Sedo und die Sicherheit

Möhrenfeld

Wednesday, June 15. 2005

Sedo und die Sicherheit

Rechner und Netz

Auch wenn ich nicht viel von Sedo halte (da mir diese ganze Domainverschacherung suspekt ist) habe ich mich trotzdem dort angemeldet, da bei Sedo eine Domain angeboten wird die ich gern hätte.

Es geht um Geld, also habe ich ein einigermaßen sicheres Passwort genommen um mich zu registieren. Mit dem Erfolg, dass ich das Passwort heute schon vergessen hatte (passiert mir eigentlich eher selten). Ist ja alles kein Problem, es gibt ja gottseidank inzwischen fast überall die Möglichkeit, sich ein Passwort zusenden zu lassen. Gesagt, getan.

Dann bekomme ich die Mail und was finde ich darin: Mein Originalpasswort, unverschlüsselt in seiner ganzen Herrlichkeit. Man mag mich ja für paranoid halten, aber ich habe so meine Bedenken, dass bei Sedo alle Kundenpasswörter unverschlüsselt in irgendeiner Datenbank liegen.

Hallo Sedo: MD5 und SHA1 sind wunderbare Dinge die man durchaus benutzen kann und auch sollte! Und wenn ihr schon dabei seid, leistet euch doch mal SSL-Verschlüsselung für das Login und alle persönlichen Seiten. Das würde euch ein wenig seriöser aussehen lassen in meinen Augen.

Posted by Sebastian in Rechner und Netz at 11:29 | Comments (4) | Trackbacks (0)
Defined tags for this entry:
Related entries by tags:

Trackbacks
Trackback specific URI for this entry

No Trackbacks

Comments
Display comments as (Linear | Threaded)

Leider beides schon geknackt. Die bisher bekannten Angriffe zielen aber darauf, zwei beliebige Kollisionen zu finden, was zwar bereits fürs Signieren spannend ist, aber noch keine Gefahr für den Paßwortschutz darstellt. Dennoch ist eher zu SHA-256 und höher zu raten, da weitere cryptoanalytische Fortschritte zu erwarten sind...
#1 Alex on 2005-06-15 12:09
Naja momentan sehen die Angriffe ja so aus das man versucht Kollisionen zu finden. Das hilft einem in dem Fall ja noch nicht das Passwort rauszukriegen das verschlüsselt wurde, da alle Angriffe bisher IMHO darauf abzielen, von 2 bekannten Klartexten den gleichen Hash zu erzeugen.

In Zukunft muss man da sicher schauen was man macht, momentan ist es aber sicherlich hauptsächlich ein theoretischer Angriff und MD5/SHA1 ist immerhin besser als Klartext. ;-)
#1.1 Sebastian (Homepage) on 2005-06-15 13:21
Ja, hab mich ungeschickt ausgedrückt. Mit den aktuellen Angriffen schafft man, zwei Klartexte so zu finden, daß sie den gleichen Hash haben. Dieser Angriff ist aber nicht theoretisch. Für MD5 braucht man angeblich nur wenige Stunden mit einem normalen Desktop-Rechner (Beispiel: http://www.cits.rub.de/MD5Collisions/) und hat dann zwei zum Teil sinnvolle(!) Texte, bei denen die Signatur des einen Textes automatisch für den anderen gilt. :-(
Zum Speichern/Überprüfen von Paßwörtern kann man diesen Angriff meines Wissens nicht nutzen, doch ist dies erst der Anfang. Die Durchbrüche gab es erst in den letzten Monaten. Daher lieber gleich auf die besseren Algorithmen setzen, und nicht auf jene, die schon jetzt nicht mehr alle Anforderungen einer kollisionsfreien Hashfunktion erfüllen.
#1.1.1 Alex on 2005-06-15 13:48
Hm das Problem ist wohl auch, dass ein längerer Hash wie SHA-256 an den gleichen konzeptionellen Schwächen leidet, das war glaub ich auch das insteressante als neulich berichtet wurde, das ein erfolgreicher Angriff auf SHA1 erfolgt ist. Da wurden mathematisch die Kombinationsmöglichkeiten verringert, der Angriff ist also nicht durch BruteForce erfolgt.

In der Zukunft müssen wohl eher ganz neue Algorithmen her. Ich weiss das die GnuPG Entwickler momentan lieber auf SHA-1 setzen als auf SHA-256 nur die Mails dazu finde ich gerade nicht. Es gab jedenfalls ein paar einleuchtende Gründe.

Was auch kommt, man darf gespannt sein. :-)
#1.1.1.1 Sebastian (Homepage) on 2005-06-15 14:38

Add Comment

Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
BBCode format allowed
 
 

Quicksearch

Ich bin anstaendig!
Schaeuble! Wegtreten!

Twitter

Getaggte Artikel

Amazon

Aktuelle Einträge

Es druckt nicht!
Wednesday, July 1 2009
Internetzensur - Was hier falsch läuft
Wednesday, March 25 2009
Nürnberg und Twitter
Thursday, February 12 2009
Spruch des Tages
Wednesday, February 4 2009
Wasserbombe in Hannover?
Monday, January 26 2009
So finster die Nacht - Let the right one in
Wednesday, December 24 2008
Multiple Kill Vehicle
Thursday, December 18 2008
Krnk
Wednesday, December 17 2008
Kein Video mit Ubuntu Intrepid Ibex (8.10)
Monday, December 15 2008
CD von Rocco Granata gesucht
Wednesday, December 10 2008

Kategorien



All categories

Blog abonnieren

Archives

Links

Impressum.

Blogs
Murmelblog
Shopblogger
BildBlog

Persönliches
www.karotte.org
Amazon Wunschzettel
Technorati Profile

Creative Commons

Creative Commons License - Some Rights Reserved
Original content in this work is licensed under a Creative Commons License

Powered by

Serendipity PHP Weblog

Blog Administration

Open login screen