Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
|
Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa
22. Mär 2009, 17:14
Wenn wir also davon ausgehen das ein Bankautomat nur so sicher ist wie seine 4-stellige Pin dann ist ein solcher Passwortsafe immer eine Bedrohung oder Unsicherheit für alle in ihm gespeicherten Pins so bald es mehr als eine ist.
Stattdessen würde ich lieber einen richtigen Passwortsafe benutzen der mit einem möglichst sehr lang und gut gewähltem Schlüssel und echten sicheren und anerkannten Verfahren wie AES und mit möglichst viel Zufallssalts diese Pins verschlüsselt. Man hat dann zwar nicht mehr das Feature der Falschaussage des Systemes die scheinbar eine richtige Antwort wählt aber das ist auch garnicht nötig. Denn dieses Feature ist nur ein "Tarnen und Täuschen" Feature und sowas ist eben nicht mathematisch real sicher sondern Augenwischerei.
Alles natürlich vorausgesetzt das ich mit meiner Vermutung einer einfachem Mapping richtig liege. Läge ich falsch und die haben wirklich starke Kryptographie benutzt dann frage ich mich wozu das Tarnen&Täuschen Manöver noch gut sein soll. Denn die hies entweder das der ENtwickler nicht auf die Sichherit seiner eigenen Kryptographie vertraut, sie unsicher ist oder es einfach nur ein nettes Verkaufsargument darstellt. Es gibt bei starker Kryptographie nämlich keine Begründung für ein solches Feature.
Wie müssen hier also unterscheiden zwischen
1.) der Sicherheit des Verfarens für eine Pin und ein Passwort ansich
2.) der Sicherheit des Verfahrens für viele Pins und ein Passwort
3.) der Sicherheit des Verfahrens für alle Pins und deren Rahmenbedingungen in denen sie benutzt werden.
Ist die Sicherheit einer einizigen Pin durch ihre Rahmenbedingungen ihrer Benutzung kompromittiert so würde ein solcher Passwortsafe wie eine Lawine auch die Sicherheit aller anderen Pins und deren Rahmenbedingungen brechen. Das ist eben der Knackpunkt bei jedem Passwortsafe.
Gruß Hagen
|