Mahlzeit,
wie wäre es eigentlich wenn VA mal auf eine HTTPS gesicherte Verbindung umsteigen würde? Zumindest ich würde mich dann beim Einloggen deutlich wohler fühlen.
Gehts noch jemandem so?
Viele Grüße!
Mahlzeit,
wie wäre es eigentlich wenn VA mal auf eine HTTPS gesicherte Verbindung umsteigen würde? Zumindest ich würde mich dann beim Einloggen deutlich wohler fühlen.
Gehts noch jemandem so?
Viele Grüße!
Mhh - wozu?
Was soll das bringen/nutzen?
Der Server müsste entsprechend konfiguriert werden und
eine (zusätzliche) Zertifizierung bedeutet mehr Aufwand.
Selbst über CAcert..
Generell dafür. Einloggen mit unverschlüsselten Daten ist nicht mehr schick. Der Account ist nicht das schlimme, aber die verifizierte Mailadresse dahinter.
Hosteurope will dafür aber 2,50 EUR/Monat.
Hah? Ich hoffe doch Mal sehr stark, daß das Forum das Passwort stark hashed überträgt, alles andere wäre ja heutzutage kompletter Wahnsinn. Bei klassischem htpasswd/htdigest isses halt nur MD5 (nutze ich für Lowsec), bei besserer Webauth so wie hier wird das Pwd doch wohl hoffentlich von einem JavaScript stark hashed und nur der Hash übertragen? Mei meinen Webforms mit PHP Backend nehme ich da aktuell SHA256.
Oder wollt ihr mir sagen, daß das Passwort bei VA allen ernstes Plaintext über die Leitung rinnt? Weil das wär ein wenig schockierend und fast ein bissl peinlich, immerhin ist dieses Board ein kommerzielles Produkt, da wird wohl wenigstens Passwordhashing Standardprogramm sein.
Den Content den ich sonst so zu VA schicke, najo, da kann ich unverschlüsseltes schon akzeptieren, aber niemals für das Passwort.
Ich wär dafür - aber wie schon geschrieben wurde, find ich auch nicht, dass es zwingend notwenig ist.
Auf meinem Webspace hab ich inzwischen überall ein "Lets Encrypt" SSL Zertifikat eingebaut. Kost' nix und sieht zumindest sicherer aus
HTTPS ist zur Identitätsverifikation (also als "Ausweis" des Anbieters) sicher für die Fisch', aber mein Passwort will ich schon verschlüsselt/hashed übertragen haben. Also würde ich jetzt wirklich gerne wissen, wie das genau in WBB implementiert ist.
Der Login bei VodooAlert funktioniert ohne Javascript, die Nutzerdaten werden wegen fehlendem HTTPS unverschlüsselt übertragen. Bei einer man-in-the-middle Attacke sind die Nutzerdaten im Klartext auslesbar.
Übrigens bringt Verschlüsselung beim Clienten per Javascript nur Pseudosicherheit, da der Angreifer den "Algorithmus" kennt und mit fertig gehashten Credentials attackiert. Hashen und Salten für die Datenbank muss der Server.
Unabhängig von VoodooAlert. Passwortmanager ist Pflicht und wer ohne im Netz unterwegs ist handelt fahrlässig: https://robertkrau.se/blog/the-2faexperience/
Im Wireshark seh ich mein pwd im plaintext vorbeischwirren.
[Blockierte Grafik: https://abload.de/img/va_pwd_pain86je5.png]
Edit: Da war jmd. schneller
Selbst halbwegs aktuelle Forensoftware hashed und salted wenigstens.
Problem ist hat der Client-Server.weg..
Und ganz ehrlich, für Foren und sonstige Anmeldungen nimmt man doch besser
nie ne eMailadresse, auf die man nicht verzichten, oder sie abändern könnte.
Replayattacken sind bei ordentlicher Implementierung wohl ausgeschlossen.
Aber daß hier echt alles plain über die Leitung rinnt (danke für die Wiresharkanalyse!) finde ich schlicht und ergreifend inakzeptabel!
Ich behaupte das Gegenteil Feinripp. Password manager sind pseudo sicherheit. https://team-sik.org/trent_portfolio/password-manager-apps/
Auf den Artikel bin ich heute auch schon gestoßen. Die Schwachstelle betraf ja die Android Apps - nicht die Systeme an sich.
Keepass mit Keyfile - sicherer gehts nicht. Ich bleibe bei meiner These: Wer sein Password auswendig kennt, der hat kein sicheres Passwort.
Aber mich interessiert auch, was dein Vorschlag für Passwort Management ist.
Ich nutze zu viele Dienste als das ich mir alle Passwörter merken kann. Welche Alternative gibt es neben einem aktiv gepflegten Passwortmanager?
Aber das driftet zu start in Richtung ITsec ab. Dafür haben wir schon einen Thread. Wenn ein Mod will darf er die Posts dahin lenken
Wer sein Password auswendig kennt, der hat kein sicheres Passwort.
Du kannst dir auch einfach zu merkende Passwörter oder besser Passphrasen bauen, die so sicher wie deine generierten Passwörter sind. Nur irgendwann nimmt die Zahl der Passphrasen/-wörter zu und man kann sich nicht alle merken.
Generierte Passwörter mit A-Z,a-z,0-9,Sonderzeichen,etc. sehen vielleicht sicher aus, weil man sie sich nicht merken kann, aber der Technik ist es egal, ob man sich etwas merken kann oder nicht. Wir Menschen ticken nur so.
Auf den Artikel bin ich heute auch schon gestoßen. Die Schwachstelle betraf ja die Android Apps - nicht die Systeme an sich.
Keepass mit Keyfile - sicherer gehts nicht. Ich bleibe bei meiner These: Wer sein Password auswendig kennt, der hat kein sicheres Passwort.Aber mich interessiert auch, was dein Vorschlag für Passwort Management ist.
Was labersch du?
Ich hab bestimmt über 100 Passwörter im Kopf - je komplizierter die sind, desto besser kann ich mir die merken
ZitatDu kannst dir auch einfach zu merkende Passwörter oder besser Passphrasen bauen, die so sicher wie deine generierten Passwörter sind. Nur irgendwann nimmt die Zahl der Passphrasen/-wörter zu und man kann sich nicht alle merken.
Generierte Passwörter mit A-Z,a-z,0-9,Sonderzeichen,etc. sehen vielleicht sicher aus, weil man sie sich nicht merken kann, aber der Technik ist es egal, ob man sich etwas merken kann oder nicht. Wir Menschen ticken nur so.
Zumindest Wörterbuchangriffe sind dann aber ausgeschlossen. Und je länger ein kryptische Passwort ist, desto unwahrscheinlicher ist Erfolg bei Brute-Force-Attacken.
@Tweaki: Na klar Rainman
Die Beiträge sollten echt in den entsprechenden Thread. Hier gibts noch Redebedarf.
Das wichtigste bei der Passwortsicherheit ist die Länge, danach kommt erst erhöhte Entropie. Und klar nimmt man keine Wörterbuchwörter, sondern Pseudowörter. Paar Sonderzeichen und Zahlen rein um das Alphabet aufzublasen, und fertig bist.
"Saitx37\poRRd?" ist nicht weniger sicher als "/*|27oT-%xNN~?". Gleich lang, das für den Angriff benutzbare Alphabet ist gleich groß mit [A-Z,a-z,0-9] und Symbols, die Entropie ist damit für Bruteforce Attacken funktional identisch, das Passwort gleich sicher. Beide sind zudem sicher gegen Dict Attacks. Einziger Unterschied: #1 kann ich mir merken, #2 im Leben nicht.
Ich habe auch zig Passwörter mit über 20 Zeichen auswendig im Kopf, mit verringerter Sicherheit hat das gar nichts zu tun. Bevor einer die Passwörter geknackt bekommt, wurde die Implementierung der Algorithmen schon 10 Mal aufgebrochen..
Klar verwende ich auch einen Password Safe... Weil's sonst einfach zuviel wird. Aber daß generierte Passwörter prinzipiell sicherer sind als vom Menschen ordentlich ausgedachte und merkbare ist eine falsche Aussage.
All diese Überlegungen sind aber für die Fisch', wenn mein Passwort so oder so plain über's Kabel rinnt.
Das wichtigste bei der Passwortsicherheit ist die Länge, danach kommt erst erhöhte Entropie. Und klar nimmt man keine Wörterbuchwörter, sondern Pseudowörter. Paar Sonderzeichen und Zahlen rein um das Alphabet aufzublasen, und fertig bist.
"Saitx37\poRRd?" ist nicht weniger sicher als "/*|27oT-%xNN~?". Gleich lang, das für den Angriff benutzbare Alphabet ist gleich groß mit [A-Z,a-z,0-9] und Symbols, die Entropie ist damit für Bruteforce Attacken funktional identisch, das Passwort gleich sicher. Beide sind zudem sicher gegen Dict Attacks. Einziger Unterschied: #1 kann ich mir merken, #2 im Leben nicht.
So schauts aus, Sicherheit = Passwortlänge x Alphabetumfang (Anzahl verschiedener! genutzter Zeichen).
Gerade im PC Bereich hat man ja extrem viele Möglichkeiten..
Passphrasen mit Sonderzeichen und gut, das genügt.
All diese Überlegungen sind aber für die Fisch', wenn mein Passwort so oder so plain über's Kabel rinnt.
Dacht bislang nur an das Forumszeug aber da hängt ja noch die PN Funktion und der Zusatzkram dran..
Da wäre mir SSL auch lieber; auch wenns nur TLS1.0 ist - besser als nichts
Zertifikate kann man kostenfrei unter https://www.cacert.org , einem freien Community Projekt (Australien) beantragen.
Wie gut die/das im Vergleich zu bezahlten Angeboten abschneidet weis ich noch nicht.
Vielleicht einfach mal die .htaccess modifizieren:
RewriteCond %{SERVER_PORT} !443
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
und schauen obs klappt. Es bleibt die Frage obs der Server schluckt, der so konfiguriert ist, oder mans "dazu buchen muss".
Was ich für ne Frechheit halten würde, sowas ist Standart! und gehört in ein Webpaket unter eigener Domain.
Grüße
Ich finde es ja leicht befremdlich, wenn das Zertifikat bei CAcert direkt einmal failed und es keinen redirect von http auf https gibt.
Wobei ich da ned ganz kapier wieso, is ja keine SHA-1 Signatur? TLS v1.2 Protokoll, RSA + AES256-GCM und SHA384 als Hashingalgo, alles State of the Art. Wieso sagt mein Browser, daß der Signaturalgo hat deaktiviert werden müssen? SHA384 is doch kein Problem?! Strange. Ich übersehe wohl was.
Najo wie auch immer, einen Weg wird's schon geben. Ansonsten spenden wir halt die Kohle zusammen für ein Zert für die nächsten 3-5 Jahre oder so, und die Sache is gegessen.
@Tweaki: Na klar Rainman
Glaub mir, mein Hirn arbeitet komisch
Kurze Sachen wie PINs und son Schmu hingegen kann ich mir irgendwie unheimlich schlecht merken.