[Berlin-wireless] Passwörter verwalten für Windows und Mac-User
Harald Stürzebecher
haralds at metafly.info
Mi Aug 3 20:57:18 CEST 2016
Am 03.08.2016 4:57 nachm. schrieb "Smilie" <smilie at posteo.de>:
>
> Ich behaupte aller Wahrscheinlichkeit nach zu Unrecht, wer ein Linux
> bedienen kann, weiß wie Passwörter verwaltet werden.
> Dass ich hier falsch liege, kann immer noch sehr
> wahrscheinlich, aber die Diskussion lohnt sich vielleicht.
>
> Der Sinn und Zweck für solch einen MD5, oder welchen billigen
> Crypto-Script wir auch immer zu Hilfe nehmen, ist der folgende...
>
> * Passwörter werden niemals im Klartext gespeichert. Auf welchem
> Computer auch immer.
> * Passwörter werden auch nicht in einer verschlüsselten Form
> gespeichert. Nur bei Einwegverscrampelung!
Es spricht sich langsam herum, das bei Webdiensten eine Funktion, die dem
Nutzer sein vergessenes Passwort per Email zuschickt, zwar praktisch ist,
aber "Nebenwirkungen" hat. ;-)
> Sollte mein Passwort irgend einmal bei Simyo, Amazon, Telekom,
> Freifunk, oder bei der deutschen Bank im Klartext oder in einer
> entschlüsselbaren knackbaren verschlüsselten Form abhanden kommen, habe
> ich gute Karten diese Leute zu verklagen.
Verklagen schon, aber gewinnen?
Bei einer GPL-Software wie der Freifunk-Firmware sind die Erfolgschancen
vermutlich eher gering.
Außerdem fehlt für einen erfolgreichen Angriff auf die "wichtigen"
Webseiten noch der jeweilige Benutzername. Bei meinen Routern ist das
meistens root oder ubnt, bei Amazon oder der Bank vermutlich nicht. Die
Kontaktdaten könnten vielleicht zur Identifizierung herangezogen werden,
sollten also auch nicht an wichtiger Stelle verwendet werden. Danke, dass
Du mich darauf gebracht hast.
> Ich kann bei Frust über Fahrlässigkeit ohne weitere Anstrengungen
> behaupten, dass das Passwort dummerweise auch an einer anderen
> Stelle gepasst hat. Und dann ist richtig Schaden entstanden.
Ein Schaden ist genau dann entstanden, wenn Du ihn nachweisen kannst. ;-)
Die Zeit, die Du brauchst, um bei zwanzig Diensten "Dein" Passwort zu
ändern, ersetzt Dir niemand. Also lieber gleich unterschiedliche Passwörter
verwenden.
Ein entsprechender Hinweis gehört IMHO direkt neben das Passwort-Feld der
Freifunk-Config und in die FAQ.
> Das soll heißen...
>
> MD5, ein SHA-Hash oder die Stinkstiefelformel, welche man bekannter
> Maßen zur Verschlüsselung von Passwörtern verwendet sind
> Verscrampelungen ohne Rückweg.
Den Rückweg zum Passwort braucht der Angreifer beim FF-Router nicht, eine
Kollision reicht schon, um sich einzuloggen und Schadsoftware
draufzupacken. Die kann dann beim nächsten Login das Klartextpasswort
abgreifen. Nur extrem sicherheitsbewusste Leute, die ausschließlich SSH mit
public key verwenden und Passwort-Login sperren sind davor einigermaßen
sicher. Das lässt sich aber AFAICT schlecht im Browser abbilden. Da
schaffen wir nicht einmal ordentliche SSL-Zertifikate gegen MitM-Angriffe.
Einen Algorithmus zu verwenden, bei dem es Sekunden (Rainbow-Table) oder
bestenfalls Stunden (Wörterbuch, Brute-Force) dauert um einen Treffer zu
rekonstruieren, ist IMHO eigentlich fahrlässig. Besonders, wenn dann noch
mit der "Verschlüsselung" der Passwörter geworben wird. Damit lässt sich
zwar nicht sicher das Original-Passwort rekonstruieren, findet aber mit
einer Wörterbuchattacke vermutlich passende Kandidaten. Dann hat der
Angreifer eine nicht so sehr große Anzahl an potentiellen Passwörtern, die
er auch woanders probieren kann. Etwas mehr Aufwand, aber nicht wirklich
ein Hindernis. Rainbow-Tabellen gibt es für MD5 seit Jahren. Wer das jetzt
noch in seine Software neu einbaut oder nicht endlich entfernt, hat IMHO
ein Qualitätsproblem.
Selbst auf 8-bit-Mikrocontrollern gibt es anscheinend bessere Funktionen:
https://rweather.github.io/arduinolibs/crypto.html
> Der Vergleich der Passwörter geschieht nach der Verscrampelung.
>
> Somit ist es nicht notwendig das Passwort auf der Admin-Seite zu kennen.
> Welcher Admin sich aus welcher Neugierde heraus auch immer für die
> Passwörter interessiert oder diese ansieht, macht sich nach dem Stand
> der Technik eventuell strafbar.
Ist bei den Freifunk-Routern, um die es im Thread ging, eher kein Thema.
Harald
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160803/a8f0b7e2/attachment.html>
Mehr Informationen über die Mailingliste Berlin