Können Logindaten "abgefangen" werden?

HerrPi · Beitrag von **HerrPi** » 21.03.2007 00:02

Hallo zusammen!

Ich hab auf die folgende Frage hier keine Antwort finden können. Sollte ich sie übersehen haben, macht mich bitte darauf aufmerksam!

Jemand hat mir gesagt, dass es möglich sei, dass mit Hilfe von Trojanern oder Phishing die Logindaten von Forenusern beim Senden nach dem Klick auf Login abgefangen werden und missbraucht werden können.

Er sagte auch, dass diese Logindaten unverschlüsselt (also quasi plain text) nach der Eingabe und dem Klick auf Login zum Server übertragen werden - stimmt das??

Falls dem so ist, kann man da was zur Sicherheit beitragen??

Danke schonmal!

Beitrag von **gn#36** » 21.03.2007 00:57

Solange man nicht über eine SSL Verbindung mit einem Webserver kommuniziert können sämtliche Daten mitgehört werden die man mit dem Server austauscht, also auch der Loginname und das zugehörige Passwort. Das verhindern kann man nur, wenn man die Verbindung über SSL erstellt (hierfür muss SSL auf dem Server aktiviert sein was allerdings nicht alle Webhoster unterstützen. Gegen Phishing hilft das aber alles nichts, denn hier ist der User derjenige der aufpassen muss, da man ihm versucht eine Imitation der Originalseite unterzujubeln.

HerrPi · Beitrag von **HerrPi** » 21.03.2007 01:08

Danke für die Antwort!

Ist SSL eine reine Server-Einstellung oder wo richte ich das genau ein? Ich verwende z.B. momentan noch XAMPP, habe also testweise meinen eigenen kleinen Webserver.
Ist sowas da möglich?

rananarmo · Beitrag von **rananarmo** » 21.03.2007 07:18

Hallo!

Schau hier: http://de.wikipedia.org/wiki/Transport_Layer_Security

Beitrag von **Dr.Death** » 22.03.2007 10:23

Hallo,

um den "Klartext", der beim Login übermittelt wird zu verschleiern gibt es einen Secure Login MOD auf www.phpbbhacks.com

Sobald man sein Passwort im Eingabefeld eingegeben hat, wird es VOR dem Absenden bereits in MD5 verschlüsselt und erst dann per POST Befehl an den Server gesendet.

Sollte nun jemand das Passwort mitlesen, so sieht er "nur" den MD5 Hash und ist nicht in der Lage daraus das eigentliche Passwort zu enträtseln.

Hier der Downloadlink:

Secure Login

Beitrag von **gn#36** » 22.03.2007 12:12

Naja ob das so ein riesen Sicherheitsgewinn ist wage ich zu bezweifeln. Selbst wenn man das eigentliche Passwort nicht herausbekommen kann wenn man die Verbindung abhört, man braucht das Passwort ja auch gar nicht mehr, da es bereits ausreicht den MD5 Hash des Passworts zu kennen um sich einloggen zu können. Ob ich jetzt den MD5 Hash mitbekomme oder das Passwort selbst ist doch völlig egal. Wenn das durch die Modifikation an Sicherheit gewinnen sollte, dann müsste das z.b. durch Übersendung eines zufälligen Zusatzschlüssels vor dem Login passieren der nur ein einziges Mal gültig ist und mit dem das Passwort zusammen verschlüsselt wird. Selbst wenn dann jemand den übertragenen Hash abhört hilft ihm das nichts, da dieser nur ein einziges Mal gültig ist, es sei denn er fängt den Loginversuch komplett ab so dass die Anfrage nicht zum Server gelangt. In dem Fall würde dann allerdings zumidest der User etwas davon mitbekommen denn schließlich wird er nicht eingeloggt und kann auch beim erneuten Absenden der Daten nicht eingeloggt werden wenn der Hacker die Daten mißbraucht.
Der MD5 Mod in der aktuellen Form ohne obige Änderungen ist in meinen Augen für die Sicherheit eher ein guter Witz, aber mit Potenzial. Ein Sicherheitsgewinn allerdings nur für Leute, die überall das gleiche Passwort verwenden...

Beitrag von **Dr.Death** » 22.03.2007 12:19

Da hast Du natürlich recht.

Dieser MOD erschwert nur das mitlesen.... schützen tut nur eine echte https Verbindung.

HerrPi · Beitrag von **HerrPi** » 22.03.2007 12:26

Ok, danke Leute, eure Antworten haben mir schon viel weiter geholfen! Jetzt weiß ich, dass ich mich mal in die Richtung https weiter umhören muss!

Schönen Tag noch!