suit: Warum man Passwörter durch eine Schlüsselableitung schicken soll

http://xkcd.com/1286/

Aufgrund der Passworthinweise und dutzenden Benutzern die dasselbe Passwort haben ist es hier sehr leicht Passwörter zu erraten.

Es ist traurig, dass selbst bei riesigen Konzernen so schlampig gearbeitet wird.

  1. Lieber suit,

    http://xkcd.com/1286/

    ich verstehe das überhaupt nicht. Offensichtlich sind viele der verschlüsselten Passwörter identisch, da die Hex-Werte übereinstimmen. Was aber die "Lösung" zu den jeweiligen Hints sein soll, erschließt sich mir nicht.

    Aufgrund der Passworthinweise und dutzenden Benutzern die dasselbe Passwort haben ist es hier sehr leicht Passwörter zu erraten.

    Wie genau? Und was genau meinst Du mit einer "Schlüsselableitung"?

    Es ist traurig, dass selbst bei riesigen Konzernen so schlampig gearbeitet wird.

    Das ist ja nun nicht das erste Mal, dass soetwas bekannt wird - und bei dem periodischen Sicherheitsdebakel bei Acrobat und Flash darf man wahrlich nicht bestes Handwerk erwarten!

    Liebe Grüße,

    Felix Riesterer.

    --
    ie:% br:> fl:| va:) ls:[ fo:) rl:| n4:? de:> ss:| ch:? js:) mo:} zu:)
    1. ich verstehe das überhaupt nicht. Offensichtlich sind viele der verschlüsselten Passwörter identisch, da die Hex-Werte übereinstimmen. Was aber die "Lösung" zu den jeweiligen Hints sein soll, erschließt sich mir nicht.

      Viele Benutzer mit demselben Passwort verwenden unterschiedliche "ich habe mein Passwort vergessen"-Hinweise. Durch gutes raten kann man so das Passwort ermitteln, egal wie komplex die Verschlüsselung ist.

      Aufgrund der Passworthinweise und dutzenden Benutzern die dasselbe Passwort haben ist es hier sehr leicht Passwörter zu erraten.

      Wie genau? Und was genau meinst Du mit einer "Schlüsselableitung"?

      Das Passwort muss nicht durch eine Funktion gejagt werden bei der dieselbe Ausgangszeichenkette denselben Schlüssel erhält - wenn 2x dasselbe Passwort verschlüsselt wird, müssen zwei unterschiedliche Zeichenketten rauskommen. Die einfachste Lösung dafür ein ein simpler Salt den man dem Klartextpasswort voranstellt (nur eine Nummer komplizierter). Brauchbare Verfahren sind hier PBKDF2 oder bcrypt.

      Es ist traurig, dass selbst bei riesigen Konzernen so schlampig gearbeitet wird.

      Das ist ja nun nicht das erste Mal, dass soetwas bekannt wird - und bei dem periodischen Sicherheitsdebakel bei Acrobat und Flash darf man wahrlich nicht bestes Handwerk erwarten!

      Und wird auch nicht das letzte mal sein.

      1. Lieber suit,

        Viele Benutzer mit demselben Passwort verwenden unterschiedliche "ich habe mein Passwort vergessen"-Hinweise. Durch gutes raten kann man so das Passwort ermitteln, egal wie komplex die Verschlüsselung ist.

        und aus den verschiedenen Hints, die alle auf das selbe Passwort deuten, komme ich dann schon irgendwie auf die Lösung. Jetzt habe ich's verstanden.

        Und weil die Passwörter nicht mit zufälligen Werten gesalzen wurden, kann ich sicher sagen, welche der Passwörter nun gleich sein müssen, sodass ich weiß, welche Hinweise zu welchem Passwort zusammenwirken können.

        OK.

        Liebe Grüße,

        Felix Riesterer.

        --
        ie:% br:> fl:| va:) ls:[ fo:) rl:| n4:? de:> ss:| ch:? js:) mo:} zu:)
  2. http://xkcd.com/1286/

    Aufgrund der Passworthinweise und dutzenden Benutzern die dasselbe Passwort haben ist es hier sehr leicht Passwörter zu erraten.

    Wohl eher aufgrund der Tatsache, dass die Hashes nicht gesalzen sind und man somit herausfinden kann, dass zwei Benutzer das gleiche Passwort haben.

    Es ist traurig, dass selbst bei riesigen Konzernen so schlampig gearbeitet wird.

    Wie du schon selbst sagst, Adobe halt...
    Nur ein Grund in der Liste vieler vieler Weiterer, um dieses Unternehmen zu boykottieren.

  3. Es ist traurig, dass selbst bei riesigen Konzernen so schlampig gearbeitet wird.

    Es geht um Gewinnmaximierung und Kostenreduktion. Zwei Schlüsselwörter, zu denen sich noch andere gesellen. Der Programmierer (oder sie) wird sich auch gedacht haben ... fuck yourself. Bis das Unternehmen das merkt, ist eh schon der nächste am Start. Also nach uns die Sinnflut, scheiß auf den User, scheiß auf den Konzern. Man weiss wie es richtig wäre, aber was soll's.