Sicherheit bei der Anmeldung - Anregung zur DP
 

Hallo Administratoren und andere Leser!

Ich habe, weil ich lange nicht mehr in der DP war Passwort und Benutzername meines Profils vergessen.
Soweit kein Problem denke ich, denn ich kann mir ja beides zuschicken lassen, per e-mail.

Aber das ging nicht, weil man um sich ein neues Passwort zu schicken lassen zu können auch noch den Benutzernamen eingeben muss. In meiner Vorstellung davon wie die Welt ist, liegt es nahe, dass einer, der wie ich sein Passwort vergisst oder nicht mehr findet, auch seinen Benutzernamen verlegt.

Ich habe das Problem dann so gelöst, dass ich ein zweites Profil angelegt habe ( mit einer zweiten e-mail Adresse ), mit dem ich jetzt diese Rückmeldung schreibe.

Meine Kritikpunkte folgen:

- Passwort-Mail nur mit Benutzername
- nur ein neues Passwort kann verschickt werden
- Passwort nur mit Zahlen möglich
- nur ein Profil pro e-mail Adresse

Mir ist durchaus klar, dass das zur Sicherheit der privaten Eingaben dient; Aber ist das nicht übertrieben?

-> Eine Passwort-Mail geht doch nunmal ausschließlich an den Empfänger; oder irre ich??
-> Ich will mein Passwort behalten; Ich kann es wieder einstellen, wenn es mir eingefallen ist, aber das ist doch unnötig
-> Warum wird mir vorgeschrieben wie mein Passwort heißen soll? Das ist hier ein Forum, kein geheimes Archiv mit strengvertraulichen Akten; und Hacker (lächerlich; Wahrscheinlichkeit = 0) kann man abwehren, wenn man die Fehlversuche mitzählt und ab vielleicht 100 (pro Zeiteinheit) die Überprüfung verweigert
-> Und man kann doch nicht verhindern, dass ein Benutzer zwei Profile anlegt, und e-Mail Adressen gibt es überall; also was soll der Aufwand?

Ist nicht böse gemeint, soll aber zum Nachdenken, Antworten und Handeln anregen. :wink:

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Hallo Arty,

:gruebel: was genau meinst du? Dass ich zuerst auch den Benutzernamen eingeben muss um das Passwort zu bekommen? Das ist doch bereits der Fall.

Ist auch bereits der Fall. phpBB speichert das Passwort als MD5-Hash, und aus diesem kannst du das Passwort nicht mehr rausholen. phpBB generiert einfach ein Passwort und schickt es dir zu.

:gruebel: Und welchen Sinn hat das?

Wie oben: ist bereits so.

Doch. Im Profil kannst du es aendern wenn du das meinst.

Dein Passwort wird dir nicht vorgeschrieben. Wenn du es vergessen hast wird dir ein neues gegeben, welches du danach aendern kannst.

Greetz
alcaeus

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Ich glaube, er will darauf hinaus, dass er sich das Pwd auch nur mit seiner E-Mail zuschicken lassen kann, damit er seinen Benutzernamen nicht mehr eingeben muss ...

Oder :?: :gruebel:

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

alle diese stichpunkte sind kein soll sondern ist, und genau das bemängelt er wohl.

er will wohl, dass man sich das pw auch nur durch eingabe der email-adresse zuschicken lassen kann, die man ja nicht so leicht verliert.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Also, man sollte schon wissen, von welchem Account man ein Passwort haben will :gruebel:

Das liegt wohl am phpBB-Script: Es dient einfach der Sicherheit, dass das Passwort verschlüsselt in der DB gespeichert wird. Das dient zum Beispiel auch der Sicherheit des Users, dass der Admin nicht dein Passwort kennt, das du evtl. sogar öfter benutzt ;)

Find ich auch nervig und etwas... unnötig (anm. @alcaeus: Dieses Feature existiert bereits ;) )

Das dient dazu, dass es nicht zu viele Mehrfach-Accounts gibt. Es könnte ansonsten ja ein User 50 Accounts mit der selben Emailadresse haben. Das einzudämmen ist mehr als stressig ;)

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

:shock: Ich will dich jetzt nicht beleidigen und auch nicht provozieren, nur wer bitteschön vergiss seinen Benutzernamen ?? Ich weiß ja nicht, wie du das machst, aber ich heiße überall idontwantaname :wink:

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Auch in dieser Sparte gilt:

Bitte nicht OT werden :warn:

Es wurde eine Frage gestellt. Und entweder man beantwortet sie oder man schreibt nichts.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

du bist lustig :lol:
woher soll den das dp script wissen, an wen es das neue (oder alte, völlig egal) passwort schicken soll, wenn du deinen usernamen nicht angibst? soll es vielleicht raten, eine bruteforcemail an alle möglichen adressen oder gar eine mail an alle user des boards mit deinem passwort schicken?

wenn jemand seinen usernamen vergisst, ist es auch nicht sehr warscheinlich, dass er noch die emailadresse kennt, mit der er sich angemeldet hat, also würde eine überprüfung darüber auch nicht mehr oder weniger bringen ;)

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Aber den gleichen Effekt hat man doch auch, wenn man 50 e-Mail Adressen hat, dann kann man 50 Accounts haben. Und e-Mail Adressen kriegt man doch soviele, d.h. wenn jemand 50 Accounts haben möchte, dann kann er die jetzt noch haben. Also warum das ganze erschweren?

Es gibt ja irgendwo eine DB (Datenbank), die speichert deine e-mail Adresse, es sollte kein Problem sein das Passwort und Benutzername zu verschicken, wie es übrigens sehr viele Internetseiten praktizieren.

Naja, ich zum Beispiel kenne meine e-mail Adresse noch;

Außerdem wie glaubt ihr wird der Ableich der Passwörter beim Login bewerkstelligt? Erzählt mir doch nicht, dass man da nicht mehr dran kann und deswegen ein neues verschicken muss.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Man kommt an das Passwort nicht ran. <- Punkt

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

wie schon gesagt, die passwörter werden nur gehasht abgespeichert. hast du den hash, hast du nichts. beim login wird der hash deiner eingabe gebildet und mit dem hash in der datenbank verglichen. ganz einfach.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Wenn man keine Ahnung hat, ...

Genauso ist es nämlich. Das Passwort wird nicht in der Datenbank gespeichert, sondern lediglich der MD5-Hash. Aus diesem kann man das Passwort nicht mehr rekonstruieren. Gibst Du nun ein Passwort ein, wird davon auch ein MD5-Hash erstellt und dieser mit dem gespeicherten Hash verglichen. Sind die Hashes gleich, stimmt das Passwort.

//edit: Hätte der mir nicht sagen müssen, dass schon so viele andere geantwortet haben? :gruebel:

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Moin,

letzlich ist das Sache der Admins und des Chefs, denn da stehen auch rechtlichen Konsequenzen hinter. Jeder Nutzer ist über seine EMail erreichbar.

1#
Bei Freeemaildiensten kann es schon mal dazu kommen, dass eine Emailadresse mit zeitlichem Abstand zweimal vergeben wird, da eine vorhergehende freigeworden ist. Insofern ist das Prinzip Benutzername und Email konsequent.

2#
Bei zwei Accounts pro einer Email hilft die Email nicht weiter. Bin mir aber nicht sicher ob das vorkommt, denn eigentlich macht das wenig Sinn (Naja wenn Junghaie ins DP-Wasser gelassen werden dann kann es schon mal passieren das eine Parentalemail verwendung findet, aber das ist Theorie).

Also man könnte sich ja mal die Nutzer anschauen und vielleicht hilft das bei der Erinnerung. Oder ein Blick auf die alten Benachrichtigungsemails hilft auch (auf dem HD-Backup vielleicht).

Fazit: Find es ok, wie es ist.

Grüße // Martin

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

ich hoffe das die DP dies NICHT so handhabt, ansonsten bin ich weg hier und lösche meinen Account.

Diese Datenbank sollte meinen Benutzernamen, einen MD5 Hash meines Passwortes und allerhöchstens noch meine EMail speichern.

Hat man ein Passwort vergessen so muß das PHP Script folgendes machen:

1.) Benutznamen abfragen und in DB nachschlagen
2.) neues Zufallspasswort erzeugen und als MD5 Prüfsumme in diese DB eintragen
3.) dieses Zufallspasswort an die eingetragene EMail Addresse versenden, nicht irgendeine im Script abgefragte EMail
4.) unter diesem Passwort darf man sich nicht real in der DP einloggen können, sondern nur eine Seite bekommen in der man dieses Passwort ändern muss

Nur so und nicht anders darf es funktionieren. Ich habe nämlich keinen Bock darauf das durch irgendeine andere Lösung die DP meine Passwörter an alle möglichen Hacker verteilt der mein sichtbaren Benutzernamen kennt.

Noch besser wäre es wenn man bei der Anmeldung ein zusätzliches Codewort eintragen muß. Dieses wird dann beim Versenden der neuen Passwörter ebenfalls abgefragt.
Desweiteren wäre es nochmals sicherer wenn in der Datanbank neben dem MD5 Hash noch ein Zufallssalt gespeichert wäre. Bei jedem Login muß dann auf Clientseite dieser Salt bei Server abgefragt werden und dann dieser Salt + Passwort in eine MD5 Prüfsumme umgerechnet werden. Dies verhindert das Hacken der Passwörter falls die DP mal hijackt wird.

Arty, was du also möchtest reduziert die Sicherheit aller Benutzerpasswört auf NULL.

Gruß Hagen

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Ich finde es übrigens schon schlimm genug, das bei einer Neuanmeldung das Passwort einmalig im Klartext per eMail verschickt wird! (Ist zumindest beim Standard-phpBB der Fall, ich hoffe das habt ihr in der DP schon rausgenommen?).

Wer mein Passwort da alles mitlesen könnte... *schauder*

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

NULL ist hier höchstens daß, was Du von der Frage verstanden hast ;) ...
Es wäre KEIN Sicherheitsrisiko, wenn man bei einer erneuten Passwortanforderung anstelle des Benutzernamens die registrierte e-Mail angeben könnte. Alle Benutzernamen sind im Mitgliederverzeichnis offen einzusehen, die Mailadressen NICHT, wo ist also die potentielle Sicherheitslücke?
"Schlimmstenfalls" bekommst Du vielleicht unaufgefordert ein neues Passwort verpasst... Wobei das mit dem Benutzernamen (s.o.) deutlich leichter wäre :zwinker:

Ich habe auch in ein paar Foren andere bzw. leicht abgewandelte Benutzernamen, weil man eben nicht davon ausgehen kann immer "seinen" Namen zu bekommen. Cookie sei Dank war ich bisher nicht in der Situation den einen oder anderen Namen erraten zu müssen, aber wenn der mal weg ist, was dann?

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

*blubb*

Ich habe das eben mit meinem Account mal versucht.
Wenn ich mein Passwort vergessen habe muss ich meinen Benutzernamen und meine hinterlegte eMail-Adresse angeben.
Wenn beides übereinstimmt wird ein neues Passwort erzeugt, als MD5-Hash in der DB gespeichert und das Passwort wird an meine eMail Adresse gesendet. Bis ich dann auf den in der eMail vorhandenen Link klicke ist mein Account deaktiviert.

Zur Zeit ist es aber noch so das ich das mir gesendete Passwort nicht ändern muss. Ich frage Papa mal ob er mit Gérome spricht um dies zu ändern.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

@Sharkylinchen: das mit dem aendern muessen finde ich eine gute Idee, und sag dem Franzosen gleich, dass er bei der Registrierung das Passwort nicht mitschicken soll ;)

@Hagen: Es wird ein Aktivierungscode verlangt, der in der eMail ist. Bei der Registrierung wird der Code generiert, in der DB gespeichert und der Benutzer deaktiviert. In der eMail erhaelst du nun den Link zum Account-Aktivieren. Es waere ein leichtes diesen Code in 2 Haelften zu teilen: eine davon wird auf dem Bildschirm ausgegeben, die zweite landet in der eMail. Anstatt auf den fertigen Link zu klicken, muss man fuer die Aktivierung beide Teile eingeben. Das waer schon mal etwas.

Greetz
alcaeus

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

na danke auch. Versuche doch mal meine EMail Adresse rauszubekommen. Ich wette es dürfte eine einfache Suche hier in der DP nach meinem Namen ausreichen und schon solltest du meine derzeitge EMail Adresse finden können. Davon mal abgesehen ist es heute üblich seine EMail Adresse nicht zu verstecken.

So wie es jetzt ist, ist es genau richtig, alcaeus Vorschlag wäre eine sinnvolle Erweiterung.
Es geht bei der ganzen Sache primär nicht um den Schutz der Delphi Praxis Seite oder um die Sicherung der Authentizität der Posting der User hier im Forum, das ist erstmal alles sekundär.

Am wichtigsten ist der Schutz des Benutzers selber. Denn so wie ich werden viele Internet Benutzer für ihre Foren immer das gleiche Passwort benutzen. Es gibt drei Arten von Passwortbenutzern:

1.) ein einzigstes sehr langes und kompliziertes Passwort für alle Foren die der Benutzer besucht
2.) viele sehr kurze Passwörter für jedes Forum ein anderes, meistens mit Bezug auf das Forum selber
3.) viele sehr lange Passwörter für jedes Login ein anders

Usergruppe 3.) dürfte wohl am wenigsten vorkommen, schätze mal 1 User im gesammten WEB.
Die meisten Benutzer sind eine Kombination aus 1.) und 2.), sprich immer das gleiche und maximal 4 Buchstaben lange Passwort, selbst für den Account der eigenen Bank und für eBay.

Ergo: um so wichtiger wird, wenn schon die Benutzer so schluderig sind, die Verantwortung der Forenbetreiber im Umgang mit den Login Daten der Benutzer.

Gruß Hagen

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Die eMail-Adressen werden normalen Benutzern vorenthalten. Solange du deine eMail-Adresse nicht im Klartext in einen Beitrag schreibst, wird sie keiner der User rausfinden. Trotzdem sehe ich keinen Grund, die Abfrage auf den Benutzernamen zu entfernen. Ich fuer meinen Teil behalte alle Registrierungsmails von Foren auf (und editiere das Passwort raus), da ich sonst einfach vergesse in welchen Foren ich registriert bin. Nick und Passwort sind immer gleich, aber bei derzeit 30+ Foren, bei denen ich einen Login habe, vergisst man schon mal die URLs ;)

Greetz
alcaeus

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Aha, also gibt es auch anormale Benutzer die dann meine EMail Addresse rausbekommen können. Nun diese "Benutzer" könnten auch als "Hacker" versuchen mein Passwort rauszubekommmen um dann meine anderen Accounts zu hijacken.
Fazit: das Passwort sollte niemals meinen Rechner verlassen, ausserhalb meines Rechners sollte immer nur eine Einweg-Prüfsumme in den Datenbanken gespeichert werden, und das bedeutet das es unmöglich für einen Forenbetreiber sein wird mir mein eigenes Passwort zu mailen. Das ist gut so.

Gruß Hagen

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Derzeit haben wir das System eines Standard-phpBB am Werk. Das Versenden des Passwortes in der Registrierungs-Email zum Beispiel könnte man von einer Benutzer-Eingabe abhängig machen - die Vorgabe hierfür wäre 'disabled- nicht versenden'.

Zusätzlich zu den von Andreas (alcaeus) und Sharky vorgeschlagenen Lösungen kann ich anbieten, eine Javascript-Implementation der MD5-Verschlüsselung ins Login-Script zu integrieren, so dass für die User, die es wünschen, das Passwort nach der Login-Eingabe tatsächlich lokal (!) verschlüsselt und dann nur als Hash zum DP-Server geschickt wird.


Selbstverständlich liegt mein größtes Interesse in der Sicherheit Eurer Daten, denn wenn die Vertrauensbasis erstmal hin ist, kann ich den Laden auch gleich dicht machen. Noch ein Wort zu 'normalen' und 'anormalen' ;-) Benutzern: Ich als Admin und die Mods sind in der Lage, Eure Mail-Adressen einzusehen - niemand sonst.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Hallo Hagen,

ja, diese "anormalen" Benutzer sind Admins und Mods der DP. Ich glaube nicht, dass diese deine eMail-Adresse weiterverkaufen ;)

Das wird es ja auch. Zum Beweis ein paar Codeschnipsel:
in login.php:
in usercp_register.php, beim Setzen des Passworts:
Also, es wird wie bei jedem phpBB nur der MD5-Hash des Passworts abgespeichert, und beim Login der MD5-Hash des uebergebenen Passworts mit dem gespeicherten Hash verglichen. Ich denke dass ich dir nicht erklaeren muss, dass man ohne Rainbowtables (=Brute Force) das Passwort nicht aus dem Hash rauskriegt.
Beim Senden des Passworts geschieht das hier:
Anschliessend wird das neue Passwort und der Activation key in die DB geschrieben (das Passwort wiederum als Hash), und der Benutzer muss den Account wieder aktivieren. Anschliessend kann er sich mit dem generierten Passwort anmelden und kann es aendern.
Ich versteh eure Sorge also wirklich nicht.

Das bringt vielleicht ein kleines bisschen, aber solange keine sichere Verbindung steht, ist das Passwort immer gefaehrdet. Der MD5-Hash wird trotzdem noch unverschluesselt gesendet, und man kann sich anhand des MD5-Hashs in ein Forum einloggen. Nichtsdestotrotz wuerde es ein paar Hackern die Arbeit erschweren, da das Anmelden per MD5-Hash viel komplizierter ist als mit Klartext-Passwort ;)

Greetz
alcaeus

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Also wie es sich ließt, braucht ihr die Sicherheit von MD5 tatsächlich um ruhig schlafen zu können.

Ich persönlich bin der Meinung, dass man Administratoren und ihren Servern vertrauen kann, dass sie niemanden, der nicht berechtigt wäre, an unsere Daten lassen.

Über MD5 habe ich gelesen, dass es Kollisionen gibt, d.h. MD5(S1) = MD5(S2), es gibt auch mit MD5 keine 100%ige Sicherheit und noch was: Ganz prinzipiell gibt es zu jeder Funktion eine Umkehrfunktion (auch wenn sie nicht linear ist) und wenn ich die Funktion kenne, dann kann ich auch die Umkehrfunktion berechnen und jeden Hash in eine mögliche Ausgangsbasis umwandeln.
So einfach ist das.

Mit Sicherheit werden Millionen Umsätze gemacht, weil die Leute Angst vor irgendetwas haben.
Ich habe Anti Vir, was aber überflüssig ist, denn es hat seit dem Computer-Kauf vor zwei Jahren keinen einzigen Virus oder Trojaner oder sonst was abgefangen der e-mail gekommen wäre, oder sich von einer Internetseite geladen hätte, weil man mit seiner E-Mail Adresse auch sorgfältig umgehen kann und aufpassen kann wo man surft.
Ich habe aber keine Firewall.
Es ist Tatsache: Kein Hacker will an meine Daten.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Stimmt schon. Trotzdem kann ich besser schlafen, wenn ich weiß, daß auch falls mal was schief geht (und das passiert leider allzu häufig) mein Passwort noch geschützt ist.
Diese Kollisionen sind aber sehr sehr sehr selten.
Es ist aber auf jeden Fall sicherer als das Passwort so zu speichern.
So einfach? Man, hab ich ja gar nicht gewußt. Dann sag mir mal die Umkehrfunktion zu f(x) = x².
Schwierig, ne? Da gibts nämlich keine, denn diese Funktion ist nicht bijektiv. Und diese Funktion ist noch recht einfach.
Dann kannst du genauso sagen: "Bisher ist bei mir daheim eingebrochen. Wozu brauch ich also ne Tür? Es ist Tatsache: Kein Dieb will an meine Sachen!" :stupid:

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

+/- Wurzel x, ist höchstens nicht eindeutig ;)
aber mod z.B.... ist garantiert nicht umkehrbar, wenn du daher eine funktion wie f(x) = x mod x³²³³²²³³ hat, ist die einfach nicht umkehrbar :) aber ich fürchte ich bin ot :oops:

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Ja, nicht eindeutig, damit keine Funktion und daher sowieso keine Umkehrfunktion.
Umkehrbar sind nur bijektive Funktionen, also Funktionen die sowohl injektiv als auch surjektiv sind.
Injektiv: Für alle x aus dem Definitionsbereich von f existiert genau ein y aus dem Wertebereich von f, so daß gilt: f(x) = y
Surjektiv: Für alle y aus dem Wertebereich von f existiert genau ein x aus dem Definitionsbereich von f, so daß gilt: f^-1(y) = x.
==> 1. Semester Mathematikstudium, Grundlagen der Analysis

Und nur wenn beide Bedingungen erfüllt sind, ist die Funktion bijektiv und damit umkehrbar. Aber wie gesagt, x² war nur ein schnelles, noch recht einfaches Beispiel. Es gibt da noch ganz andere.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

MD5 ist auf normalem Wege (d.h. ohne Rainbow-Tables) nicht umkehrbar. Grund: ich kann aus einem 1 GB langem String einen 32 Byte langen Hash machen. Damit hat man einen bestimmten Informationsverlust, das duerfte jedem einleuchten. Das heisst wenn du aus einem Hash wieder den originalen String finden willst, musst du alle moeglichen Kombinationen durchprobieren. Zur Zeit werden Rainbow-Tables berechnet, die alle Hashes fuer 8 Zeichen lange, alphanumerische Strings enthalten. Du kannst dir vorstellen wie lange es da schon dauert, zu einem Hash den entsprechenden String zu finden.

Greetz
alcaeus

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Du musst ja auch nicht das richtige Passwort finden, sondern nur einen String, der den richtigen Hash erzeugt :wink:

Ich vertraue jedoch Md5, es ist 100 mal besser, als das Passwort im Klartext zu speichern.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Das Beispiel mit der Tür, ist doch schlecht, denn:
Im Gegensatz zu den Daten auf meinem PC, die nicht wertvoll sind, steht in meiner Wohnung mein PC der wertvoll ist.

Außerdem wie soll ein Hacker auf die Idee kommen bei mir einzubrechen? Es gibt so viele verschiedene IP-Adressen, er kann mich nicht finden.

Beim Haus ist es was anderes. Der Dieb muss nur einmal einen Spaziergang in seiner Umgebung machen, schon sieht er mögliches Diebesgut.

Ich bin überzeugt, dass ich eine Tür aber kein MD5 brauche.

Das mit bijektiv ist eine mathematische genauigkeit wie wärs mit:

Fall 1: x >= 0: x = +√y
Fall 2: x < 0: x = -√y

Es geht also, denn man kann Funktionen auch intervalweise umkehren, ableiten und integrieren.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

du glaubsts einfach nicht, oder :roll:
dann kehr mir mal diese funktion um:
f(x) = x² mod x/2
sagte ich vorhger schon, es geht einfach nicht. obiges was du vollbracht hast war auch keine umkehrung...

http://www.acira.net/troll.gif

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Sorry Arty aber ich glaube du hast den Sinn von Kryptographie und Datensicherheit absolut nicht verstanden.

Der Vorteil wenn ich mein Passwort mit MD5 abspeichern lasse ist folgender:

Ich habe für 2 Foren die Passwörter test_dp und test_df .. eins für die Delphi Praxis und eins fürs Delphi Forum.
Wenn der "Hacker" nun eines der Passwörter kennt kann er theoretisch das andere erraten, wenn er aber nur die beiden MD5 Strings hat, kann er solange rumcracken bis er beide hat, da es kaum möglich ist anhand des MD5 Strings das andere Passwort zu erraten...

In dem Sinne bin ich dafür den MD5 Algo auf JEDEN FALL beizubehalten... (Was auch nicht anders sein wird -g-)


Achja: Und ausserdem suchen Hacker nicht nach DIR sondern allgemein nach Rechnern wo was nettes drauf sein könnte...


Edit: Ihr braucht jetzt nicht anfangen und schauen ob die Passwörter wirklich gehen .. Das ist nurn Beispiel ^^

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Ich hätte ja gerne zurückgetrollt, aber nunja... *plonk*

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Und du glaubst wirklich, daß Informationen über dich nicht wertvoll sind? Dann horch dich mal um, was für ein Vermögen man mit sowas machen kann...
Dann kannst du auch sagen: "In ner Großstadt gibts so viele Häuser, da kann kein Dieb meine Wohnung finden. :roll: Aber um zu deiner Frage zurückzukommen: Genau auf dieselbe Art. Er macht nen Spaziergang durchs Netz und findet deine IP.
OK, das eine ist aber genau wie das andere zur Sicherheit da. Vielleicht war der Vergleich nicht besonders gut, aber ich hab mal was besseres.
Stell dir vor, du hast wieder ne Tür. Aber jetzt legst du den Schlüssel zu der Tür immer zB außen auf den Türrahmen. Damit hat man dann aber nun wirklich den perfekten Vergleich zum Passwort.
Was meinst du jetzt mit "mathematische Genauigkeit"? Du hattest gesagt, daß man zu jeder Funktion eine Umkehrfunktion finden kann, und das geht eben per Definition nicht! Das Beispiel, daß ich dir gegeben hatte war - wie auch gesagt - nur ein ganz einfaches. Du kannst es nicht generell "intervallweise" umkehren, denn dafür müßtest du erstmal durch probieren die jeweiligen Intervalle herausfinden. Hier ist das noch recht einfach möglich, aber jetzt bastel dir dochmal ne Funktion bei der unendlich viele x das selbe y ergeben. Dann man viel Spaß beim Ausprobieren. :roll:
Es ist immer möglich, alles zu knacken, hinter dem mathematische Logik steckt. Die Frage ist nur, wieviel Zeit dahinter steckt.

//Edit: Tagfehler verbessert

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

OK, ok, von mir aus Passwörter als MD5 (will es ja eh nicht verhindern), aber ich will mein Passwort (egal ob ich mich jetzt daran erinnere oder nicht) behalten; => man sollte wählen können wie es gespeichert werden soll (als MD5 oder ASCII)!
Alternativ könnte man sich eine Textdatei anlegen, wo eigene Passwörter gespeichert sind, aber wechselt man den Rechner ist die auch schon wieder weg. Kopiert man die Textdatei wird der Wartungsaufwand enorm. Deswegen Speicherung auf dem Server. Mit Erreichbarkeit über registrierte e-Mail Adresse.

Frage an die Administratoren: Wie seht ihr das? Denn falls ihr auch denkt, dass diese hohe Sicherheit unter allen Umständen sein muss und auch sicher nicht für Einzelne aufgelockert wird höre ich sofort auf die DP mit meiner Nörgelei zu belästigen.

Meflin: Y = 0 ist dein Beispiel; Die Umkehrung ist eine Relation: X = 0;
Und um ein Interval festzusellen, in dem ich eine Funktion umkehren kann muss ich doch nur Definitionslücken in der Funktion und die Monotonie feststellen.

MOD gibt nur den Rest bei einer ganzahligen Teilung zurück. Man kann sich leicht was ausdenken, das den gleichen Wert von MOD ergibt.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Egal ob es als MD5 oder ASCII gespeichert wird, du wirst es immer behalten koennen. Ich kann dir jetzt schon Daniels Antwort vorhersagen: das Passwort wird immer als MD5 gespeichert werden. Es geht nur darum, ob das Passwort im Klartext oder als MD5-Hash zum Server geschickt wird. Fuer dich als Endbenutzer aendert das nicht, du wirst wirklich nichts davon mitkriegen.
Und zur Idee, die Passwoerter in einer Textdatei auf dem Server zu speichern: vergiss es, etwas unsicheres gibt es gar nicht.

Die von dir "angekreideten" Dinge sind nur wichtig, wenn du mal dein Passwort vergisst. Mensch, schreib dir von mir aus dein Passwort auf eine Sticky-Note und klebs dir an den Rechner :roll: Ich fuer meinen Teil musste mir noch nie mein Passwort schicken lassen :roll:

Koenntest du (und alle anderen) diese Diskussion per PN fortfuehren? Das wird laecherlich :roll:

Greetz
alcaeus

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

:roll:
Also in einem Punkt sind wir uns einig. Die Sicherheit unserer und Eurer Daten ist ein sehr wichtiges und sensibles Thema.

Serverseitig wird auf alle Fälle eines bleiben, wie es ist: Die Passworte werden ausschließlich als MD5-Hash abgespeichert. Es hat auch nie jemand darüber nachgedacht, dies zu ändern. Die Sicherheit, die MD5 hierbei bietet, ist für diesen Zweck allemal ausreichend. Es sind in diesem Thread Ideen gezeigt worden, die Sicherheit bei einer Neuanforderung eines Passwortes noch zu erhöhen - diese lasse ich mir durch den Kopf gehen und werde sie dann ggf. umsetzen. Es besteht jedoch kein akuter Handlungsbedarf.

Die mathematische Diskussion über Funktionen aller Art setzt Ihr bitte als PN fort.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Hi.

[ot] Es geht hier weder um umkehrbar, noch um eindeutig... Es geht darum, wie viele Möglichkeiten man (maximal) durchprobieren muss, um das Passwort, die Nullstelle, X, ... zu finden... In dem Fall f(x)=x^2 sind das gerade mal zwei. Da ist das egal, ob die Funktion eindeutig, oder umkehrbar ist. Nach maximal zwei, bei ASCII-Zeichen meist einem Versuch hat man das Ergebnis ;-) [/ot]

Back to Topic:

Bei MD5 sind es eindeutig zu viele Versuche und Möglichkeiten... :arrow: MD5 ist sicher genug ;-)

Ich finde, das Passwort sollte keinesfalls im Klartext gespeichert werden, besser noch bereits beim Benutzer verschlüsselt werden, bevor es zum Server geschickt wird.

Für mich sieht der Ideale Passwortzuschickvorgang so aus:

1. Benutzer gibt Benutzername und E-Mailadresse ein (nicht gleich losbrüllen oder hauen, sondern bei 2. weiterlesen ;-) )

2. Wenn die eingegebene E-Mailadresse mit der in der Datenbank übereinstimmt, wird ein neues Passwort an die E-Mail-Adresse gesendet, die in der Datenbank steht.

3. Benutzer loggt sich mit neuem Passwort ein und darf nur sein Passwort ändern.

4. Benutzer loggt sich mit seinem in Schritt 3 eingestellten Passwort ein ( und ist endlich wieder mal in der DP :-D )

Anmerkung: Ich schätze mal, die E-Mail-Adresse vergisst man nicht... ;-)

( Für den ABSOLUTEN SONDERFALL (!!!), dass ein Benutzer seine Mailadresse löscht UND sein Passwort vergisst, müsste man sich allerdings auch noch was einfallen lassen... )

@Arty: Ich stimme alcaeus zu... Schreib dir das Passwort auf nen Zettel und bewahr ihn irgendwo auf... ;-)

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Ich werde es mir hinter die Ohren schreiben, damit ich es nicht mehr vergesse.
Und jetzt bin ich ja in der DP => Ende gut, Alles gut :zwinker: