[TYPO3-german] MD5 FE Password 0.4.0 (kb_md5fepw) Dependency Error

Manfred Mueller-Spaeth fms1961 at gmx.de
Sun Sep 6 01:00:03 CEST 2009 

Leider etwas OT ...

Am 05.09.2009 um 23:16 schrieb David Bruchmann:

> das stimmt so nicht ganz.

Doch. Sorry, IT-Sicherheit war die letzten 6 Jahre mein Broterwerb,  
ich kenne diese Diskussionen zu genüge. Dieser Thread ist allerdings  
nicht der richtige, um das tiefer zu diskutieren, daher nur ein paar  
kurze Kommentare.

> Da sich die Rechenleistung der Computer zunehmend steigert nimmt
> die Berechnungszeit auch stetig ab.

Korrekt.

> Passwort-Policy ist unter diesem Aspekt Augenwischerei.

Falsch. Natürlich muss die Policy sinnvoll aufgebaut und implementiert  
sein.

> Ich sehe außerdem keinen Grund veraltete Mechanismen zu installieren,
> wenn es Neuere und Bessere gibt.

Richtig. Wo aber sind diese? Die Salt-Service-Lösung im TER hat kein  
Challenge-Response-Verfahren o.ä. - da gehen die Passwörter in  
Klartext durch die Leitung. Das ist bei kommerziellen Systemen auch  
mit SSL ein absolutes No-Go. Selbst im internen Netz eines  
Unternehmens sollten PWs niemals im Klartext über die Leitung gehen,  
da bekommst Du bei jeder Prüfung mächtig eins auf den Deckel. Du  
kannst Dir einmal ansehen, wie komplex z.B. das  
Authentifizierungsverfahren bei IPsec ist, damit die diversen  
Schlüssel und IDs nicht abgehört werden können, und dann soll eine  
Salted-MD5-Lösung sicherer sein, bei der das PW lesbar über die  
Leitung rauscht? Wie gesagt, Schludereien und Man-in-the-Middle- 
Angriffe auf SSL-Installationen gibt es zu Hauf, sich da einfach drauf  
zu verlassen, ist je nach Anwendung recht fahrlässig. So nach dem  
Motto "Na gut, abhören kann man die Passwörter durchaus mit etwas  
Aufwand, dafür liegen Sie aber absolut unknackbar in der Datenbank!" ;-)

Da ist es besser, sein System an sich sehr gut abzusichern, dass ein  
unbefugter Zugriff nahezu ausgeschlossen werden kann, und man benutzt  
das alte Verfahren mit verschlüsselten Passwörtern so lange, bis die  
neuen auch wirklich so sicher wie möglich implementiert sind. Dann ist  
die "gesalzene Lösung" sicher der bessere Weg ...

Oder kennst Du eine "salted" Implementierung als TYPO3-Extension, die  
ohne SSL auskommt und direkt mit fe_login harmoniert? Evtl. habe ich  
ja etwas übersehen, das kann durchaus sein.

Gruß, Manfred

P.S.: Das nur zur Info, über das Thema weiter debattieren möchte ich  
hier nicht.

More information about the TYPO3-german mailing list