Sicherheit des Logins

Fragen, Wünsche, Kritik und Vorschläge rund um das Forum und die Homepage sind hier gut aufgehoben.
Gesperrt
Kane
Beiträge: 1052
Registriert: 21.11.2010 00:47

Sicherheit des Logins

Beitrag von Kane » 01.07.2011 23:28

Hallo zusammen,
kann man den Login nicht mal sicherer machen? Hier wird tatsächlich noch Username + Passwort als Klartext verschickt. Muss nicht direkt eine TLS/SSL Verbindung sein, aber wenigstens das Password hashen lassen bevor es abgeschickt wird oder stehen die Passwörter etwa auch als Klartext in der Datenbank?
Benutzeravatar
HerbertLaumen
Beiträge: 48836
Registriert: 24.05.2004 23:14
Wohnort: Sagittarius A*

Re: Sicherheit des Logins

Beitrag von HerbertLaumen » 01.07.2011 23:46

Kane hat geschrieben:Hier wird tatsächlich noch Username + Passwort als Klartext verschickt.
Wo - außer in der email nach der Registrierung - wird das als Klartext verschickt?
...oder stehen die Passwörter etwa auch als Klartext in der Datenbank?
Nein, die sind md5-verschlüsselt, siehe hier: https://www.phpbb.de/kb/md5
MW. werden die Passwörter auch gesalzen.
Kane
Beiträge: 1052
Registriert: 21.11.2010 00:47

Re: Sicherheit des Logins

Beitrag von Kane » 01.07.2011 23:54

Also wenn ich hier über das Login Formular mich anmelde, dann sehe ich in dem Paket das Passwort als Klartext in den Post Parametern.

Die ganz normale login.php die man über den Anmelden Knopf oben rechts erreicht.
Benutzeravatar
HerbertLaumen
Beiträge: 48836
Registriert: 24.05.2004 23:14
Wohnort: Sagittarius A*

Re: Sicherheit des Logins

Beitrag von HerbertLaumen » 02.07.2011 00:01

Das dürfte sich wohl nur über eine TLS-Verbindung lösen lassen. Das müssten dann aber die Server-Techniker einrichten, auf den Server haben wir keinen Zugriff.
Kane
Beiträge: 1052
Registriert: 21.11.2010 00:47

Re: Sicherheit des Logins

Beitrag von Kane » 02.07.2011 00:08

Ich sitz gerade nicht am Rechner sondern am Smartphone und kann es daher nicht testen, aber soviel ich weiß schicken andere Foren/Forensoftwares nie das Passwort als Klartext sondern direkt den Hash. Also gehts auch ohne TLS.In Zeiten von WLAN / Hotspots kann so keiner einfach das PW mitsniffen was hier aber möglich ist.
Benutzeravatar
Viersener
Beiträge: 46944
Registriert: 30.07.2005 12:52
Wohnort: Alt - Viersen
Kontaktdaten:

Re: Sicherheit des Logins

Beitrag von Viersener » 02.07.2011 00:09

äh .wenn ich mich einlogg seh ich mein Passwort als Schwarze Punkte :hilfe: (wenn du das meinst)
Benutzeravatar
HerbertLaumen
Beiträge: 48836
Registriert: 24.05.2004 23:14
Wohnort: Sagittarius A*

Re: Sicherheit des Logins

Beitrag von HerbertLaumen » 02.07.2011 00:13

Kane hat geschrieben:Also gehts auch ohne TLS.
Bei phpbb ist das mit Bordmitteln mW. nicht möglich. Vllt. gibt es eine Modifikation, müsste man nachforschen.

@Viersener: nein, das meint er nicht.
Kane
Beiträge: 1052
Registriert: 21.11.2010 00:47

Re: Sicherheit des Logins

Beitrag von Kane » 02.07.2011 00:22

Sollte man vielleicht mal in Erfahrung bringen. Ist für mich schon ein großes Sicherheitsrisiko. Logins in öffentlichen Netzen sollte man so komplett vermeiden, es sei denn man nutzt einen VPN.
Hashen mit Salts in der Datenbank ist schön und gut, aber wenn die Pakete von mir bis zum Server sowieso als Klartext verschickt werden brauch ein potentieller Angreifer sich bei vorhandenem Zugriff auf den Sever oder Zugriff zu meinem Netzwerk nur die ankommenden Pakete angucken und hat jedes PW von den Usern die sich eingeloggt haben zu der Zeit bzw. wenn er in meinem Netzwerk ist natürlich nur meins.
Benutzeravatar
HerbertLaumen
Beiträge: 48836
Registriert: 24.05.2004 23:14
Wohnort: Sagittarius A*

Re: Sicherheit des Logins

Beitrag von HerbertLaumen » 02.07.2011 00:34

So extrem ist das Sicherheitsrisiko nicht, denn soweit ich das bisher in Erfahrung bringen konnte wurde so noch nie ein phpbb-Board gehackt, es betrifft ja auch "nur" den account, der evtl. gesnifft wird. Die Passwörter der anderen user, die sich gerade einloggen sieht der Sniffer dadurch aber nicht, sondern immer nur das von dem user, den er gerade ausspäht.
Kane
Beiträge: 1052
Registriert: 21.11.2010 00:47

Re: Sicherheit des Logins

Beitrag von Kane » 02.07.2011 00:42

Klar, aber wie gesagt wenn jemand Zugang zu dem Server bekommt kommen dort auch alle Pakete an mit Klartext Passwörtern von allen Usern die sich einloggen. Ist der Angreifer in meinem Netzwerk sieht er natürlich nur meins.
Auch so kann jeder dann mein Passwort herausfinden der Zugang zum Server hat. Wirds gehasht geschickt besteht keine Möglichkeit selbst für den Administrator des Servers, weil er nur den Hash sieht.
Jetzt mal von Bruteforce mit/ohne Rainbowtables auf den Hash abgesehen.
Benutzeravatar
HerbertLaumen
Beiträge: 48836
Registriert: 24.05.2004 23:14
Wohnort: Sagittarius A*

Re: Sicherheit des Logins

Beitrag von HerbertLaumen » 02.07.2011 00:48

Ich leite das an die Servertechniker weiter, das wird sich wohl nur mittels TLS lösen lassen, in der Software ist eine Absicherung für diesen Fall nicht vorgesehen. Wir reden hier ja auch immerhin über eine Straftat.
Benutzeravatar
Viersener
Beiträge: 46944
Registriert: 30.07.2005 12:52
Wohnort: Alt - Viersen
Kontaktdaten:

Re: Sicherheit des Logins

Beitrag von Viersener » 02.07.2011 11:47

HerbertLaumen hat geschrieben: @Viersener: nein, das meint er nicht.
ok
Kane
Beiträge: 1052
Registriert: 21.11.2010 00:47

Re: Sicherheit des Logins

Beitrag von Kane » 09.07.2011 18:47

Gabs eigentlich schon eine Antwort?
Benutzeravatar
HerbertLaumen
Beiträge: 48836
Registriert: 24.05.2004 23:14
Wohnort: Sagittarius A*

Re: Sicherheit des Logins

Beitrag von HerbertLaumen » 09.07.2011 19:45

Ich hab es leider verschwitzt, sorry. Versuche Montag dran zu denken.
Gesperrt