hallo!
gibt es eine möglichkeit die übermittlung des passwortes zu verschlüsseln?
zur zeit ist es ja möglich das passwort mit einem netzwerk-sniffer auszulesen, wenn man sich zum beispiel auf der arbeit oder auch schlule einloggt.
ssl unerstützt der server nicht...
sichere passwort-übermittlung
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
kratzer54847
- Mitglied
- Beiträge: 3065
- Registriert: 20.01.2003 16:34
- Wohnort: Düsseldorf/Hannover/Berlin
- Kontaktdaten:
Das Passwort wird doch schon MD5-verschlüsselt
oder was meinst du jetzt damit?
oder was meinst du jetzt damit?
Knowledge Base | MOD Datenbank | Boardsuche | HTML | PHP
Durch die richtige Verwendung dieser Links können viele Fragen beantwortet werden
Durch die richtige Verwendung dieser Links können viele Fragen beantwortet werden
Das WoltLab-Board hat oder hatte mal eine Option, das Passwort via Javascript verschlüsseln zu lassen. Oder vielleicht ist das auch nur eine Erweiterung dafür gewesen.
Das Passwort wurde jedenfalls via Javascript nach einem der einschlägigen Verfahren verschlüsselt und dann - logischerweise - am Server wieder entschlüsselt. Machbar ist das gewiss - wie performant das Ganze ist, musst Du jedoch selber sehen. Im Hinterkopf solltest Du jedoch behalten, dass es genug User gibt, die Javascript deaktiviert haben und vielleicht möchtest Du denen ja ebenfalls eine Möglichkeit zum Login bieten - dann halt die herkömmliche Variante. Dein Forum muss also in der Lage sein, eine verschlüsselte Anmeldung von einer unverschlüsselten Anmeldung zu unterscheiden.
Aber selbst dann gibt es ein Problem: Durch Abhören des Netzwer-Traffics kommt ein potentieller Angreifer zwar nicht mehr an das Klartext-Passwort, kann sich aber dennoch unter einer fremden Identität am Forum anmelden, indem er selber den verschlüsselten Datenstrom sendet, den er von Dir mitprotokolliert hat.
Grüße,
Gérome
Das Passwort wurde jedenfalls via Javascript nach einem der einschlägigen Verfahren verschlüsselt und dann - logischerweise - am Server wieder entschlüsselt. Machbar ist das gewiss - wie performant das Ganze ist, musst Du jedoch selber sehen. Im Hinterkopf solltest Du jedoch behalten, dass es genug User gibt, die Javascript deaktiviert haben und vielleicht möchtest Du denen ja ebenfalls eine Möglichkeit zum Login bieten - dann halt die herkömmliche Variante. Dein Forum muss also in der Lage sein, eine verschlüsselte Anmeldung von einer unverschlüsselten Anmeldung zu unterscheiden.
Aber selbst dann gibt es ein Problem: Durch Abhören des Netzwer-Traffics kommt ein potentieller Angreifer zwar nicht mehr an das Klartext-Passwort, kann sich aber dennoch unter einer fremden Identität am Forum anmelden, indem er selber den verschlüsselten Datenstrom sendet, den er von Dir mitprotokolliert hat.
Grüße,
Gérome
gut, man könnte es ja so machen, dass das board einen zufallscode generiert. dieser wird dann zum browser geschickt. im browser wird dann mit diesem code das passwort verschlüsselt und wieder zum board geschickt und dort wieder entschlüsselt. der aufgezeichnete netzwerkverkehr ist somit unbrauchbar, da sich der code immer wieder ändert...
müsste doch dann sicher sein, solange niemand weiß, wie die verschlüsselung funktioniert...
oder weiß jemand was besseres?
müsste doch dann sicher sein, solange niemand weiß, wie die verschlüsselung funktioniert...
oder weiß jemand was besseres?
Na, die client-seitige Methode der Verschlüsselung wirst Du ja immer mit ausliefern müssen. Diese kannst Du nicht geheimhalten. Das ist das entscheidende Problem.
Der Angreifer kann dann zwar die mitgehörten Daten nicht unmittelbar nutzen, aber aus der Tatsache, dass er den Algorithmus kennt, kann er diese Daten für einen gültigen Fall nachbilden.
Umgangssprachlich formuliert würde ich sagen: 'Es ist gehupft wie gesprungen.'
Grüße,
Gérome
Diese kannst Du nicht geheimhalten. Das ist das entscheidende Problem.Der Angreifer kann dann zwar die mitgehörten Daten nicht unmittelbar nutzen, aber aus der Tatsache, dass er den Algorithmus kennt, kann er diese Daten für einen gültigen Fall nachbilden.
Umgangssprachlich formuliert würde ich sagen: 'Es ist gehupft wie gesprungen.'
Grüße,
Gérome
ja gut... Denkfehler...
aber was ist, wenn der User zusätzlich noch ein weiteres Passwort hat (das kann ja auch in dem eigentlich Passwort enthalten sein, so das der User denkt er habe immer nur noch eins) und dann ist zwar der Algorithmus bekannt und der vom Board zufällig generierte Code. aber das Passwort ist nicht nur mit diesem Zufalls-Code verschlüsselt, sondern noch mit dem zweiten Passwort. dieses ist auch auf dem Board hinterlegt. das wäre doch dann die entscheidende Information, die dem "Mitschneider" fehlen würde.
das "zweite Passwort" muss ja wie gesagt nicht ein neues weiteres Passwort sein. man könnte e ja so machen, dass die ersten 6zeichen das eigentliche Passwort sind und der Rest ist dann der Zusatz-Code...
der "Hacker" hätte dann nur den Zufalls-Code, den Algorithmus und den verschlüsselten String passend zu dem Zufalls-Code, aber er kann daraus nicht auf das Kennwort schließen, da ihm ja das zweite Passwort fehlt...
oder wieder einen Denkfehler. müsste doch funktionieren. bräuchte nur noch einen guten Algorithmus... kann mir jemand einen empfehlen?
aber was ist, wenn der User zusätzlich noch ein weiteres Passwort hat (das kann ja auch in dem eigentlich Passwort enthalten sein, so das der User denkt er habe immer nur noch eins) und dann ist zwar der Algorithmus bekannt und der vom Board zufällig generierte Code. aber das Passwort ist nicht nur mit diesem Zufalls-Code verschlüsselt, sondern noch mit dem zweiten Passwort. dieses ist auch auf dem Board hinterlegt. das wäre doch dann die entscheidende Information, die dem "Mitschneider" fehlen würde.
das "zweite Passwort" muss ja wie gesagt nicht ein neues weiteres Passwort sein. man könnte e ja so machen, dass die ersten 6zeichen das eigentliche Passwort sind und der Rest ist dann der Zusatz-Code...
der "Hacker" hätte dann nur den Zufalls-Code, den Algorithmus und den verschlüsselten String passend zu dem Zufalls-Code, aber er kann daraus nicht auf das Kennwort schließen, da ihm ja das zweite Passwort fehlt...
oder wieder einen Denkfehler. müsste doch funktionieren. bräuchte nur noch einen guten Algorithmus... kann mir jemand einen empfehlen?
