Pryos.org: Sicherer Javascript Passwortschutz ?!

Beitrag lesen

SELF-Forum

Sicherer Javascript Passwortschutz ?!

Pryos.org
Informationen zu den Bewertungsregeln

Hallo,

Hallo,

Ein normaler Salt würde dafür auch reichen. Er kann ruhig bekannt sein, da dies dem Angreifer beim Ermitteln eines möglichen Passwortes nicht helfen sollte.

soweit ich weis kann man, wenn man Hash und Salt kennt ein "String" errechnen, welcher zum gleichen "Hash" wie das Passwort kommt. Dies sollte ausreichen um sich einloggen zu können(sowohl beim System selbst, als auch an anderen Stellen mit dem selben Passwort).

In der Regel wird es glaube auf Grund des Rechenaufwandes nicht gemacht.

Ja der höhere Aufwand für den Angreifer, bedeutet in diesem Fall gleichzeitig ein höheren Aufwand für den normalen Benutzer. Der Einsatz von Captchas erschwert nur rein automatisierte Angriffe, macht sie aber längst nicht unmöglich. Captchas können häufig doch von Programmen gelesen werden. Ansonsten gibt es auch noch andere Möglichkeiten Captchas zu umgehen, indem man sie zum Beispiel von anderen Personen auf einer anderen Website lösen lässt. Der Angreifer fängt also ein Captcha ab und lässt dieses einfach von einem Benutzer auf der eigenen Website lösen. Des Weiteren könnte der Angreifer die Webseite mit den Login-Feldern so manipulieren, dass der Browser des Benutzers die Lösung des Captchas halt doch mitsendet. (Es läuft ja alles über HTTP ab.)

Das es Mittel und Wege gibt um Captchas zu lösen ist mir von einem unserer Kunden leider bekannt. Ich habe mehrere Tage benötigt um einem Spammer dort einhalt zu gebieten, Captchas haben nichts gebracht. Erst per HonyPot und dem Verbot von irgendwelchen Tags in Kommentarfeldern hab ich ihn gestopt. Jetzt kommt nurnoch alle 2 Wochen ein halbherziger Versuch von jeweils 2 IPs.

Für einen Manipulationsversuch des Logins müsste der "Feind" so viel Kontrolle über die HTTP Verbindung haben, das jede Aktion, abgesehen von eventuell SSL, für die Katz sein. Weil dann kann er auch gleich das Klartextpasswort mitsenden (notfalls in einem weiteren Hidden Input Element)

Aber du hast mich Überzeugt, ich hab die Idee verworfen. Der Entwicklungsaufwand sollte schon den Nutzen nicht übersteigen.

Viele Grüße Novi

mfg Pryos

Beitrag melden
Informationen zu den Bewertungsregeln
0 45

Sicherer Javascript Passwortschutz ?!

SimonSSS
  • javascript
  1. 0
    LX
  2. 0
    Encoder
    1. 0
      Kambfhase
      1. 0
        Encoder
  3. 0
    JürgenB
  4. 2
    Der Martin
    1. 0
      molily
      1. 0
        Novi
        • meinung
      2. 0
        Novi
        • meinung
        1. 0
          suit
          1. 0
            Novi
            1. 0
              suit
              1. 0
                Novi
                1. 0
                  Detlef G.
                  1. 0
                    Novi
                  2. 0
                    Novi
                    1. 0
                      suit
                      1. 0
                        Novi
                        1. 0
                          suit
                          1. 0
                            Novi
                            1. 0
                              Pryos.org
                              1. 0
                                Novi
                                1. 0
                                  Pryos.org
                                  1. 0
                                    Novi
                                    1. 0
                                      Pryos.org
                                      1. 0
                                        Novi
                                        1. 0
                                          Pryos.org
                                          1. 0
                                            suit
                                        2. 0
                                          suit
                                          1. 0
                                            Novi (uneingeloggt)
                                      2. 0
                                        suit
                                    2. 0
                                      suit
                              2. 0
                                suit
                  3. 0
                    suit
                    1. 0
                      Detlef G.
                      1. 0
                        suit
                        1. 0
                          Novi
        2. 0
          stewe
      3. 0
        suit
  5. 0
    stewe
  6. 0
    Peter Pan
  7. 1

    Don't feed the Trolls

    Peter Pan
    • meinung
  8. 0
    Novi
  9. 0
    Novi