nicht angemeldet
Moin!
Sicherheit erhälst du bei Logins nur durch Verschlüsselung, [...]
Quatsch. Schonmal von CHAP gehört?Was hilft dir dein CHAP gegen einen Angriff, der einfach Usernamen und Passworte ausprobiert?
Und was hilft deine Verschlüsselung dagegen?
Das ist doch meine Argumentation: Was hilft es, das gesamte Konstrukt NACH dem Login kompliziert sicher zu machen (wobei es eine simple Methode dafür gibt, die SSL heißt), wenn aber das Login selbst nicht sicher ist.
Das Login selbst ist bei CHAP genauso sicher, wie mit SSL. Den einzigen Vorwurf, den man bei CHAP machen kann, ist, daß alles NACH dem Login prinzipiell nicht sicher ist, dafür ist SSL beim Aufbau der Verbindung (also sogar noch vor dem Login) nicht sicher. Wie Du's drehst und wendest, absolut sicher bekommst Du das nicht ohne Key-Exchange.
Der Angriff auf vom Benutzer definierbare Passworte ist immer noch einer mit der höchsten Erfolgsquote.
Wer lässt den Benutzer schon Passwörter definieren ...
sha1 von user+pass+challenge
Und genau das kann ich, da dein Vorgehen bekannt ist, mit beliebigen generierten oder bekannten Usernamen und Passworten ebenfalls machen.
Und mit SSL kannst Du das nicht?
Dein CHAP erhöht also lediglich die Sicherheit beim Belauschen des Passwortes, nicht die Sicherheit gegen Einloggen. Und es enthält keinerlei Sicherheit gegen Mithören der Verbindung und Abgreifen der danach transferierten Dateninhalte.
SSL auch nicht, informiere Dich über "Man in the Middle" Attacken - es sind genau sie selben Voraussetzungen die man auch zum Mithören der unverschlüsselten Verbindung braucht. Immerhin schützt CHAP gegen das Mitlauschen des Passwortes, was SSL dann auch nicht mehr macht.
PS: Wenn man das Passwort auf dem Server nicht im Klartext gespeichert hat, sondern z.B. mit md5 gecrypted, erhöht das die Sicherheit in diesem Szenario eigentlich auch nicht mehr.
Was die Datenübermittlung angeht, sicher nicht. Was die Datenspeicherung auf dem Server angeht, selbstverständlich.
Nein, weil man, wenn man die md5 Summe auf dem Server hinterlegt hat, auch nur die md5 Summe zum einloggen braucht - denn auch der Server kann nicht raten, und da das Passwort ja nicht mehr im Klartext übertragen wird, sondern nur noch sha1(user+pass+challenge) kann man auch serverseitig das Passwort nicht mehr hashen. Ist auf dem Server also nur md5(pass) bekannt, muß CHAP auch mit sha1(user+md5(pass)+challenge) arbeiten.
Und zu irgendeinem Zeitpunkt muß zwangsläufig auch einmal ein unverschlüsseltes Passwort übermittelt werden: Wenn es geändert werden soll!
Nein, da muß nur der Unterschied zum alten Passwort übertragen werden.
Ich bleibe dabei: Es ist unsinnig, sich komplizierte Session- oder Loginpasswortverschleierungsmechanismen auszudenken. Wenn man Sicherheit haben möchte, muß man auf Standards zurückgreifen,
CHAP ist ein Standard.
und die lauten: 1. SSL,
mit einer Priese Man in the middle
- Sichere Benutzerpassworte. SSL schließt das Abhören von Passworten aus, und ordentliche Passworte verhindern den direkten Angriff durch Ausprobieren.
Wir sprechen immernoch von Man in the Middle Attacken, richtig? SSL ist da keinen Millimeter besser als CHAP.
Deinen unfreundlichen Angriff mit "Quatsch" schiebe ich mal auf die unchristliche Uhrzeit, zu der man eigentlich keine gesalzenen Postings mehr verfassen sollte.
Definitiv nicht, wenn ich sage Quatsch, dann meine ich das auch so. Deine Behauptung, SSL würde alle Probleme der Welt lösen ist schlicht falsch und gefährlich, weil es die Benutzer in falsche Sicherheit wiegt.
Gruß, Bodo