ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Fehler mit verschlüsselten Passwörtern

Geschlossen
  1. #1
    User Pic
    MonkeyOnKeyboard Moderator
    Registriert seit
    10.02.2014
    Beiträge
    462
    Beitragswertungen
    23 Beitragspunkte
    Hallöchen, ich hab ein Problem.

    Auf meiner Seite haben User ein min. 128Bit Verschlüsseltes Passwort mit angeben und er kam nicht rein. Dass Passwort wird nicht genommen und es tauchen Probleme in der Datenbank auf.

    Frage wie kann ich das machen, dass die Verschlüsselung auf MD5 zu haben.
    Und das ein max 256 Bit verschlüsselung annimmt.

    Also das Passwort würde vorher schon verschlüsselt und wird als Zeichenfolge angegeben...

    Aber er kann sich nicht anmelden.


    verwendete ilch Version: 1.1 P

    betroffene Homepage: www.disruptive-wolfpack.eu
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    Rock@wulf Hall Of Fame
    Registriert seit
    03.06.2004
    Beiträge
    3.282
    Beitragswertungen
    239 Beitragspunkte
    ?

    Was willst du?

    Erstmal ist seit P kein MD5 mehr, zumindest wenn ein anderer Hashalgoritmus wie Blowfish zur Verfügung steht.

    Wie mann allerdings verschlüsselte Passwörter angeben will ist mir schleierhaft ...???

    Du kannst gern die anzahl der erlaubten Zeichen in der Datenbank erhöhen dann könnte man hier 1024 lange Zeichenketten angeben aber wo zu?

    Da würd ich doch lieber mal über nen OTP Systemnachdenken
    Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
    MFG Rock@wulf
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    MonkeyOnKeyboard Moderator
    Registriert seit
    10.02.2014
    Beiträge
    462
    Beitragswertungen
    23 Beitragspunkte
    Also wir haben in unserem Clan jemand der lässt sich seine Passwörter schon auf min. 128 Bin verschlüsseln und knallt dann das was rauskommt also die Zeichenfolge als sein Passwort rein. Dann kann er sich damit aber nicht mehr anmelden.

    Beispiel für das Passwort:
    c8b60df6a20e0b2a4c631137e39d428df5c1413655afbd43104b965d1f493def

    Was meinst du mit OTP-System
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    Rock@wulf Hall Of Fame
    Registriert seit
    03.06.2004
    Beiträge
    3.282
    Beitragswertungen
    239 Beitragspunkte
    Also OTP ist ein One Time Password

    wie es zum beispiel von Blizzard mit dem Authenticator oder der Bank mit einer eTan verwendet wird.

    Bestell mal deinem Member er soll sich benehmen wie ein Normaler Mensch und das Passwort eben unverschlüsselt eingeben...

    Ist in meinen Augen völlig übertrieben weil rein theoretisch das ganze dann noch mal gesaltet und gehashed wird da is mir dann auch klar warum es nicht geht... da müsste man wieder den ganzen Loginbereich inclusiv der Templates anpassen das das funktioniert.......... omg ne wenn er sein 128 (Bit) Passwort nutzen will kann er dir ja auch den Aufwand bezahlen den das umändern kostet.

    Nach aktuellem stand was auch das BSI vertritt reicht eine Buchstaben und Zahlen kombi mit einem oder mehr Sonderzeichen mit einer länge von 12-14 Zeichen aus um ein als derzeit sicher geltendes Passwort zu haben.

    externer Link

    Gruß
    Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
    MFG Rock@wulf
    1 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    387 Beitragspunkte
    Das Problem ist aber ein ganz simples zunge

    Beim input Feld im HTML des Passwortes ist eine maximale Länge von 20 angegeben, diese "einfach" entfernen und er sollte sich anmelden können.
    (Loginbox und ?user-login)


    Zuletzt modifiziert von Mairu am 10.03.2014 - 07:28:35
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    MonkeyOnKeyboard Moderator
    Registriert seit
    10.02.2014
    Beiträge
    462
    Beitragswertungen
    23 Beitragspunkte
    @Rock@wulf,
    ich bin da deiner Meinung, ich hab jetzt die Datenbank aufgebläht auf 1024 Zeichen, nun geht es.

    @Mairu: Werd ich mal abändern.

    Edit: hab jetzt in jeder Template datei die max passwortlänge auf 256 gesetzt. Auch in profil_edit.htm

    Hab rausbekommen, dass sein Passwort auf max 20 Zeichen reduziert wurde ;-) Ubs :-)

    Weil meines erachtens heißt maxlength, dass nur soviel Zeichen auch angenommen werden. oder irre ich mich da.

    Danke euch wirklich sehr


    Zuletzt modifiziert von magicmarkus am 10.03.2014 - 08:35:22
    0 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    387 Beitragspunkte
    Der Hash kann maximal 123 Zeichen lang sein, ich habs ja mit deinem Bsp Passwort versucht, das ergibt bei mir z.B. den Hash $5$rounds=3535$SBwBDgTrzJBGBiTs$NeVVDE0ZcXToRDPfC1F.dqIrPl2lkMIUvZrLOgEsqB.

    Das sind 75 Zeichen, die Länge hängt dann eher am Hash Algorithmus denn an der Länge des Passwortes.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    Meiner bescheiden Meinung nach ist es eh unsinn, da es nur bedingt mehr Sicherheit bringt (bzw. man glaubt das es sicher ist). Man muss halt nur den Angriff verlagern, und selbst das ist sicherlich kaum nötig da irgendein User sicherlich ein unsicheres oder zumindest schwaches PW benutzt. (Da es bisher ja keine Passwortcheck / Kennwortrichtlinien gibt)

    Die einzige Sicherheit die dir so ein PW bringt, ist sicherheit beim hash-vergleich (Rainbow Table), wobei ilch da durch die Runden schon mehr sicherheit mit bringt, als Varainten nur mit MD5 oder SHA.

    Im zweifel bleibt immer noch die Brute-Force Variante, die zumindest bei einfachen Passwörtern, sehr gute erfolge hat. Und welche PW häufig und somit gerne benutzt werden.... hat man ja z.b. bei Adobe / Sony und und und gesehen. 2/3 aller Passwörter dieser Seiten konnten ohne Probleme per Rainbow Table entschlüsselt werden. und nur 4% des letzten drittels hatte ein PW aus Buchstaben (groß / klein) und Ziffern.... was ja mal eine Ansage ist.



    Weitere Probleme bei langen Passwörtern:
    Bei langen PW neigen Benutzter auch dazu diese im Browser zu speichern oder sich per Cookie identifizieren zu lassen, was dann ebenfalls wieder unsicher ist. Da man so ggf. die Session übernehmen könnte oder einfach das PW aus dem Browser klauen könnte.

    Wer so auf sicherheit setzt, muss halt auch auf seinem PC für diesen Faktor sorgen.... und da happert es bekanntlich recht häufig.

    Du musst alleine nur FileZilla als FTP Programm benutzen (FZ ist hier nur als beispiel genannt, andere können sicherlich auch betroffen sein) oder eine unverschlüsselte FTP Verbindung benutzen (siehe Beitrag von Mairu externer Link


    Auch bingt es beim einfachen "Man in the middle" Angriff rein garnichts, da das PW im Klartest übertragen wird, solange keine https verbidnung benutzt wird... einzig der Aufwand wird größer und verlagert sich auf andere Bereiche.

    Fazit: Toller versuch für etwas pseudo Sicherheit, die dank deiner Benutzer, anderen Kunden auf dem Server oder unsicheren PHP Skripten eh wieder zu nichte gemacht wird.

    Sicherheit ist halt relativ, alleine ein Passwort mit z.b. xxx Tbit bringt dir rein garnichts, wer wirklich will hat noch genug angere möglichkeiten sich seinen weg zu suchen.

    Ob sich der aufwand (für einen User) also gelohnt hat steht in den Sternen lachen

    ____________________________________________________




    Puhh etwas lang geworden, liest sicherlich eh niemand lachen

    Zuletzt modifiziert von Revolution am 10.03.2014 - 15:54:39
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    CeeJay Hall Of Fame
    Registriert seit
    23.03.2007
    Beiträge
    2.425
    Beitragswertungen
    18 Beitragspunkte
    ... das ist ne Clanpage...

    ich kauf mir auch keinen BMW M5 ohne Motor, nur um den zum nächsten Bäcker zu schieben...
    Nichts ist so sicher, wie die Änderung.
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    das war ja meine meinung dazu... wozu dieser Stress .... und bringen tut es ja auch nichts ... lachen

    Warum die PW länge so extrem vergrößern, wenn der Gewinn der möglichen sicherheit durch ein unsicheres PW zu nichte gemacht wird und das bei einer Clan Seite.... mir ging es nur um das Prinzip, zu zeigen das ein PW mit 32 Zeichen nicht automatsich super sicher ist, sondern das ein PW mit 25 Zeichen (Az 09 #üöa]³... ) bereits die anforderungen des 32er übertrifft (Statistisch).

    Und warum ein PW was sich kein Mensch mehr merken kann, ob es jetzt Undezillionen, Nonilliarden oder Oktilliarden Jahre sind; einen unterschied macht es sicherlich kaum für otto normalo... grade im Web bei einem Webhoster wo sich Kunden einen Server teilen und man selbst keinen Zugriff auf die Infrastruktur hat lachen




    Genug getrollt lachen


    Zuletzt modifiziert von Revolution am 10.03.2014 - 16:43:23
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    1 Mitglieder finden den Beitrag gut.
  11. #11
    User Pic
    MonkeyOnKeyboard Moderator
    Registriert seit
    10.02.2014
    Beiträge
    462
    Beitragswertungen
    23 Beitragspunkte
    es war ja nur ne frage... weil er darauf bestand sein langes passwort zu nehmen, was durch max length doch eh wieder gekürzt wurde....

    nuja ich danke aber euch für eure beiträge und so.

    PS: @Revolution ich hab dein langen text gelesen und stimem dir da voll zu


    Zuletzt modifiziert von magicmarkus am 10.03.2014 - 18:08:59
    0 Mitglieder finden den Beitrag gut.
  12. #12
    User Pic
    Rock@wulf Hall Of Fame
    Registriert seit
    03.06.2004
    Beiträge
    3.282
    Beitragswertungen
    239 Beitragspunkte
    ZitatZitat geschrieben von magicmarkus
    weil er darauf bestand


    Achso, und nur weil er drauf besteht springst du, nunja ich würde Erfahrungsgemäß sagen

    "Bleib wo der Pfeffer wächst"

    Aber ich hab auch Zwölf Jahre gebraucht bis ich meinen Clan dicht gemacht hab weil jedes Spiel seine eigene Plattform mitbringt und keiner mehr online ist. Mir is da mittlerweile meine Zeit zu schade für um solchen Leuten alles vorn arsch zu machen ....
    Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
    MFG Rock@wulf
    0 Mitglieder finden den Beitrag gut.
  13. #13
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    Da kann ich dir nur zustimmen, ist ja heute ein "Must Have" und wenn man einen Clan aufbauen will muss man dazu nochmal in die Tasche greifen (siehe Pläne für BF)

    Zu Anfang macht man so eine Clanseite ja noch zum Spaß und steckt viel freizeit und Geld rein.... und dann passiert früher oder später eh immer der gleiche ablauf... entweder die user oder admin haben keine Zeit mehr oder erstere wissen die Zeit des Admins nicht zu schätzen (weil diese keine 0815 Seite möchte ! ) oder diese möchten keine Aufgaben übernehmen.... und am Ende es verläuft ins leere.

    Schade eigentlich .... in den vergangen Jahren hier bei ilch hat man das Spiel ja oft genug erlebt....


    Zuletzt modifiziert von Revolution am 10.03.2014 - 19:39:15
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  14. #14
    User Pic
    CeeJay Hall Of Fame
    Registriert seit
    23.03.2007
    Beiträge
    2.425
    Beitragswertungen
    18 Beitragspunkte
    ZitatZitat geschrieben von Revolution
    Da kann ich dir nur zustimmen, ist ja heute ein "Must Have" und wenn man einen Clan aufbauen will muss man dazu nochmal in die Tasche greifen (siehe Pläne für BF)

    Zu Anfang macht man so eine Clanseite ja noch zum Spaß und steckt viel freizeit und Geld rein.... und dann passiert früher oder später eh immer der gleiche ablauf... entweder die user oder admin haben keine Zeit mehr oder erstere wissen die Zeit des Admins nicht zu schätzen (weil diese keine 0815 Seite möchte ! ) oder diese möchten keine Aufgaben übernehmen.... und am Ende es verläuft ins leere.

    Schade eigentlich .... in den vergangen Jahren hier bei ilch hat man das Spiel ja oft genug erlebt....


    Zuletzt modifiziert von Revolution am 10.03.2014 - 19:39:15


    Dann muss man sich halt die richtigen Leute suchen lächeln

    Bevor ich einen Clan gründe, schau ich dann doch mal bei der ESL oder so vorbei und guck dann, wer z.B. lange dabei ist - mit den Leuten kann man dann rechnen (erfahrungsgemäß).
    Nichts ist so sicher, wie die Änderung.
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten