AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Sichere Abfrage Passwort Client -> Server

Ein Thema von Martin W · begonnen am 19. Sep 2015 · letzter Beitrag vom 21. Sep 2015
Antwort Antwort
Seite 2 von 2     12
Benutzerbild von blawen
blawen

Registriert seit: 1. Dez 2003
Ort: Luterbach (CH)
651 Beiträge
 
Delphi 12 Athens
 
#11

AW: Sichere Abfrage Passwort Client -> Server

  Alt 19. Sep 2015, 21:27
[...] Was ist an MD5 unsicherer als an SHA-256, wenn es bis dato (selbst 2015) noch keinem gelungen ist, MD5 (ohne Dictionary) zu reversen?
Weil es in üblichen Angriffsszenarien wie Anmeldung normalerweise ausreicht, in endlicher Zeit eine Kollision zu finden.
Üblicherweise endet "endlich" nach 3 Fehlversuchen...
Roland
  Mit Zitat antworten Zitat
Martin W

Registriert seit: 29. Mai 2004
Ort: Augsburg
220 Beiträge
 
Delphi XE3 Enterprise
 
#12

AW: Sichere Abfrage Passwort Client -> Server

  Alt 19. Sep 2015, 22:35
[...] Was ist an MD5 unsicherer als an SHA-256, wenn es bis dato (selbst 2015) noch keinem gelungen ist, MD5 (ohne Dictionary) zu reversen?
Weil es in üblichen Angriffsszenarien wie Anmeldung normalerweise ausreicht, in endlicher Zeit eine Kollision zu finden.
Üblicherweise endet "endlich" nach 3 Fehlversuchen...

Das mag sein - Anwendungen sollten jedoch so entwickelt werden, dass Daten, insbesondere bei einem Diebstahl, umfassend geschützt sind. Insbesondere wenn es um Passwörter geht, sollte man erwarten können, dass Kundendaten an dieser Stelle bestmöglich geschützt werden. Hier sind insbesondere Anwendungsentwickler in der Pflicht, den aktuellen Stand der Technik zu implementieren.

Der typische Anwender verwendet nicht selten ein Passwort für alle Programme & Services - hier wäre es fatal ein Passwort nur mit MD5 zum hashen. Rainbox-Tables gibt es für MD5 wie Sand am Meer.

Stand der Technik - das sollte Diskussionsgrundlagen sein - ist definitiv nicht mehr MD5 oder SHA1. Auch der Einsatz von zufälligen Salts ist wichtig, denn Usergenerierte Passwörter sind meistens schwach und ähneln sich nicht selten.

Algorithmen wie SHA oder MD5 werden als Standard genutzt, weil sie vor allem eins sind - schnell! Schnell bedeutet aber auch eine gewisse Anfälligkeit gegenüber verschiedenen Arten von Brute-Force Techniken. BCrypt geht den entgegengesetzten Ansatz - der Rechenaufwand ist um einiges höher als bei gängigen Hash-Technologien.

Zurück zum Thema: Wenn ich Anwendungen entwickle, entwerfe ich vor allem sicherheitskritische Teile stets auf Basis eines mehrschichtigen Ansatzes. Rund herum werden zahlreiche andere Techniken eingesetzt, angefangen bei TLS (nicht SSL) für den Transportweg, signierter & verschlüsselter Payload bis hin zu zahlreichen anderen standardisierten Möglichkeiten, Anwendungkommunikation abzusichern. Trotz allem sollte auch die "Klartext-Schicht" bereits "sicher" sein, also einen hohen Sicherheitsstandard bieten.

Dass es keinen Sinn macht, eigene Kryptosysteme zu entwerfen steht außer Frage. Aus diesem Grunde verwende ich nur Technologien, die bereits standardisiert sind. BCrypt ist nichts neues, Salts sind nichts neues, und der Challange-Response-Ansatz ist auch nicht neu.

Aber zum Schluss ist mir ein Statement wichtig: Im Fokus stehen Programmierer, Entwickler. Diese sind dafür verantwortlich, stets einen hohen Standard beim Datenschutz anzulegen. Es sollte in der heutigen Welt selbstverständlich sein, Daten und Informationen ausnahmelos nach dem aktuellen Stand der Technik abzusichern - gerade bei sensiblen Informationen wie Passwörtern.

Geändert von Martin W (19. Sep 2015 um 22:38 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#13

AW: Sichere Abfrage Passwort Client -> Server

  Alt 19. Sep 2015, 23:48
Theorie ist grau und so sieht die Realität aus
http://www.heise.de/newsticker/meldu...e-2811149.html
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
Martin W

Registriert seit: 29. Mai 2004
Ort: Augsburg
220 Beiträge
 
Delphi XE3 Enterprise
 
#14

AW: Sichere Abfrage Passwort Client -> Server

  Alt 20. Sep 2015, 11:52
Deswegen bcrypt Zurück zum Thema, jemand noch Ideen für den Loginablauf? Wie macht ihr es denn normalerweise bei Client-Server-Logins?
  Mit Zitat antworten Zitat
Dejan Vu
(Gast)

n/a Beiträge
 
#15

AW: Sichere Abfrage Passwort Client -> Server

  Alt 21. Sep 2015, 07:59
Wie kommt der Server an [Salt 1]? Imho müsste der Client dies bei der erstmaligen Generierung des Hash mit übertragen, d.h. der Server speichert das Tupel [Hash, Salt1].

Dann funktioniert der Rest auch.
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:32 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz