Re: Wie "offen" ist ein Password (String) im Arbei
 

Benjamin, ich glaube du nimmst das alles zu persönlich. Klar greife ich eine spezifische Meinung/Aussage an, bzw. versuche einfach nur Irrtümer aufzuklären oder noch zusätzlich interessantes Wissen mit zu geben. Das hat aber rein garnichts damit zu tun WER diese Meinung/Aussage getroffen hat. Es ist mir also Schnuppe ob du oder ein Anderer oder sogar ich selbst diese Aussage getroffen hat.

Es ist zwar richtig wenn man versucht ausschließlich nur auf die Frage zu antworten und dabei nicht Offtopic zu werden. Aber das ist mir einfach zu trocken und verdirbt mir jeglichen Spaß an einem Forum. Also gerade weil man hier in den Threads Persönlichkeiten/Menschen antrifft die natürlich auch ihre persönlichen Meinungen offenbaren macht mir das so viel Spaß.

Wenn also meine Ausführungen über die, meiner Meinung nach, in naher Zukunft existenten Möglichkeiten zwar Off Topic sind so finde ich es denoch interessant. Und ich meine eben das das nicht nur für mich interessant sein dürfte. Ergo: poste ichs hier.

Die eigentliche Eingangsfrage ist ja auch schon mit den ersten 3-4 Postings beantwortet worden und die nachfolgenden Postings betrachte ich nur noch als interessante Randinformationen.

Siehst du, und exakt das wäre mir niemals aufgefallen. Ich kann mich nicht daran erinnern das wir beide schon öfters aneinander geraten wären. Einfach weil es für mich uninteressant ist WER eine Aussage/Meinung vertritt die kontrahär zu meiner Meinung ist. Ich bin quasi in keinster Weise nachtragend und verschwende meine eh schon wenigen Hirnzellen nicht an solche Dinge ;)

Aus meiner Sicht sind wir eben NICHT aneinander geraden sondern nur unsere unterschiedlichen Ansichten. Tja, und es ist auch gut so das es unterschiedliche Ansichten gibt, das ist doch das Normalste der Welt.

Gruß Hagen

Re: Wie "offen" ist ein Password (String) im Arbei
 

Committed;
:)

Re: Wie "offen" ist ein Password (String) im Arbei
 

Was unser Problem aber nicht löst:
Ab dem Zeitpunkt der Eingabe befindet sich das Passwort im Speicher der Applikation, wobei gefragt wurde wie sicher eben genau dies ist (unabhängig davon, ob die Verschlüsselung nun in einer DLL oder wo auch immer stattfindet).

Ich gehe nämlich gerade davon aus, dass nur der algorithmus in der DLL liegt und das PW dort übergeben wird - ob das nun hardcoded drin war oder vom User vorher eingegeben wurde - davon wird hier gar nix gesagt. Also gehen wir mal davon aus, es wurde erst frisch eingegeben...

Re: Wie "offen" ist ein Password (String) im Arbei
 

@Phoenix:

ja dies stimmt auch ;) Ich gehe also davon aus das der Computer des Clients NICHT kompromittiert wurde.
Denoch betrachte ich auch den Worstcase und der ist erreicht wenn ich davon ausgehen muß das der Client und sein Rechner ein Angreifer sind.

Und wenn wir nun beide Annahmen vergleichen so ergibt sich folgendes Bild:

1.) Generalschlüssel in der EXE hardcoded gespeichert:
- Angreifer kann erfolgreich ALLE Benutzer der Software kompromittieren, offline
- Angreifer kann somit an ALLE Benutzerdaten rankommen

2.) kein Generalschlüssel und Benutzer verschlüsseln ihre Daten mit einem eigenen Passwort
- Angreifer muß alle Clienten/Rechner kompromittieren, ein ungleich höherer Aufwand, meistens online
- Angreifer kommt bei einem kompromitierten System/Client nur an dessen Daten ran

Also selbst unter der Annahme das die Clients und deren Rechner Angreifer darstellen ergeben sich auf Grund des unterschiedlichen kryptographischen Konzeptes ganz andere Sicherheitsschrabken.

Gruß Hagen