Hi,

Gestern abend hab ich ein wenig mit meinem Sony Ericsson* Handy gespielt und mir zum erstmal richtig die Anwendung "Code-Memo" angesehen. SE schreibt über die Anwendung im dazugehörigen Hilfefenster:

Zitat:

Verwenden Sie die Anwendung Code-Memo zum Speichern persönlicher Daten wie Kreditkartencode, Kennwörter usw.

Hui, da ist sich jemand also sehr sicher.

Funktionsweise...

Wenn man die Anwendung zum ersten Mal startet, erwartet sie die Eingabe eines Passworts. Dies muss 4-stellig sein, darf aber auch führende nullen beinhalten. Dann muss man ein "Prüfwort" angeben. Anschließend kommt man zu einer Liste, wo man neue Codes speichern kann. Das funktioniert nach dem Schema "Titel => Code".

Wenn ich jetzt die Anwendung verlasse, und wieder betrete, dann werde ich zur Eingabe des Passworts aufgefordert. Gebe ich nun das richtige Passwort ein, erscheint mein Prüfwort und ich kann mir meine Passwörter ansehen.

Gebe ich ein falsches Passwort ein, dann erscheint ein Prüfwort, und ich bekomme die Titel zu sehen, und auch Passwörter, allerdings nicht die, die ich eingegeben habe. Das heißt, man erhält kein direktes Feedback, ob der eingegebene Code richtig ist. Man sieht zwar, das z.B. unter "Kreditkarte" ein Passwort hinterlegt ist, allerdings nicht, ob das auch stimmt.

Außerdem achtet die Software darauf, nur numerische Codes nur durch Ziffern zu ersetzen und auch die Länge bei zu behalten. So kann es z.b. nicht passieren, dass im Titel "EC-Pin" steht und als Code dann "4x3d". Damit wäre die Software ja sofort entlarvt.

Gibt man übrigens ein Passwort erneut ein, was man schonmal eingegeben hat, dann sieht man wieder dieselben falschen Daten, wie man sie unter dem Passwort schonmal gesehen hat. Das heißt, dasselbe Passwort zweimal hintereinander eingeben und gucken, ob sich was ändert, funktioniert auch nicht.

...Kritik...

Vor ungefähr 1 1/2 Jahren hat das Frauenhofer Institut herausgefunden, dass in der Anwendung eine Sicherheitslück besteht. Kurz zusammengefasst: Die Anwendung hat bei den generierten Zufallspasswörtern gerne mal Zeichen benutzt, die sich nicht über die Handytastatur eingeben ließen, bspw. %,<,>,@ . Man kann die Symbole zwar über "Mehr" -> "Symbole einfügen" beim SMS schreiben hinzuholen, aber bei der Codeeingabe ist genau dieser Punkt ausgeblendet, was dazu geführt hat, das falsch Codes recht schnell entlarvt wurden.

Inzwischen ist diese Lücke allerdings behoben.

...und eigene Überlegung

Ist das Verfahren jetzt so clever, wie es aussieht? Angenommen, statt der 4 Ziffern würde ich Passwörter mit alphanumerischen Zeichen zulassen und die länge nicht begrenzen. Selbst auf das Prüfwort könnte man ja noch verzichten. Wie sicher wäre so eine Anwendung dann, evtl. auch für den PC? Und wie sieht es mit der Umsetzbarkeit aus?


Gruß,
Daniel


*[im folgenden nur noch "SE" genannt]

Zitat von Daniel G:

...und eigene Überlegung

Ist das Verfahren jetzt so clever, wie es aussieht? Angenommen, statt der 4 Ziffern würde ich Passwörter mit alphanumerischen Zeichen zulassen und die länge nicht begrenzen. Selbst auf das Prüfwort könnte man ja noch verzichten.

Das "clevere" an dem Prinzip ist, den außenstehenden nicht wissen zu lassen, ob das Passwort jetzt richtig war oder nicht, bzw. nur einen "Hinweis" (per Prüfwort) darauf zu geben. Das Prüfwort ist aber unbedingt notwendig: Wenn ich bspw. mein Passwort verwechsle, und z.B. die Nummer meiner EC-Karte auslesen will, weiß ich ohne Prüfwort nicht, ob das jetzt wirklich die richtige Nummer ist. Das Prüfwort selbst ist aber auch die bzw. eine eventuelle Einstiegslücke. Zumindest wäre interessant zu wissen, was für Prüfwörter erscheinen, wenn man ein falsches Passwort eingibt. Unter der Annahme, dass der Anwender eher ein Prüfwort aus dem deutschen Sprachgebrauch verwenden wird, lassen sich dann evt. die möglichen Passwörter einschränken. Dies geht auch, wenn man bspw. manche ungültige Daten herausfiltern kann. (Zum Beispiel das Gültigkeitsdatum der Kreditkarte: 9821 ist da sicherlich kein gültiger Wert )

Zitat von Daniel G:

Wie sicher wäre so eine Anwendung dann, evtl. auch für den PC? Und wie sieht es mit der Umsetzbarkeit aus?

Die Umsetzbarkeit sollte absolut kein Problem darstellen. Die Sicherheit einer solchen Anwendung hängt primär von der Funktion ab, mit der die Codes in Kombination mit Passwort verschlüsselt werden, und natürlich von der Prüfwort-Geschichte. Aber für mehr Gedankenspielereien ists noch zu früh am Morgen


greetz
Mike

PS: Ich freue mich auf nen Post von Hagen *Wissenshungrig auf den Favorit-Knopf drück*

Hi Mike,

Zitat von JasonDX:

Zumindest wäre interessant zu wissen, was für Prüfwörter erscheinen, wenn man ein falsches Passwort eingibt. Unter der Annahme, dass der Anwender eher ein Prüfwort aus dem deutschen Sprachgebrauch verwenden wird, lassen sich dann evt. die möglichen Passwörter einschränken.

Dann wird es sehr einfach, da die generierten Prüfwörter allesamt zusammengewürfelte Buchstaben sind, bspw. "xgfss" oder ähnliches.

Zitat von JasonDX:

PS: Ich freue mich auf nen Post von Hagen *Wissenshungrig auf den Favorit-Knopf drück*

Ich mich auch, das war auch meine Absicht...

Zitat von Daniel G:

Hi Mike,

Zitat von JasonDX:

Zumindest wäre interessant zu wissen, was für Prüfwörter erscheinen, wenn man ein falsches Passwort eingibt. Unter der Annahme, dass der Anwender eher ein Prüfwort aus dem deutschen Sprachgebrauch verwenden wird, lassen sich dann evt. die möglichen Passwörter einschränken.

Dann wird es sehr einfach, da die generierten Prüfwörter allesamt zusammengewürfelte Buchstaben sind, bspw. "xgfss" oder ähnliches.

Dann ist das ganze IMO nur beschränkt sicher. Wie gesagt, das Prinzip beruht darauf, möglichst wenig Aufschluss darauf zu geben, ob das Passwort nun richtig war oder nicht. Das System selbst weiß das nichtmal. Wenn wir aber aus den erhaltenen Daten (z.B. ein unglaubwürdiges Prüfwort, oder ein ungültiges Verfallsdatum der Kreditkarte) schließen können, dass das Passwort falsch war, sinkt die Sicherheit des Systems.
Für ungültige Codes ließe sich das ganze evt. noch umgehen, indem man bspw. eine bijektive "Zwischenfunktion" einbaut, die aus der Menge der gültigen Daten auf bspw. die Menge der natürlichen Zahlen abbildet.
Das Prüfwort ist IMO das größte Problem an der Geschichte. Dem entgegenzuwirken gibts evt. mehrere Möglichkeiten:

1. Komplett weglassen, was aber einiges an Risiko mitsich bringt
2. Eine Liste von möglichen Prüfwörtern einfügen. Da gibts dann wiederum 2 Unterteilungen:
   1. Nur ein Passwort führt zum richtigen Prüfwort. Alle anderen Passwörter bilden auf die anderen Prüfwörter ab. Bringt aber das Problem mitsich, dass man mit etwas Bruteforce immernoch Prüfwörter ausschließen kann. (Durch probieren, welche Prüfwörter durch mehr als nur ein Passwort generiert werden)
   2. Das richtige Prüfwort kann von mehreren Passwörtern generiert werden. Dann kanns aber u.U. dazu kommen, dass man das falsche Passwort eingibt, das richtige Prüfwort, aber die falschen Codes kriegt. Die Wahrscheinlichkeit für einen solchen Fall ließe sich evt. durch eine hohe Menge an möglichen Prüfwörtern und durch eine gut verteilte Funktion (Gemeint: ähnliche Passwörter generieren unterschiedliche Prüfwörter) minimieren.

greetz
Mike

Zitat von JasonDX:

Dann ist das ganze IMO nur beschränkt sicher.

Naja, aber der potentielle Hacker erwartet ja vielleicht nur ein richtiges Wort. Mir verbietet ja niemand, mir ein "Wort" ala "qpvns" auszudenken. Aber im Regelfall wird wohl ein "echtes" Wort benutzt, stimmt.

Die Frage ist doch, ob ich so ein Prüfwort wirklich "zwingend" benötige. Denn das ich ein falsches Passwort eingegeben habe, merke ich ja spätestens daran, dass mein Passwort, dass ich verwenden will, nicht passt. Mit Prüfwort merke ich das halt, bevor ich es benutzen will. Aber ist dieser Komfort die verringerte Sicherheit wert?

Zitat von Daniel G:

Die Frage ist doch, ob ich so ein Prüfwort wirklich "zwingend" benötige. Denn das ich ein falsches Passwort eingegeben habe, merke ich ja spätestens daran, dass mein Passwort, dass ich verwenden will, nicht passt. Mit Prüfwort merke ich das halt, bevor ich es benutzen will. Aber ist dieser Komfort die verringerte Sicherheit wert?

Sie ist definitiv kein muss - aber wenn ich erst merk, dass das Passwort falsch war, sobald mir meine EC-Karte schon eingezogen wurde, ist das natürlich "Suboptimal".
Evt. kann man das ganze auch per Option (de)aktivieren. D.h. standardmäßig ausschalten, aber dem unsicheren Benutzer die Option freilassen.

greetz
Mike

Die Sache mit dem Prüfwort ist doch dieselbe wie mit normalen Passwörtern.
Wenn man als Prüfwort "asd02j" benutzt, ist es ziemlich sicher. Wenn das Prüfwort aber "geheim" ist, ist das ebenso wie ein Passwort "geheim" ziemlich unsicher.

Zitat von Florian H:

Wenn man als Prüfwort "asd02j" benutzt, ist es ziemlich sicher. Wenn das Prüfwort aber "geheim" ist, ist das ebenso wie ein Passwort "geheim" ziemlich unsicher.

Stimmt, so gesehen hast du recht.

@Mike: Joar, das wäre ne Möglichkeit

Nur wenn niemand anderes als man selber das Prüfwort kennt ist es ziemlich egal, ob man "asd02j" oder "geheim" verwendet. Derjenige der versucht in das Codememo zukommen, kann nicht sicher sein, ob die angezeigte Zeichenfolge "asd02j" richtig oder falsch ist.

Zitat von hitzi:

Nur wenn niemand anderes als man selber das Prüfwort kennt ist es ziemlich egal, ob man "asd02j" oder "geheim" verwendet. Derjenige der versucht in das Codememo zukommen, kann nicht sicher sein, ob die angezeigte Zeichenfolge "asd02j" richtig oder falsch ist.

Naja, wenn man bspw. nen Bruteforce drüberlaufen lässt, und 1 Prüfwort "geheim" und 9999 Prüfwörter komische Zeichenfolgen ergeben, ists ziemlich wahrscheinlich, dass das Passwort, das zu "geheim" gführt hat, richtig ist. Und die Funktion so zu definieren, dass für jedes gespeicherte Prüfwort bei manchen falschen Passwörtern auch Wörter aus dem Sprachgebrauch rauskommen können ist - von einer Liste wie oben in 2. beschrieben abgesehen - ein äußerst komplexes Problem.

greetz
Mike