• Mahlzeit,

    wie wäre es eigentlich wenn VA mal auf eine HTTPS gesicherte Verbindung umsteigen würde? Zumindest ich würde mich dann beim Einloggen deutlich wohler fühlen. ;)

    Gehts noch jemandem so? ;)

    Viele Grüße!

  • Generell dafür. Einloggen mit unverschlüsselten Daten ist nicht mehr schick. Der Account ist nicht das schlimme, aber die verifizierte Mailadresse dahinter.
    Hosteurope will dafür aber 2,50 EUR/Monat.

  • Hah? Ich hoffe doch Mal sehr stark, daß das Forum das Passwort stark hashed überträgt, alles andere wäre ja heutzutage kompletter Wahnsinn. Bei klassischem htpasswd/htdigest isses halt nur MD5 (nutze ich für Lowsec), bei besserer Webauth so wie hier wird das Pwd doch wohl hoffentlich von einem JavaScript stark hashed und nur der Hash übertragen? Mei meinen Webforms mit PHP Backend nehme ich da aktuell SHA256.

    Oder wollt ihr mir sagen, daß das Passwort bei VA allen ernstes Plaintext über die Leitung rinnt? Weil das wär ein wenig schockierend und fast ein bissl peinlich, immerhin ist dieses Board ein kommerzielles Produkt, da wird wohl wenigstens Passwordhashing Standardprogramm sein.

    Den Content den ich sonst so zu VA schicke, najo, da kann ich unverschlüsseltes schon akzeptieren, aber niemals für das Passwort.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Ich wär dafür - aber wie schon geschrieben wurde, find ich auch nicht, dass es zwingend notwenig ist.
    Auf meinem Webspace hab ich inzwischen überall ein "Lets Encrypt" SSL Zertifikat eingebaut. Kost' nix und sieht zumindest sicherer aus :spitze:

    Voodoo5-PC: Athlon XP 2600+, Gigabyte GA-7VRXP, Voodoo 5 5500 AGP, 1,5GB RAM

    Realität ist eine Illusion, die durch Alkoholmangel hervorgerufen wird.
    MainPC: AMD Ryzen 9 5950X, MSI MAG X570 TOMAHAWK, 32 GB DDR4 @ 3600 MHz CL18, Radeon RX6900XT, Kingston FURY RENEGADE NVMe, be quiet! Straight Power 11 750W ( Stand 30.03.22 )

    Laptop: MacBook Air M1 - 2020

  • HTTPS ist zur Identitätsverifikation (also als "Ausweis" des Anbieters) sicher für die Fisch', aber mein Passwort will ich schon verschlüsselt/hashed übertragen haben. Also würde ich jetzt wirklich gerne wissen, wie das genau in WBB implementiert ist.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Der Login bei VodooAlert funktioniert ohne Javascript, die Nutzerdaten werden wegen fehlendem HTTPS unverschlüsselt übertragen. Bei einer man-in-the-middle Attacke sind die Nutzerdaten im Klartext auslesbar.

    Übrigens bringt Verschlüsselung beim Clienten per Javascript nur Pseudosicherheit, da der Angreifer den "Algorithmus" kennt und mit fertig gehashten Credentials attackiert. Hashen und Salten für die Datenbank muss der Server.

    Unabhängig von VoodooAlert. Passwortmanager ist Pflicht und wer ohne im Netz unterwegs ist handelt fahrlässig: https://robertkrau.se/blog/the-2faexperience/

  • Selbst halbwegs aktuelle Forensoftware hashed und salted wenigstens.
    Problem ist hat der Client-Server.weg..
    Und ganz ehrlich, für Foren und sonstige Anmeldungen nimmt man doch besser
    nie ne eMailadresse, auf die man nicht verzichten, oder sie abändern könnte.

  • Replayattacken sind bei ordentlicher Implementierung wohl ausgeschlossen.

    Aber daß hier echt alles plain über die Leitung rinnt (danke für die Wiresharkanalyse!) finde ich schlicht und ergreifend inakzeptabel!

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Auf den Artikel bin ich heute auch schon gestoßen. Die Schwachstelle betraf ja die Android Apps - nicht die Systeme an sich.
    Keepass mit Keyfile - sicherer gehts nicht. Ich bleibe bei meiner These: Wer sein Password auswendig kennt, der hat kein sicheres Passwort.

    Aber mich interessiert auch, was dein Vorschlag für Passwort Management ist.

  • Ich nutze zu viele Dienste als das ich mir alle Passwörter merken kann. Welche Alternative gibt es neben einem aktiv gepflegten Passwortmanager?
    Aber das driftet zu start in Richtung ITsec ab. Dafür haben wir schon einen Thread. Wenn ein Mod will darf er die Posts dahin lenken ;)

    Wer sein Password auswendig kennt, der hat kein sicheres Passwort.

    Du kannst dir auch einfach zu merkende Passwörter oder besser Passphrasen bauen, die so sicher wie deine generierten Passwörter sind. Nur irgendwann nimmt die Zahl der Passphrasen/-wörter zu und man kann sich nicht alle merken.
    Generierte Passwörter mit A-Z,a-z,0-9,Sonderzeichen,etc. sehen vielleicht sicher aus, weil man sie sich nicht merken kann, aber der Technik ist es egal, ob man sich etwas merken kann oder nicht. Wir Menschen ticken nur so.

    2 Mal editiert, zuletzt von Chosen_One (2. März 2017 um 00:13)

  • Auf den Artikel bin ich heute auch schon gestoßen. Die Schwachstelle betraf ja die Android Apps - nicht die Systeme an sich.
    Keepass mit Keyfile - sicherer gehts nicht. Ich bleibe bei meiner These: Wer sein Password auswendig kennt, der hat kein sicheres Passwort.

    Aber mich interessiert auch, was dein Vorschlag für Passwort Management ist.

    Was labersch du? :D
    Ich hab bestimmt über 100 Passwörter im Kopf - je komplizierter die sind, desto besser kann ich mir die merken :D

  • Zitat

    Du kannst dir auch einfach zu merkende Passwörter oder besser Passphrasen bauen, die so sicher wie deine generierten Passwörter sind. Nur irgendwann nimmt die Zahl der Passphrasen/-wörter zu und man kann sich nicht alle merken.
    Generierte Passwörter mit A-Z,a-z,0-9,Sonderzeichen,etc. sehen vielleicht sicher aus, weil man sie sich nicht merken kann, aber der Technik ist es egal, ob man sich etwas merken kann oder nicht. Wir Menschen ticken nur so.

    Zumindest Wörterbuchangriffe sind dann aber ausgeschlossen. Und je länger ein kryptische Passwort ist, desto unwahrscheinlicher ist Erfolg bei Brute-Force-Attacken.

    @Tweaki: Na klar Rainman

    Die Beiträge sollten echt in den entsprechenden Thread. Hier gibts noch Redebedarf.

  • Das wichtigste bei der Passwortsicherheit ist die Länge, danach kommt erst erhöhte Entropie. Und klar nimmt man keine Wörterbuchwörter, sondern Pseudowörter. Paar Sonderzeichen und Zahlen rein um das Alphabet aufzublasen, und fertig bist.

    "Saitx37\poRRd?" ist nicht weniger sicher als "/*|27oT-%xNN~?". Gleich lang, das für den Angriff benutzbare Alphabet ist gleich groß mit [A-Z,a-z,0-9] und Symbols, die Entropie ist damit für Bruteforce Attacken funktional identisch, das Passwort gleich sicher. Beide sind zudem sicher gegen Dict Attacks. Einziger Unterschied: #1 kann ich mir merken, #2 im Leben nicht.

    Ich habe auch zig Passwörter mit über 20 Zeichen auswendig im Kopf, mit verringerter Sicherheit hat das gar nichts zu tun. Bevor einer die Passwörter geknackt bekommt, wurde die Implementierung der Algorithmen schon 10 Mal aufgebrochen..

    Klar verwende ich auch einen Password Safe... Weil's sonst einfach zuviel wird. Aber daß generierte Passwörter prinzipiell sicherer sind als vom Menschen ordentlich ausgedachte und merkbare ist eine falsche Aussage.

    All diese Überlegungen sind aber für die Fisch', wenn mein Passwort so oder so plain über's Kabel rinnt. :(

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Das wichtigste bei der Passwortsicherheit ist die Länge, danach kommt erst erhöhte Entropie. Und klar nimmt man keine Wörterbuchwörter, sondern Pseudowörter. Paar Sonderzeichen und Zahlen rein um das Alphabet aufzublasen, und fertig bist.

    "Saitx37\poRRd?" ist nicht weniger sicher als "/*|27oT-%xNN~?". Gleich lang, das für den Angriff benutzbare Alphabet ist gleich groß mit [A-Z,a-z,0-9] und Symbols, die Entropie ist damit für Bruteforce Attacken funktional identisch, das Passwort gleich sicher. Beide sind zudem sicher gegen Dict Attacks. Einziger Unterschied: #1 kann ich mir merken, #2 im Leben nicht.

    So schauts aus, Sicherheit = Passwortlänge x Alphabetumfang (Anzahl verschiedener! genutzter Zeichen).
    Gerade im PC Bereich hat man ja extrem viele Möglichkeiten..

    Passphrasen mit Sonderzeichen und gut, das genügt.

    All diese Überlegungen sind aber für die Fisch', wenn mein Passwort so oder so plain über's Kabel rinnt. :(

    Dacht bislang nur an das Forumszeug aber da hängt ja noch die PN Funktion und der Zusatzkram dran..
    Da wäre mir SSL auch lieber; auch wenns nur TLS1.0 ist - besser als nichts ;)

    Zertifikate kann man kostenfrei unter https://www.cacert.org , einem freien Community Projekt (Australien) beantragen.
    Wie gut die/das im Vergleich zu bezahlten Angeboten abschneidet weis ich noch nicht.

    Vielleicht einfach mal die .htaccess modifizieren:

    Apache Configuration
    RewriteCond %{SERVER_PORT} !443
    RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]


    und schauen obs klappt. Es bleibt die Frage obs der Server schluckt, der so konfiguriert ist, oder mans "dazu buchen muss".
    Was ich für ne Frechheit halten würde, sowas ist Standart! und gehört in ein Webpaket unter eigener Domain.

    Grüße

  • Wobei ich da ned ganz kapier wieso, is ja keine SHA-1 Signatur? TLS v1.2 Protokoll, RSA + AES256-GCM und SHA384 als Hashingalgo, alles State of the Art. Wieso sagt mein Browser, daß der Signaturalgo hat deaktiviert werden müssen? SHA384 is doch kein Problem?! Strange. Ich übersehe wohl was.

    Najo wie auch immer, einen Weg wird's schon geben. Ansonsten spenden wir halt die Kohle zusammen für ein Zert für die nächsten 3-5 Jahre oder so, und die Sache is gegessen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • @Tweaki: Na klar Rainman

    Glaub mir, mein Hirn arbeitet komisch :topmodel:

    Kurze Sachen wie PINs und son Schmu hingegen kann ich mir irgendwie unheimlich schlecht merken.