[TYPO3-german] Frontend-User mit verschlüsselten Passwörtern

David Bruchmann david at bruchmann-web.de
Fri Mar 20 15:43:35 CET 2009 

Hallo Lars,

MD5 wird nur als Fallback zu CRYPT_BLOWFISH verwendet.

"
The preferred (most secure) hashing method supported by phpass is the 
OpenBSD-style Blowfish-based bcrypt, also supported with our public 
domain crypt_blowfish package (for C applications), and known in PHP as 
CRYPT_BLOWFISH, with a fallback to BSDI-style extended DES-based hashes, 
known in PHP as CRYPT_EXT_DES, and a last resort fallback to MD5-based 
salted and variable iteration count password hashes implemented in 
phpass itself (also referred to as portable hashes).
"
Wie allerdings die Details ablaufen und wie die Fallback-Bedingungen 
definiert sind, habe ich mir nicht angesehen.
Details zur Verschlüsselung von t3sec_saltedpw findest Du nicht im 
Manual sondern auf der dort angegebenen und oben zitierten Seite 
http://www.openwall.com/phpass/

In jedem Fall hast Du Passwörter, die standartisiert auch in andere 
Systeme übertragen werden können, die als Sammlung sicher sind - also 
nicht reproduzierbar oder nachschlagbar sind.

Gefahr bei Passwörtern ist oft gar nicht der eigentliche Datenspeicher, 
sondern
1) "Man in the middle": Jemand kann die Übertragung abhören (z.B. der 
Admin in der Firma) und Deine unverschlüsselte Eingabe abfangen.
2) Keylogger: Deine Eingaben werden gespeichert. Jeder Tastendruck läßt 
sich aus einem Protokoll auslesen. Das ist auf fremden Rechnern sicher 
schwer zu bemerken und ausserdem durch Verschlüsselung nicht geschützt. 
Dort nützt der beste Logarithmus nixx.
3) Die unbedarfte Weitergabe der Original-Passwörter, ohne eine schnelle 
Änderung durchzuführen, wenn ein Dritter den Zugang nicht mehr braucht. 
Darunter fallen auch verlorene Spickzettel zum eigenen Zweck, offen 
herumliegende Passwortlisten, etc.
4) Verwendung der gleichen Passwörter für verschiedene Accounts: wird 
einer gehackt, können die anderen auch gleich verwendet werden.

Die Versschlüsselung greift erst dann richtig, wenn auf dem 
Client-Rechner verschlüsselt wird, dann übertragen und ausgewertet wird.
Alles was davor, danach oder auf dem Clientrechner parallel dazu mit dem 
Passwort geschieht entzieht sich jeder administrativen Kontrolle. Bei 
unberechtigtem serverseitigen Zugriff oder Abhören der Übertragung hat 
man durch das "Salt" zumindest eine recht hohe Sicherheit.
Da jedoch trotzdem viele unkontrollierbare Unsicherheitsfaktoren in der 
obigen Liste übrigbleiben, muß der Benutzer selbst ggf. sein Passwort 
öfter ändern und ggf. einen Keylogger austricksen.

Bei kb_md5fepw wird das Passwort auf dem Clientrechner wie oben verlangt 
per JavaScript verschlüsselt. Wie es bei t3sec_saltedpw abläuft weiss 
ich nicht, aber sollte dort genauso sein.
Die Übertragung ist dort also verschlüsselt aber nur die des Passwortes 
- andere Daten können ggf. "mitgelesen" werden.

Problematisch ist, daß HTML eine reine Auszeichnungssprache ist und JS 
(oder eine andere Skriptsprache) als implementierte Technik benötigt um 
Verschlüsseln zu können. Rechner wo die Skriptausführung blockiert oder 
nicht möglich ist, sind somit ausgesperrt und führen den gesamten 
Aufwand ad absurdum. SSl verschlüsselt auf einer anderen Ebene mit 
Funktionen des Betriebssystems und funktioniert meines Wissens auch ohne 
Skripts in den ausgelieferten Seiten.

SSL verschlüsselt die gesamte Übertragung 
http://de.wikipedia.org/wiki/Transport_Layer_Security
allerdings ist das auch keine 100%ige Garantie für Datensicherheit, da 
die eingesetzten Zertifakte abgefangen, umgeleitet oder ausgetauscht 
werden können. Wie das im Detail möglich ist weiss ich nicht, aber es 
gibt bei heise einige gute Artikel dazu, die kannst Du ggf. selbst 
suchen - bei vielen Themen sind bei Wikipedia auch Artikel von Heise 
verlinkt.


Viele Grüße
David



----- Ursprüngliche Nachricht -----
Von:        Lars Brinkmann <brinkmann.lars at gmail.com>
Gesendet:   Freitag, 20. März 2009 14:32:34
An:         German TYPO3 Userlist <typo3-german at lists.netfielders.de>
CC:
Betreff:    Re: [TYPO3-german] Frontend-User mit verschlüsselten Passwörtern
> Hallo David,
> 
>> t3sec_saltedpw ist die bessere Lösung und verwendet möglicherweise auch
>> md5 Verschlüsselung.
> Möglicherweise? Ich bin da aus dem Manual nicht so ganz schlau
> geworden. Ich meine, dass die Extension zwar mit MD5-Passwörtern
> arbeiten kann, diese aber nicht erzeugt.
> 
> Ohne SSL soll die Extension die Passwörter im Klartext übertragen.
> Klartext heißt für mich "meinPassword" oder sehe ich das falsch?
> 
>> Rainbow-Tables zurückübersetzen kann. der Logarithmus selbst erlaubt
> Das ist mir bekannt, zumindest funktioniert das sehr gut bei
> Passwörtern die im Duden stehen. "Gewinner", nicht wahr? :-)
> 
> Viele Grüße, Lars Brinkmann
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>

More information about the TYPO3-german mailing list