AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Klatsch und Tratsch Sony Ericssons Code-Memo - einfach clever oder nur einfach?

Sony Ericssons Code-Memo - einfach clever oder nur einfach?

Ein Thema von Mithrandir · begonnen am 20. Mär 2009 · letzter Beitrag vom 22. Mär 2009
Antwort Antwort
Seite 1 von 3  1 23   
Benutzerbild von Mithrandir
Mithrandir
(CodeLib-Manager)

Registriert seit: 27. Nov 2008
Ort: Delmenhorst
2.374 Beiträge
 
#1

Sony Ericssons Code-Memo - einfach clever oder nur einfach?

  Alt 20. Mär 2009, 10:48
Hi,

Gestern abend hab ich ein wenig mit meinem Sony Ericsson* Handy gespielt und mir zum erstmal richtig die Anwendung "Code-Memo" angesehen. SE schreibt über die Anwendung im dazugehörigen Hilfefenster:
Zitat:
Verwenden Sie die Anwendung Code-Memo zum Speichern persönlicher Daten wie Kreditkartencode, Kennwörter usw.
Hui, da ist sich jemand also sehr sicher.

Funktionsweise...

Wenn man die Anwendung zum ersten Mal startet, erwartet sie die Eingabe eines Passworts. Dies muss 4-stellig sein, darf aber auch führende nullen beinhalten. Dann muss man ein "Prüfwort" angeben. Anschließend kommt man zu einer Liste, wo man neue Codes speichern kann. Das funktioniert nach dem Schema "Titel => Code".

Wenn ich jetzt die Anwendung verlasse, und wieder betrete, dann werde ich zur Eingabe des Passworts aufgefordert. Gebe ich nun das richtige Passwort ein, erscheint mein Prüfwort und ich kann mir meine Passwörter ansehen.

Gebe ich ein falsches Passwort ein, dann erscheint ein Prüfwort, und ich bekomme die Titel zu sehen, und auch Passwörter, allerdings nicht die, die ich eingegeben habe. Das heißt, man erhält kein direktes Feedback, ob der eingegebene Code richtig ist. Man sieht zwar, das z.B. unter "Kreditkarte" ein Passwort hinterlegt ist, allerdings nicht, ob das auch stimmt.

Außerdem achtet die Software darauf, nur numerische Codes nur durch Ziffern zu ersetzen und auch die Länge bei zu behalten. So kann es z.b. nicht passieren, dass im Titel "EC-Pin" steht und als Code dann "4x3d". Damit wäre die Software ja sofort entlarvt.

Gibt man übrigens ein Passwort erneut ein, was man schonmal eingegeben hat, dann sieht man wieder dieselben falschen Daten, wie man sie unter dem Passwort schonmal gesehen hat. Das heißt, dasselbe Passwort zweimal hintereinander eingeben und gucken, ob sich was ändert, funktioniert auch nicht.

...Kritik...

Vor ungefähr 1 1/2 Jahren hat das Frauenhofer Institut herausgefunden, dass in der Anwendung eine Sicherheitslück besteht. Kurz zusammengefasst: Die Anwendung hat bei den generierten Zufallspasswörtern gerne mal Zeichen benutzt, die sich nicht über die Handytastatur eingeben ließen, bspw. %,<,>,@ . Man kann die Symbole zwar über "Mehr" -> "Symbole einfügen" beim SMS schreiben hinzuholen, aber bei der Codeeingabe ist genau dieser Punkt ausgeblendet, was dazu geführt hat, das falsch Codes recht schnell entlarvt wurden.

Inzwischen ist diese Lücke allerdings behoben.

...und eigene Überlegung

Ist das Verfahren jetzt so clever, wie es aussieht? Angenommen, statt der 4 Ziffern würde ich Passwörter mit alphanumerischen Zeichen zulassen und die länge nicht begrenzen. Selbst auf das Prüfwort könnte man ja noch verzichten. Wie sicher wäre so eine Anwendung dann, evtl. auch für den PC? Und wie sieht es mit der Umsetzbarkeit aus?


Gruß,
Daniel


*[im folgenden nur noch "SE" genannt]
米斯蘭迪爾
"In einer Zeit universellen Betruges wird das Aussprechen der Wahrheit zu einem revolutionären Akt." -- 1984, George Orwell
  Mit Zitat antworten Zitat
Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.055 Beiträge
 
#2

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 11:08
Zitat von Daniel G:
...und eigene Überlegung

Ist das Verfahren jetzt so clever, wie es aussieht? Angenommen, statt der 4 Ziffern würde ich Passwörter mit alphanumerischen Zeichen zulassen und die länge nicht begrenzen. Selbst auf das Prüfwort könnte man ja noch verzichten.
Das "clevere" an dem Prinzip ist, den außenstehenden nicht wissen zu lassen, ob das Passwort jetzt richtig war oder nicht, bzw. nur einen "Hinweis" (per Prüfwort) darauf zu geben. Das Prüfwort ist aber unbedingt notwendig: Wenn ich bspw. mein Passwort verwechsle, und z.B. die Nummer meiner EC-Karte auslesen will, weiß ich ohne Prüfwort nicht, ob das jetzt wirklich die richtige Nummer ist. Das Prüfwort selbst ist aber auch die bzw. eine eventuelle Einstiegslücke. Zumindest wäre interessant zu wissen, was für Prüfwörter erscheinen, wenn man ein falsches Passwort eingibt. Unter der Annahme, dass der Anwender eher ein Prüfwort aus dem deutschen Sprachgebrauch verwenden wird, lassen sich dann evt. die möglichen Passwörter einschränken. Dies geht auch, wenn man bspw. manche ungültige Daten herausfiltern kann. (Zum Beispiel das Gültigkeitsdatum der Kreditkarte: 9821 ist da sicherlich kein gültiger Wert )

Zitat von Daniel G:
Wie sicher wäre so eine Anwendung dann, evtl. auch für den PC? Und wie sieht es mit der Umsetzbarkeit aus?
Die Umsetzbarkeit sollte absolut kein Problem darstellen. Die Sicherheit einer solchen Anwendung hängt primär von der Funktion ab, mit der die Codes in Kombination mit Passwort verschlüsselt werden, und natürlich von der Prüfwort-Geschichte. Aber für mehr Gedankenspielereien ists noch zu früh am Morgen


greetz
Mike

PS: Ich freue mich auf nen Post von Hagen *Wissenshungrig auf den Favorit-Knopf drück*
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat
Benutzerbild von Mithrandir
Mithrandir
(CodeLib-Manager)

Registriert seit: 27. Nov 2008
Ort: Delmenhorst
2.374 Beiträge
 
#3

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 11:14
Hi Mike,

Zitat von JasonDX:
Zumindest wäre interessant zu wissen, was für Prüfwörter erscheinen, wenn man ein falsches Passwort eingibt. Unter der Annahme, dass der Anwender eher ein Prüfwort aus dem deutschen Sprachgebrauch verwenden wird, lassen sich dann evt. die möglichen Passwörter einschränken.
Dann wird es sehr einfach, da die generierten Prüfwörter allesamt zusammengewürfelte Buchstaben sind, bspw. "xgfss" oder ähnliches.
Zitat von JasonDX:
PS: Ich freue mich auf nen Post von Hagen *Wissenshungrig auf den Favorit-Knopf drück*
Ich mich auch, das war auch meine Absicht...
米斯蘭迪爾
"In einer Zeit universellen Betruges wird das Aussprechen der Wahrheit zu einem revolutionären Akt." -- 1984, George Orwell
  Mit Zitat antworten Zitat
Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.055 Beiträge
 
#4

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 11:42
Zitat von Daniel G:
Hi Mike,

Zitat von JasonDX:
Zumindest wäre interessant zu wissen, was für Prüfwörter erscheinen, wenn man ein falsches Passwort eingibt. Unter der Annahme, dass der Anwender eher ein Prüfwort aus dem deutschen Sprachgebrauch verwenden wird, lassen sich dann evt. die möglichen Passwörter einschränken.
Dann wird es sehr einfach, da die generierten Prüfwörter allesamt zusammengewürfelte Buchstaben sind, bspw. "xgfss" oder ähnliches.
Dann ist das ganze IMO nur beschränkt sicher. Wie gesagt, das Prinzip beruht darauf, möglichst wenig Aufschluss darauf zu geben, ob das Passwort nun richtig war oder nicht. Das System selbst weiß das nichtmal. Wenn wir aber aus den erhaltenen Daten (z.B. ein unglaubwürdiges Prüfwort, oder ein ungültiges Verfallsdatum der Kreditkarte) schließen können, dass das Passwort falsch war, sinkt die Sicherheit des Systems.
Für ungültige Codes ließe sich das ganze evt. noch umgehen, indem man bspw. eine bijektive "Zwischenfunktion" einbaut, die aus der Menge der gültigen Daten auf bspw. die Menge der natürlichen Zahlen abbildet.
Das Prüfwort ist IMO das größte Problem an der Geschichte. Dem entgegenzuwirken gibts evt. mehrere Möglichkeiten:
  1. Komplett weglassen, was aber einiges an Risiko mitsich bringt
  2. Eine Liste von möglichen Prüfwörtern einfügen. Da gibts dann wiederum 2 Unterteilungen:
    1. Nur ein Passwort führt zum richtigen Prüfwort. Alle anderen Passwörter bilden auf die anderen Prüfwörter ab. Bringt aber das Problem mitsich, dass man mit etwas Bruteforce immernoch Prüfwörter ausschließen kann. (Durch probieren, welche Prüfwörter durch mehr als nur ein Passwort generiert werden)
    2. Das richtige Prüfwort kann von mehreren Passwörtern generiert werden. Dann kanns aber u.U. dazu kommen, dass man das falsche Passwort eingibt, das richtige Prüfwort, aber die falschen Codes kriegt. Die Wahrscheinlichkeit für einen solchen Fall ließe sich evt. durch eine hohe Menge an möglichen Prüfwörtern und durch eine gut verteilte Funktion (Gemeint: ähnliche Passwörter generieren unterschiedliche Prüfwörter) minimieren.

greetz
Mike
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat
Benutzerbild von Mithrandir
Mithrandir
(CodeLib-Manager)

Registriert seit: 27. Nov 2008
Ort: Delmenhorst
2.374 Beiträge
 
#5

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 11:53
Zitat von JasonDX:
Dann ist das ganze IMO nur beschränkt sicher.
Naja, aber der potentielle Hacker erwartet ja vielleicht nur ein richtiges Wort. Mir verbietet ja niemand, mir ein "Wort" ala "qpvns" auszudenken. Aber im Regelfall wird wohl ein "echtes" Wort benutzt, stimmt.

Die Frage ist doch, ob ich so ein Prüfwort wirklich "zwingend" benötige. Denn das ich ein falsches Passwort eingegeben habe, merke ich ja spätestens daran, dass mein Passwort, dass ich verwenden will, nicht passt. Mit Prüfwort merke ich das halt, bevor ich es benutzen will. Aber ist dieser Komfort die verringerte Sicherheit wert?
米斯蘭迪爾
"In einer Zeit universellen Betruges wird das Aussprechen der Wahrheit zu einem revolutionären Akt." -- 1984, George Orwell
  Mit Zitat antworten Zitat
Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.055 Beiträge
 
#6

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 11:58
Zitat von Daniel G:
Die Frage ist doch, ob ich so ein Prüfwort wirklich "zwingend" benötige. Denn das ich ein falsches Passwort eingegeben habe, merke ich ja spätestens daran, dass mein Passwort, dass ich verwenden will, nicht passt. Mit Prüfwort merke ich das halt, bevor ich es benutzen will. Aber ist dieser Komfort die verringerte Sicherheit wert?
Sie ist definitiv kein muss - aber wenn ich erst merk, dass das Passwort falsch war, sobald mir meine EC-Karte schon eingezogen wurde, ist das natürlich "Suboptimal".
Evt. kann man das ganze auch per Option (de)aktivieren. D.h. standardmäßig ausschalten, aber dem unsicheren Benutzer die Option freilassen.

greetz
Mike
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat
Florian H

Registriert seit: 30. Mär 2003
Ort: Mühlacker
1.043 Beiträge
 
Delphi 6 Professional
 
#7

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 12:01
Die Sache mit dem Prüfwort ist doch dieselbe wie mit normalen Passwörtern.
Wenn man als Prüfwort "asd02j" benutzt, ist es ziemlich sicher. Wenn das Prüfwort aber "geheim" ist, ist das ebenso wie ein Passwort "geheim" ziemlich unsicher.
Florian Heft
  Mit Zitat antworten Zitat
Benutzerbild von Mithrandir
Mithrandir
(CodeLib-Manager)

Registriert seit: 27. Nov 2008
Ort: Delmenhorst
2.374 Beiträge
 
#8

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 12:06
Zitat von Florian H:
Wenn man als Prüfwort "asd02j" benutzt, ist es ziemlich sicher. Wenn das Prüfwort aber "geheim" ist, ist das ebenso wie ein Passwort "geheim" ziemlich unsicher.
Stimmt, so gesehen hast du recht.

@Mike: Joar, das wäre ne Möglichkeit
米斯蘭迪爾
"In einer Zeit universellen Betruges wird das Aussprechen der Wahrheit zu einem revolutionären Akt." -- 1984, George Orwell
  Mit Zitat antworten Zitat
Benutzerbild von hitzi
hitzi

Registriert seit: 2. Jan 2003
Ort: Eibau
768 Beiträge
 
Delphi 2010 Professional
 
#9

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 12:08
Nur wenn niemand anderes als man selber das Prüfwort kennt ist es ziemlich egal, ob man "asd02j" oder "geheim" verwendet. Derjenige der versucht in das Codememo zukommen, kann nicht sicher sein, ob die angezeigte Zeichenfolge "asd02j" richtig oder falsch ist.
Thomas
Besucht doch mal http://www.hitziger.net
  Mit Zitat antworten Zitat
Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.055 Beiträge
 
#10

Re: Sony Ericssons Code-Memo - einfach clever oder nur einfa

  Alt 20. Mär 2009, 13:04
Zitat von hitzi:
Nur wenn niemand anderes als man selber das Prüfwort kennt ist es ziemlich egal, ob man "asd02j" oder "geheim" verwendet. Derjenige der versucht in das Codememo zukommen, kann nicht sicher sein, ob die angezeigte Zeichenfolge "asd02j" richtig oder falsch ist.
Naja, wenn man bspw. nen Bruteforce drüberlaufen lässt, und 1 Prüfwort "geheim" und 9999 Prüfwörter komische Zeichenfolgen ergeben, ists ziemlich wahrscheinlich, dass das Passwort, das zu "geheim" gführt hat, richtig ist. Und die Funktion so zu definieren, dass für jedes gespeicherte Prüfwort bei manchen falschen Passwörtern auch Wörter aus dem Sprachgebrauch rauskommen können ist - von einer Liste wie oben in 2. beschrieben abgesehen - ein äußerst komplexes Problem.

greetz
Mike
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 3  1 23   

Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:51 Uhr.
Powered by vBulletin® Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2019 by Daniel R. Wolf