Einzelnen Beitrag anzeigen

Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.062 Beiträge
 
#4

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 12:42
Zitat von Daniel G:
Hi Mike,

Zitat von JasonDX:
Zumindest wäre interessant zu wissen, was für Prüfwörter erscheinen, wenn man ein falsches Passwort eingibt. Unter der Annahme, dass der Anwender eher ein Prüfwort aus dem deutschen Sprachgebrauch verwenden wird, lassen sich dann evt. die möglichen Passwörter einschränken.
Dann wird es sehr einfach, da die generierten Prüfwörter allesamt zusammengewürfelte Buchstaben sind, bspw. "xgfss" oder ähnliches.
Dann ist das ganze IMO nur beschränkt sicher. Wie gesagt, das Prinzip beruht darauf, möglichst wenig Aufschluss darauf zu geben, ob das Passwort nun richtig war oder nicht. Das System selbst weiß das nichtmal. Wenn wir aber aus den erhaltenen Daten (z.B. ein unglaubwürdiges Prüfwort, oder ein ungültiges Verfallsdatum der Kreditkarte) schließen können, dass das Passwort falsch war, sinkt die Sicherheit des Systems.
Für ungültige Codes ließe sich das ganze evt. noch umgehen, indem man bspw. eine bijektive "Zwischenfunktion" einbaut, die aus der Menge der gültigen Daten auf bspw. die Menge der natürlichen Zahlen abbildet.
Das Prüfwort ist IMO das größte Problem an der Geschichte. Dem entgegenzuwirken gibts evt. mehrere Möglichkeiten:
  1. Komplett weglassen, was aber einiges an Risiko mitsich bringt
  2. Eine Liste von möglichen Prüfwörtern einfügen. Da gibts dann wiederum 2 Unterteilungen:
    1. Nur ein Passwort führt zum richtigen Prüfwort. Alle anderen Passwörter bilden auf die anderen Prüfwörter ab. Bringt aber das Problem mitsich, dass man mit etwas Bruteforce immernoch Prüfwörter ausschließen kann. (Durch probieren, welche Prüfwörter durch mehr als nur ein Passwort generiert werden)
    2. Das richtige Prüfwort kann von mehreren Passwörtern generiert werden. Dann kanns aber u.U. dazu kommen, dass man das falsche Passwort eingibt, das richtige Prüfwort, aber die falschen Codes kriegt. Die Wahrscheinlichkeit für einen solchen Fall ließe sich evt. durch eine hohe Menge an möglichen Prüfwörtern und durch eine gut verteilte Funktion (Gemeint: ähnliche Passwörter generieren unterschiedliche Prüfwörter) minimieren.

greetz
Mike
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat