[TYPO3-german] TYPO3.org: Eh, hallo?

Fri Nov 14 20:58:03 CET 2008

Hallo Marc,

Es ist recht leicht eine Installations-Spezifische Verschlüsselungstabelle
anzulegen indem der $TYPO3_CONF_VARS['SYS']['encryptionKey'] oder ein
anderer User- oder Installationsspezifischer Schlüssel verwendet wird.

Dadurch währen allgemeine Rainbowtabellen nicht mehr verwendbar und die
Userdaten ließen sich nicht so einfach missbrauchen.

Die Verantwortung auf die User abzuwälzen halte ich für faul und
verantwortungslos.

Im Übrigen entbehrt auch Dein Beitrag nicht einer gewissen Komik:
Salt-Werte werden für die Übertragung genutzt, aber nicht für den
gespeicherten Wert. Ansonsten müsste der Saltwert entweder für jeden User
oder zumindest für eine Installation gespeichert werden, dies ist in TYPO3
nicht der Fall.

Das Thema Passwortsicherheit in TYPO3 ist leider recht wenig beachtet
worden, nicht zuletzt weil z.B. die Erweiterung sr_feuser_register durch
fehlerhaftes JavaScript in Vergangenheit vom eigentlichen Problem abgelenkt
hat.
Die Übertragung der BE-Passwörter mit "Superchallanged" gehört hier noch zu
den besten Lösungen, allerdings werden trotz Salt die Passwörter auch nur
als MD5-Werte gespeichert.

Alle Lösungen haben jedoch eine Schwachstelle: 
BE-User mit Adminzugriff haben immer die Möglichkeit eigene Rainbow-Tabellen
anzulegen da sie den Logarithmus untersuchen können. Fraglich ist nur ob der
Aufwand durch den Nutzen gerechtfertigt scheint, im Hinblick auf steigende
PC-Leistungen verringert sich der potentielle zeitliche Aufwand jedoch
zunehmend.

Gruß
David

-----Ursprüngliche Nachricht-----
Von: typo3-german-bounces at lists.netfielders.de
[mailto:typo3-german-bounces at lists.netfielders.de] Im Auftrag von Marc
Wöhlken
Gesendet: Freitag, 14. November 2008 19:44
An: typo3-german at lists.netfielders.de
Betreff: Re: [TYPO3-german] TYPO3.org: Eh, hallo?

Hallo,
ich wusste, dass Threads zum Thema Sicherheit immer ein gewisses
Komik-Potential bieten, aber was man hier liest grenzt an groben Unfug.

Mythos 1: Die MD5 Verschlüsselung
Wird gern mit einer Hash- oder Prüfsummen-Funktion verwechselt.
Verschlüsselung = Aus dem verschlüsselten Text kann das Original
zurückgewonnen werden
Hash = Ist unumkehrbar, macht Null Sinn für Verschlüsselung. Wenn man
bedenkt, dass Hash-Summen immer die gleiche Länge von wenigen Bytes
haben kommt man darauf...

Mythos 2: MD5 hat ein Problem mit Rainbow-Tabellen
Ist auch falsch, eine ganze Reihe von Verfahren sind mit
Rainbow-Tabellen (quasi Wörterbüchern) unter bestimmten Umständen zu
knacken. Ebenfalls allen gemein ist, dass man diesen Attacken durch die
Einführung eines Salt-Wertes die Grundlage entziehen kann.

Für mich lautet das Fazit daher, dass wir keinen besser
Logarithmus(s.u.) benötigen, sondern ein besseres Verständnis für das
Thema Sicherheit, wozu auch gehört auf verschiedenen Plattformen
verschiedene Passworte zu benutzen.

Gruß
	Marc

David Bruchmann schrieb:
> Hi Markus,
> 
> Übrigens ist eine MD-5 Verschlüsselung, wie sie als Alternative
> wahrscheinlich als erstes in Betracht käme längst keine Garantie, dass ein
> Passwort nicht erkennbar ist.
> Es gibt ellenlange Listen (etliche GB groß) womit man auch längere
> Passwörter im Sekundenbereich entschlüsseln kann.
> Sicher währe nur ein anderer Logarithmus, bei dem (noch) keine Listen
> existieren, bzw. die gespeicherten Daten keinen Rückschluss auf das
Passwort
> erlauben.

-- 
...........................................................
Marc Wöhlken

Quadracom - Proffe & Wöhlken

Rembertistraße 32              WWW: http://www.quadracom.de
D-28203 Bremen                E-Mail: woehlken at quadracom.de
______________             PGP-Key: http://pgp.quadracom.de
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.netfielders.de
http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german