Sicherheit des Logins
Sicherheit des Logins
Hallo zusammen,
kann man den Login nicht mal sicherer machen? Hier wird tatsächlich noch Username + Passwort als Klartext verschickt. Muss nicht direkt eine TLS/SSL Verbindung sein, aber wenigstens das Password hashen lassen bevor es abgeschickt wird oder stehen die Passwörter etwa auch als Klartext in der Datenbank?
kann man den Login nicht mal sicherer machen? Hier wird tatsächlich noch Username + Passwort als Klartext verschickt. Muss nicht direkt eine TLS/SSL Verbindung sein, aber wenigstens das Password hashen lassen bevor es abgeschickt wird oder stehen die Passwörter etwa auch als Klartext in der Datenbank?
- HerbertLaumen
- Beiträge: 49341
- Registriert: 24.05.2004 23:14
- Wohnort: Sagittarius A*
Re: Sicherheit des Logins
Wo - außer in der email nach der Registrierung - wird das als Klartext verschickt?Kane hat geschrieben:Hier wird tatsächlich noch Username + Passwort als Klartext verschickt.
Nein, die sind md5-verschlüsselt, siehe hier: https://www.phpbb.de/kb/md5...oder stehen die Passwörter etwa auch als Klartext in der Datenbank?
MW. werden die Passwörter auch gesalzen.
Re: Sicherheit des Logins
Also wenn ich hier über das Login Formular mich anmelde, dann sehe ich in dem Paket das Passwort als Klartext in den Post Parametern.
Die ganz normale login.php die man über den Anmelden Knopf oben rechts erreicht.
Die ganz normale login.php die man über den Anmelden Knopf oben rechts erreicht.
- HerbertLaumen
- Beiträge: 49341
- Registriert: 24.05.2004 23:14
- Wohnort: Sagittarius A*
Re: Sicherheit des Logins
Das dürfte sich wohl nur über eine TLS-Verbindung lösen lassen. Das müssten dann aber die Server-Techniker einrichten, auf den Server haben wir keinen Zugriff.
Re: Sicherheit des Logins
Ich sitz gerade nicht am Rechner sondern am Smartphone und kann es daher nicht testen, aber soviel ich weiß schicken andere Foren/Forensoftwares nie das Passwort als Klartext sondern direkt den Hash. Also gehts auch ohne TLS.In Zeiten von WLAN / Hotspots kann so keiner einfach das PW mitsniffen was hier aber möglich ist.
Re: Sicherheit des Logins
äh .wenn ich mich einlogg seh ich mein Passwort als Schwarze Punkte :hilfe: (wenn du das meinst)
- HerbertLaumen
- Beiträge: 49341
- Registriert: 24.05.2004 23:14
- Wohnort: Sagittarius A*
Re: Sicherheit des Logins
Bei phpbb ist das mit Bordmitteln mW. nicht möglich. Vllt. gibt es eine Modifikation, müsste man nachforschen.Kane hat geschrieben:Also gehts auch ohne TLS.
@Viersener: nein, das meint er nicht.
Re: Sicherheit des Logins
Sollte man vielleicht mal in Erfahrung bringen. Ist für mich schon ein großes Sicherheitsrisiko. Logins in öffentlichen Netzen sollte man so komplett vermeiden, es sei denn man nutzt einen VPN.
Hashen mit Salts in der Datenbank ist schön und gut, aber wenn die Pakete von mir bis zum Server sowieso als Klartext verschickt werden brauch ein potentieller Angreifer sich bei vorhandenem Zugriff auf den Sever oder Zugriff zu meinem Netzwerk nur die ankommenden Pakete angucken und hat jedes PW von den Usern die sich eingeloggt haben zu der Zeit bzw. wenn er in meinem Netzwerk ist natürlich nur meins.
Hashen mit Salts in der Datenbank ist schön und gut, aber wenn die Pakete von mir bis zum Server sowieso als Klartext verschickt werden brauch ein potentieller Angreifer sich bei vorhandenem Zugriff auf den Sever oder Zugriff zu meinem Netzwerk nur die ankommenden Pakete angucken und hat jedes PW von den Usern die sich eingeloggt haben zu der Zeit bzw. wenn er in meinem Netzwerk ist natürlich nur meins.
- HerbertLaumen
- Beiträge: 49341
- Registriert: 24.05.2004 23:14
- Wohnort: Sagittarius A*
Re: Sicherheit des Logins
So extrem ist das Sicherheitsrisiko nicht, denn soweit ich das bisher in Erfahrung bringen konnte wurde so noch nie ein phpbb-Board gehackt, es betrifft ja auch "nur" den account, der evtl. gesnifft wird. Die Passwörter der anderen user, die sich gerade einloggen sieht der Sniffer dadurch aber nicht, sondern immer nur das von dem user, den er gerade ausspäht.
Re: Sicherheit des Logins
Klar, aber wie gesagt wenn jemand Zugang zu dem Server bekommt kommen dort auch alle Pakete an mit Klartext Passwörtern von allen Usern die sich einloggen. Ist der Angreifer in meinem Netzwerk sieht er natürlich nur meins.
Auch so kann jeder dann mein Passwort herausfinden der Zugang zum Server hat. Wirds gehasht geschickt besteht keine Möglichkeit selbst für den Administrator des Servers, weil er nur den Hash sieht.
Jetzt mal von Bruteforce mit/ohne Rainbowtables auf den Hash abgesehen.
Auch so kann jeder dann mein Passwort herausfinden der Zugang zum Server hat. Wirds gehasht geschickt besteht keine Möglichkeit selbst für den Administrator des Servers, weil er nur den Hash sieht.
Jetzt mal von Bruteforce mit/ohne Rainbowtables auf den Hash abgesehen.
- HerbertLaumen
- Beiträge: 49341
- Registriert: 24.05.2004 23:14
- Wohnort: Sagittarius A*
Re: Sicherheit des Logins
Ich leite das an die Servertechniker weiter, das wird sich wohl nur mittels TLS lösen lassen, in der Software ist eine Absicherung für diesen Fall nicht vorgesehen. Wir reden hier ja auch immerhin über eine Straftat.
Re: Sicherheit des Logins
okHerbertLaumen hat geschrieben: @Viersener: nein, das meint er nicht.
Re: Sicherheit des Logins
Gabs eigentlich schon eine Antwort?
- HerbertLaumen
- Beiträge: 49341
- Registriert: 24.05.2004 23:14
- Wohnort: Sagittarius A*
Re: Sicherheit des Logins
Ich hab es leider verschwitzt, sorry. Versuche Montag dran zu denken.