sein Passwort ändern.

4. Benutzer loggt sich mit seinem in Schritt 3 eingestellten Passwort ein ( und ist endlich wieder mal in der DP )

Anmerkung: Ich schätze mal, die E-Mail-Adresse vergisst man nicht...

( Für den ABSOLUTEN SONDERFALL (!!!), dass ein Benutzer seine Mailadresse löscht UND sein Passwort vergisst, müsste man sich allerdings auch noch was einfallen lassen... )

@Arty: Ich stimme alcaeus zu... Schreib dir das Passwort auf nen Zettel und bewahr ihn irgendwo auf...
  Mit Zitat antworten Zitat
Arty

Registriert seit: 1. Mai 2005
6 Beiträge
 
#40

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 18:09
Ich werde es mir hinter die Ohren schreiben, damit ich es nicht mehr vergesse.
Und jetzt bin ich ja in der DP => Ende gut, Alles gut
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 4 von 5   « Erste     234 5      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:38 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz