Frage:
Ist es sicher, wenn Sie nicht ganze Passwortbuchstaben nehmen?
Ahsan
2013-07-11 13:04:54 UTC
view on stackexchange narkive permalink

Ich habe eine Site gefunden, die Passwortbriefe von ihren Benutzern entgegennimmt, nicht das gesamte Passwort. screenshot

Ist das sicher? Oder haben sie das Passwort als Salted Hash (MD5) gespeichert?

Kein einziger Teil dieses Mechanismus ist sicher.
Dies könnte das dümmste Authentifizierungsschema sein, das ich je gesehen habe. Sie sollten diese Seite vermeiden.
Ist das das normale Anmeldeformular? Auch wenn es nicht so ist, gibt es keine Entschuldigung.
Irgendein Link zu der fraglichen Seite? Ich würde gerne sehen, wie genau ihr HTML / JavaScript aussieht, es warten wahrscheinlich mehr Unsicherheiten unter der "Haube".
@DaveChen Nein, es wird angezeigt, nachdem der Benutzername übernommen und dann auf diesen Bildschirm umgeleitet wurde
Normalerweise verwenden Websites wie die angezeigten mehrere Ebenen, z. B. eine Benutzer-ID, dann ein Kennwort, das Sie vollständig eingeben, und dann ein sekundäres Kennwort, das Sie teilweise eingeben. Dies ist sehr sicher, wenn es nur eine Ebene ist, dann ist es nicht sicher - aber sie könnten Wenn Sie etwas falsch machen, haben Sie zusätzliche Sicherheitsfragen, die es möglicherweise etwas sicherer machen als angezeigt. Kommt darauf an, was es wirklich schützt :)
Fühlen Sie sich frei, auch zu kommentieren, wo ich falsch liege ... @lynks
@PeeHaa Dies ist eine völlig vernünftige Praxis. Das * einzige * Problem hier ist, dass ein Schulter-Surfer die Passwortlänge erhält. Dies ist weltweit bei Bank-Webportalen üblich.
Nun ... wie es im Q dargestellt wurde. Der mögliche Angreifer würde die Länge des Passworts und die Position der zu "erratenden" Zeichen kennen (wenn es vorher nur ein Benutzername ist). Danke übrigens für den HSM-Link.
@PeeHaa gibt es wie immer einen Kompromiss. Jetzt müssen Sie nur noch eine Teilmenge des Passworts brutal erzwingen, aber in Wirklichkeit stellen Keylogger eine viel größere Bedrohung dar, der mit diesem Mechanismus entgegengewirkt werden soll.
Dies bedeutet, dass sie Passwörter im Klartext speichern.
Dies erinnerte mich an die folgende Herausforderung: https://projecteuler.net/problem=79
Dies ist natürlich nicht sicher. Die einzige logische Erklärung könnte sein, dass sie Ihr Passwort über HTTP anstelle von HTTPS erhalten, was andere Sicherheitsprobleme verursacht ...
Sieben antworten:
PeeHaa
2013-07-11 13:09:19 UTC
view on stackexchange narkive permalink

Das ist einfach schrecklich. Dies kann nur funktionieren, wenn Ihr Passwort verschlüsselt wird, anstatt es zu hashen. Oder noch schlimmer, speichern Sie es einfach als einfachen Text. Ich würde mich niemals für diesen Service anmelden. <update> Wie @lynks feststellte, trifft dies bei Verwendung von HMS wahrscheinlich nicht zu. Wenn jedoch vor diesem Schritt nur ein Benutzername abgefragt wird. Und das Passwort ist ein festes Passwort des Benutzers, der Rest meiner Antwort sollte noch stehen. < / update>

Auch die Tatsache, dass Sie nur 4 erraten müssen Zeichen (stattdessen ein ganzes Passwort) ist einfach nur dumm. Diese Blöcke können auch die Länge des Passworts angeben, was auch wirklich Mist ist (wenn dies tatsächlich der Fall ist).

Nicht nur das, sondern sie zeigen Ihnen auch, an welcher Stelle die Zeichen hinzugefügt werden sollen Noch dümmer, weil Sie jetzt die verwendeten Zeichen anhand der Verteilung der Zeichen in Wörtern / Sätzen besser erraten können.

Alles in allem ist das, was Sie dort haben, Mega-Mist und sollte nicht verwendet werden. .. je. Ich würde sogar sagen, dass die Person, die dies gelernt hat, eine gute Idee wäre, aufhören sollte, solche Dinge zu tun, und nach einem anderen Job suchen.

Tatsächlich ist es so schlimm, dass es mich nicht überraschen würde wenn die tatsächlichen Zeichen, die von diesen blauen Blöcken ausgeblendet werden, nur ausgeblendet und in der Quelle der Seite gespeichert werden ;-)

Als Randnotiz basierend auf dem letzten Absatz Ihrer Frage:

oder haben sie ein Passwort in Salted Hash (MD5) gespeichert?

MD5 sollte niemals zum Hashing von Passwörtern verwendet werden. Es ist waaaaay zu schnell für diesen Zweck.

"Charaktere, die von diesen blauen Blöcken versteckt werden" haben mich gerade umgebracht
Würden Sie glauben, dass es auf einer BANK-Website ist?
** Die meisten Banken in Großbritannien scheinen dies zu übernehmen ** - Ich frage mich, wer sie berät
Nein - die meisten Banken in Großbritannien benötigen ein ** vollständiges ** Passwort und fragen dann nach ausgewählten Zeichen aus einem geheimen Wort. Das ist anders und stellt eine * gute * Sicherheitspraxis dar.
@Polynomial nicht alle, NatWest fragt zum Beispiel die Zeichen x, y und z nach dem Passwort und die Ziffern n, m und o nach einem separaten Pin. Die Idee ist, zu verhindern, dass Key Logger den Pass erhalten, aber er ist aus mehreren Gründen völlig fehlgeschlagen. 1) Es sind nicht viele Protokolle erforderlich, um den größten Teil oder den gesamten Durchgang zusammenzusetzen. 2) Selbst wenn ein Black-Box-Hardwarespeicher verwendet wird, muss der Durchgang entweder verschlüsselt, im Klartext oder mit einzelnen Zeichen gehasht werden. Wie lange dauert es, einen Hash für alle Zeichen von 7-Bit-ANSI mit 2,75 Millionen sha1-Hashes pro Sekunde zu generieren?
Die Passwörter werden in einem HSM gespeichert, nicht in einem umkehrbaren Softwareformat. Unter [hier] (http://security.stackexchange.com/a/34688/9377) finden Sie eine Erklärung, warum Sie dies nicht allein in Software tun können.
@lynks, und Sie können 100% garantieren, dass es keine physische Möglichkeit gibt, sie zu extrahieren. Tatsächlich habe ich die Erfahrung gemacht, dass die Hersteller geheim halten, wie sie die Daten tatsächlich speichern. Der Sinn des Systems besteht jedoch darin, zu verhindern, dass der Keylogger das Abrufen des Kennworts trotzdem fehlschlägt. Es müssen lediglich mehrere Anmeldeversuche protokolliert werden.
Was ist los mit MD5-Hashing? Passwörter sollten in der Datenbank gehasht werden. Zum nächsten wichtigen Punkt, mit der heutigen Mobiltechnologie, möchten Sie wirklich, dass die Leute sehen, wie Sie den Pass eingeben, wenn Sie im Zug oder Bus sind? Es ist in Ordnung, die Kennwortlänge anzuzeigen (möglicherweise ist sie ohnehin nicht die richtige, was den Hacker verwirren würde). Sie sehen den Punkt der quadratischen Platzierungen nicht, sie können sich häufig ändern, was die rohe Gewalt schwieriger macht. Dies hängt von der Häufigkeit der Änderung und der Zufälligkeit der Änderung ab.
@ewanm89 Es gibt verschiedene Technologien, um das forensische Reverse Engineering sicherer Hardware zu verhindern, einschließlich der * Nullung * von Geheimnissen, wenn ein Manipulationsversuch erkannt wird. @BlackFire27 MD5 ist ein sicherer Hash-Algorithmus und wurde entwickelt, um schnell zu sein. Es hat keinen Platz als Passwortspeicherformat. Stattdessen sollte man sich für einen langsamen Mechanismus wie "bcrypt" oder "scrypt" entscheiden, wenn man sich Sorgen um GPU-Angriffe macht.
@lynks Sie haben jedoch immer noch nicht gezeigt, dass es besser als Krypto ist, Keylogging-Angriffe zu stoppen, was solche Systembanken so tun, als würden sie dies tun.
@ewanm89 Ich bin mir nicht sicher, ob ich dir folge. Weder "Crypto" noch HSMs "Stop Keylogging" bieten die Speicherung von kryptografischem Material. Dies ist in diesem Fall nützlich, da es die Entschlüsselung der Benutzerkennwörter innerhalb des HSM unter einem privaten Schlüssel ermöglicht, der niemals bekannt ist.
@lynks HSM ist ein Teil eines Gesamtsystems. Wenn ich nach einzelnen Zeichen frage, um das Keylogging zu beenden, und dann ein HSM verwenden muss, da dies die einzige möglicherweise sichere Methode ist, um das Passwort zu speichern, damit es immer noch in einzelne Teile zerlegt werden kann, habe ich im Allgemeinen nichts gegen HSMs. Ich bin dagegen, eines als einziges Mittel zur Verteidigung zu verwenden, um ein anderes Problem zu beheben, und das ursprüngliche Problem ohnehin nicht zu beheben.
@BlackFire27 MD5 ist zu schnell, um Passwörter sicher zu speichern. Brute-Force-Angriffe können und können einen großen Teil der durchgesickerten MD5-Passwörter in sehr kurzer Zeit zerstören.
@BlackFire27 Unter [Wie man Passwörter sicher hasht?] (Http://security.stackexchange.com/questions/211/how-to-securely-hash-passwords) wird ausführlich beschrieben, warum MD5 für das Hashing von Passwörtern unterlegen ist.
Rory McCune
2013-07-11 17:02:28 UTC
view on stackexchange narkive permalink

Wie andere bereits betont haben, müssen für die Verwendung eines Mechanismus "Zeichen x und y aus Ihrem Kennwort eingeben" die Kennwörter entweder im klaren oder in einem reversibel verschlüsselten Format auf dem Server gespeichert werden (es gibt die andere Option für das Hashing Jedes Zeichenpaar, aber das wäre eine blöde Idee.

Ob dieser Mechanismus die Gesamtsicherheit der Lösung verbessert oder verringert, hängt von der Häufigkeit und dem Schweregrad der Angriffe ab, gegen die jeder Ansatz gut funktioniert, sowie von Sicherheitskontrollen auf der serverseitigen Speicherung der Kennwörter vorhanden.

Es gibt wahrscheinlich mehr Instanzen von Keylogging-Software (dies ist beispielsweise bei Banking-Trojanern sehr häufig) als Fälle, in denen Kennwortdatenbanken gehackt werden Dies lässt das Konzept der Auswirkung außer Acht, bei dem eine Verletzung der Kennwortdatenbank viel schwerwiegender ist als eine einzelne Keylogging-Instanz eines Kunden.

Dies führt zu Kontrollen. Einige der Antworten und die dazugehörigen Kommentare haben auf HSM hingewiesen. Wenn diese Art von Szenario in einer britischen Bank verwendet wird, würde ich es für sehr wahrscheinlich halten, dass ein HSM verwendet und hoffentlich gut verwaltet wird.

Es ist bedauerlich, dass die Binsenweisheit der Sicherheit "nur Passwörter speichert" In Hash-Formaten ist die reversible Verschlüsselung schlecht. "Oft fehlt das Add-On." Sie können sie im reversiblen Format speichern, aber die Schlüsselverwaltung ist ein Problem.

Es ist möglich, dies sicher und tatsächlich am Geldautomaten zu tun Das Netzwerk in Großbritannien verwendete früher (und ich denke immer noch) symmetrische Verschlüsselung für alle Datenübertragungen, aber die Schlüsselverwaltung war umfangreich (zumindest in den Fällen, die ich mir angesehen habe) und beinhaltete Dinge wie die doppelte Kontrolle von Schlüsseln / p>

Die Antwort auf die Frage ist also, wie bei vielen Sicherheitsaspekten, dass es darauf ankommt. Es mag sicher sein, und in der Tat ist dieser Ansatz in einigen Szenarien besser, in denen das gesamte Passwort gehasht und abgefragt wird. Er hängt jedoch von einer Reihe von Faktoren ab, die ohne weitere Informationen nicht bewertet werden können.

Mars Robertson
2013-07-11 16:04:23 UTC
view on stackexchange narkive permalink

First Direct - verwendet diese Methode zum Anfordern eines Kennworts. In einigen anderen Fällen - Halifax, Lloyds - werden nach Vorlage der Passwortabfrage Briefe per Dropdown angefordert. Darüber hinaus werden 5 zufällige Ziffern angehängt.

Verifiziert von Visa - http://www.visaeurope.com/de/cardholders/verified_by_visa.aspx - verwendet dies ebenfalls Form der Bestätigung bei Online-Zahlung mit Karte.

Ich glaube, dies soll verhindern, dass Key-Logger das gesamte Passwort erhalten . Ich glaube, Banken und Visa haben ihre eigenen sehr strengen Richtlinien, die das gesamte System einigermaßen sicher machen.

(letztendlich sind es wir, die für all ihre Sicherheitsverletzungen bezahlen)

@ Hyps Kommentar ist richtig (meine Antwort wurde aktualisiert). Lloyds und Halifax haben nach dem Passwort Folgendes: enter image description here

Santander tut dies auch - ich vermute, die Banken können dies tun, damit sie mit Visa zusammenarbeiten können?
Ich bin mir über den Rest nicht sicher, aber ich weiß, dass Lloyds zuerst das vollständige Passwort und dann einige Zeichen von der "PIN" benötigt. Es ist absolut anders als bei einem einstufigen Prozess.
Manishearth
2013-07-11 16:25:11 UTC
view on stackexchange narkive permalink

Ist das sicher?

Nein, das ist nicht sicher. Dies ist viel leichter brutal erzwungen als das vollständige Passwort. Beachten Sie jedoch, dass es normalerweise IP-Blöcke beim Brute-Forcing gibt. Daher ist dies normalerweise nicht der beste Weg, um auf das Konto einer anderen Person zuzugreifen.

Dies ist vorhanden, um Keylogging zu verhindern, was in Wirklichkeit a ist viel größere Bedrohung als brutales Erzwingen . Es ist eine ähnliche Situation:

Actual actual reality: nobody cares about his secrets. (Also, I would be hard-pressed to find that wrench for $5.)

Selbst das brutale Erzwingen einer 4-stelligen Teilmenge eines Passworts ist schwierig (ich gehe davon aus, dass sie gemischt werden Wenn die Felder aktualisiert werden, erhöht dies die Komplexität. Es gibt immer noch mindestens 26 ^ 4 Passwörter, die ausprobiert werden können (und mit einem CAPTCHA und allem könnte es schwierig sein). Angesichts der Tatsache, dass die Gesamtlänge offen gelegt wird, können Wörterbuchangriffe natürlich lebensfähig werden. Es gibt jedoch noch viele Sätze zu versuchen, und wir gehen davon aus, dass die IP in dieser Zeit nicht blockiert wird. Ein weiterer Angriff, der auf diesem System ausgeführt werden könnte, besteht darin, das eingegebene 4-Schlüssel-Kennwort-Snippet zu protokollieren und die Seite dann so lange zu aktualisieren, bis dieselbe Box-Reihenfolge eingeht. Oder sie können das Passwort-Snippet einfach mit einem Wörterbuch abgleichen. Sie erhalten eine sehr kleine Anzahl von Wörtern.

Das schwerwiegendere Problem hierbei ist, dass sie Passwörter im Klartext speichern. Es wäre nicht zu schwierig für einen Sysad oder jemanden mit schreibgeschütztem Datenbankzugriff (es sollten genügend solche Personen vorhanden sein), das Passwort zu extrahieren und damit etwas zu erstellen, das wie eine legitime Online-Übertragung aussieht. Ein sicheres System würde die Passwörter (SHA-256 oder SHA-512 ist gut 1 sup>, verwenden Sie kein MD5) mit einem Salt hashen und die Klartexte sofort vergessen. Sie sollten die Hashes beim Erhalt eines Passworts vergleichen. In diesem Fall können Sie mit dem Passwortformular natürlich keine Gymnastik machen.

Es gibt viel vernünftigere Möglichkeiten, Keylogger zu verhindern. Viele Banken implementieren eine "virtuelle Tastatur" mit zufällig verteilten Tasten. Letztendlich kann dies auch "protokolliert" werden (etwas, das einer Bildschirmabdeckung ähnelt, kann durchgeführt werden), jedoch sind Text-Keylogger hier ziemlich hilflos, da der Benutzer nicht tippt. (Normalerweise wird die Option zum Eingeben angegeben, aber der Benutzer kann die virtuelle Tastatur verwenden, wenn er sein Kennwort in einem Cybercafé oder einem anderen öffentlichen Computer eingeben möchte.) Wie in den Kommentaren erwähnt, ist dies aus vielen Gründen keine gute Zeitinvestition. Verwenden Sie stattdessen die 2-Faktor-Authentifizierung:

Die 2-Faktor-Authentifizierung ist wahrscheinlich eine der sichersten Methoden, um an Keyloggern vorbeizukommen. Diese zeitbasierten Schlüsselanhänger oder der "Bestätigungscode wurde Ihnen per SMS gesendet" wären sehr effektiv, da das Passwort ohne das zugehörige Gerät nahezu wertlos ist (nützlich für die Kontowiederherstellung).

1. Eine bessere Idee wäre, ein HSM mit RSA zu verwenden und die Passwörter zu verschlüsseln. Oder verwenden Sie bcrypt oder einen ähnlichen langsamen Algorithmus. Sup>

SHA-256 und SHA512 sind nicht besser als MD5, und es ist unwahrscheinlich, dass solche Systeme ohne HSM implementiert werden. Wenn ihnen die Sicherheit wichtig genug ist, um so etwas zu implementieren, haben sie wahrscheinlich nachgeforscht, wie das geht (wir hoffen).
@lynks Hatte nicht an HSMs gedacht. Guter Punkt. Warum ist SHA "nicht besser als" MD5? Sicher, es ist nicht kinderleicht, aber es ist auch kein MD5.
@lynks Ich sehe auch nicht, wie dies verbessert werden könnte, ohne den Klartext abrufen zu können.
Die SHA-Familie ist also darauf ausgelegt, schnell zu sein. Sie eignen sich aus diesem Grund hervorragend zum Indizieren und Nachschlagen. Das Passwort-Hashing muss * langsam * sein, wie die maximale CPU-Auslastung für 3 Sekunden. Dies macht Brute-Forcing unerschwinglich teuer, selbst wenn der Angreifer Zugriff auf eine vollständige Datenbank mit Hashes hat. Passwort-Hashing sollte mit etwas wie "bcrypt", "PBKDF2" oder "scrypt" durchgeführt werden.
Ein HSM kann einen privaten Schlüssel speichern, intern Entschlüsselungen durchführen und sogar beliebige Berechnungen durchführen. Alles ohne jemals den privaten Schlüssel oder den Klartext preiszugeben. Die Datenbank speichert die Passwörter, die unter einem öffentlichen Schlüssel verschlüsselt sind. Um ein Passwort zu überprüfen, geben Sie die verschlüsselte Version und die Buchstaben an das HSM weiter und es gibt ein Ja oder ein Nein zurück. Dieser Prozess kann auch langsam gemacht werden. Der Punkt ist, niemand kennt jemals das Klartext-Passwort - niemand kennt jemals den privaten Schlüssel!
Eine Bank mit einem vernünftigen Sicherheitsansatz wird keine billigen Tricks wie den vom OP beschriebenen oder sogar Ihre virtuelle Tastatur verwenden (was mir eine spektakulär schlechte Investition von Zeit und Geld erscheint). Sie verwenden ein geeignetes 2-Faktor-Authentifizierungssystem, einschließlich einer Challenge-Response-Komponente, um Wiederholungsangriffe abzuschwächen.
@stephane guter Punkt, das werde ich hinzufügen.
@lynks Ich weiß, was ein HSM ist. Ich verstehe, Sie überprüfen einzeln den Hash jedes Buchstabens. Ist das Speichern einzelner Buchstaben-Hashes nicht genauso schlecht?
Bei zweiten Überlegungen könnten Sie für jeden Benutzer ein zufällig generiertes Salz haben und damit seine Buchstaben salzen. Das könnte funktionieren.
@Stephane Warum sollte eine virtuelle Tastatur eine schlechte Investition in Zeit und Geld sein? Sie sind einfach zu erstellen und nicht so einfach zu protokollieren. Ich bin damit einverstanden, dass 2factor auth besser ist,
@lynks oh, nicht zu leugnen, dass bcrypt besser ist. Ich war verwirrt, als Sie erwähnten, dass es genauso schlimm war wie md5.
@Manishearth Viele Gründe: Erstens sind sie nicht so billig zu implementieren, und Sie müssen die Kosten für den Benutzer hinzufügen (Zeitverlust bei der Verwendung). Zweitens sind sie trivial leicht zu brechen. Drittens verringern sie das falsche Problem: Sobald der Client kompromittiert wurde, hilft Ihnen kein im Client integrierter Sicherheitsmechanismus. Viertens bieten sie nach dem Diebstahl Ihres Passworts überhaupt keinen Schutz mehr. Fünftens erschweren sie dem Benutzer die Verwendung einer angemessenen Kennwortverwaltungstechnik und fördern tatsächlich die Verwendung schwacher Kennwörter. Ich werde dort aufhören, aber das ist nur ein Anfang.
@stephane Ich verstehe, was du jetzt meinst ...
Eines jedoch: Nach meiner Erfahrung dauert 2factor (SMS- oder Fob-basiert) genauso lange wie eine virtuelle Tastatur für den Benutzer. Ymmv
@Manishearth Das ist richtig, aber zumindest fügen sie dem Setup wirklich Sicherheit hinzu: Das ist Zeit, die gut investiert ist.
BlackFire27
2013-07-11 15:51:53 UTC
view on stackexchange narkive permalink

Es gibt eine solche Art der Kennworterstellung / -verschlüsselung, die als Verdeckungsverschlüsselung bezeichnet wird. Dann haben Sie eine Nachricht in einer Nachricht. Aber das ist es nicht. Ich denke, es soll in Bezug auf die Privatsphäre sicher sein, also schaut niemand hinter Ihre Schulter oder es gibt keinen Bot, der versucht, das Passwort brutal zu erzwingen. Weil sich die Stellen der Buchstaben des Passworts immer ändern würden. Benötigen Sie ein vollständigeres Bild darüber, wie einfach es ist, dieses Passwort brutal zu erzwingen.

Ändert sich die Herausforderung, die Platzierung der Buchstaben häufig, wie zufällig ändert sich die Herausforderung?

Ändert sich Für den Passwortmechanismus benötigen Sie ein sicheres Passwort. mit alphanumerischen / nicht alphanumerischen Buchstaben, die lang genug sind und kein Wort aus dem Wörterbuch enthalten?

Ermöglicht der Kennwortmechanismus maximale Versuche?

Das ist meiner Meinung nach ein guter Weg, um sicherer zu sein, denn wenn es mit seinen Herausforderungen zufällig genug ist und eine minimale Anzahl von Versuchen pro Zeit zulässt, sollte es als sicherer Vergleich angesehen werden zum regulären Passwortfeld, das wir heute auf allen anderen Websites sehen!

hakre
2013-07-11 13:23:08 UTC
view on stackexchange narkive permalink

Ist das sicher?

Wahrscheinlich nicht. Oder besser gesagt: Höchstwahrscheinlich nicht. Es scheint, dass einige Leute diesmal in die Stadt gegangen sind, um es sehr sicher (tm) zu machen. Und wie so oft, wenn Sie Ihren eigenen Shop alleine ausführen: Sie scheitern.

Oder haben sie das Kennwort in Salted Hash (MD5) gespeichert?

Nun, ich kann nicht in ihren Code sehen, aber aufgrund der "Klugheit" (Ironie beabsichtigt), die sie mit ihrer Benutzeroberfläche zeigen, haben sie höchstwahrscheinlich einen MD5-Hash für jedes einzelne Zeichen des Passworts erstellt. Ja, guter Witz am Morgen, oder?

Aber was mich mehr verwirrt, ist, dass Sie sich hier wirklich Sorgen um Sicherheit machen. Schauen Sie sich diese Benutzeroberfläche an. Ist es für einen Benutzer nicht völlig umständlich, damit umzugehen? Richtig? Überlegen Sie also jetzt zweimal: Ich muss sagen, welchen Geisteszustand diese Leute haben müssen, um a) dies vorzuschlagen und b) die gesamte Verarbeitung bis zur Produktion zu durchlaufen. Seien Sie versichert, dass die Sicherheit bei so großen Mängeln Ihrer Benutzeroberfläche höchstwahrscheinlich auch ein Witz ist.

Okay, was ist hier falsch? Der Vorteil des Erstellers dieses Formulars besteht darin, dass niemals das gesamte Passwort über die Leitung übertragen wird. Stattdessen wird nur ein Teil des Passworts übertragen. Wenn ein Angreifer die Übertragung des Kennworts belauscht, kann der Angreifer nicht das gesamte Kennwort auf einmal abrufen, sondern muss viele Anmeldungen mit demselben Kennwort sammeln, um dann das gesamte Kennwort zu erstellen.

Die Das Problem dabei ist, dass es nicht die richtige Methode ist, um sich vor Abhören zu schützen. Stattdessen sollte eine sichere Verbindung verwendet werden.

Wenn die Bank dies jetzt eingeführt hat, weil sie der Meinung ist, dass ihre Verbindung nicht mehr sicher ist, müssen sie die Anmeldung schließen, bis sie dies behoben haben. P. >

Außerdem zeigt es ein sehr häufiges Missverständnis in Bezug auf Sicherheit. Es muss brauchbar sein, sonst schießen Sie in Ihren Fuß. Hier werden Kunden dieser Bank darin geschult, Passwörter zu verwenden, die sie laut vorlesen können, damit sie sagen können, welcher Buchstabe sich an welcher Position befindet.

Nehmen Sie die Länge dieses Passworts und wissen Sie ein wenig über den Benutzer, während Sie ein haben Ein gutes Wörterbuch sollte es wirklich einfach machen, die 4 angeforderten Buchstaben zu erraten, da die Länge des Passworts einem Angreifer bereits kostenlos zur Verfügung gestellt wurde.

Daneben muss ein Benutzername vorhanden sein, damit dieses Muster funktioniert wurde bereits bereitgestellt, bevor das Passwortformular angezeigt werden kann. Dies bedeutet, dass ein solches System leicht genutzt werden kann, um zuerst Benutzernamen zu testen.

Wenden Sie sich an die Behörden, die für die Regulierung dieses Bankhauses verantwortlich sind. Sie haben guten Grund zu der Annahme, dass diese Bank leichtfertig damit umgeht Kundendaten und Geld bei elektronischen Transaktionen über das Internet?

FumbleFingers
2013-07-11 18:41:35 UTC
view on stackexchange narkive permalink

Ich verstehe nicht, warum es von Natur aus eine schlechte Praxis ist, nur bestimmte Buchstaben von einem Passwort zu verlangen.

Sicher, wenn ein Hacker nur 3 der 10 Buchstaben in Ihrem Passwort kennen muss, ein "Brute" Force "-Ansatz hat mehr Erfolgschancen. Dies kann jedoch ein geringer Preis für andere Leistungen sein.

Soweit ich weiß, tun dies alle britischen Telefonbankensysteme. Und es scheint mir ziemlich offensichtlich, dass das Telefonpersonal der Bank nie das gesamte Passwort sieht. Ich würde vermuten, dass der Server, auf dem sich dieses Kennwort befindet, sicherer eingerichtet werden kann, da er niemals das gesamte Kennwort an jeden weitergeben muss.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...