Seite 1 von 1

Sicherheit des Logins

Verfasst: 01.07.2011 23:28
von Kane
Hallo zusammen,
kann man den Login nicht mal sicherer machen? Hier wird tatsächlich noch Username + Passwort als Klartext verschickt. Muss nicht direkt eine TLS/SSL Verbindung sein, aber wenigstens das Password hashen lassen bevor es abgeschickt wird oder stehen die Passwörter etwa auch als Klartext in der Datenbank?

Re: Sicherheit des Logins

Verfasst: 01.07.2011 23:46
von HerbertLaumen
Kane hat geschrieben:Hier wird tatsächlich noch Username + Passwort als Klartext verschickt.
Wo - außer in der email nach der Registrierung - wird das als Klartext verschickt?
...oder stehen die Passwörter etwa auch als Klartext in der Datenbank?
Nein, die sind md5-verschlüsselt, siehe hier: https://www.phpbb.de/kb/md5
MW. werden die Passwörter auch gesalzen.

Re: Sicherheit des Logins

Verfasst: 01.07.2011 23:54
von Kane
Also wenn ich hier über das Login Formular mich anmelde, dann sehe ich in dem Paket das Passwort als Klartext in den Post Parametern.

Die ganz normale login.php die man über den Anmelden Knopf oben rechts erreicht.

Re: Sicherheit des Logins

Verfasst: 02.07.2011 00:01
von HerbertLaumen
Das dürfte sich wohl nur über eine TLS-Verbindung lösen lassen. Das müssten dann aber die Server-Techniker einrichten, auf den Server haben wir keinen Zugriff.

Re: Sicherheit des Logins

Verfasst: 02.07.2011 00:08
von Kane
Ich sitz gerade nicht am Rechner sondern am Smartphone und kann es daher nicht testen, aber soviel ich weiß schicken andere Foren/Forensoftwares nie das Passwort als Klartext sondern direkt den Hash. Also gehts auch ohne TLS.In Zeiten von WLAN / Hotspots kann so keiner einfach das PW mitsniffen was hier aber möglich ist.

Re: Sicherheit des Logins

Verfasst: 02.07.2011 00:09
von Viersener
äh .wenn ich mich einlogg seh ich mein Passwort als Schwarze Punkte :hilfe: (wenn du das meinst)

Re: Sicherheit des Logins

Verfasst: 02.07.2011 00:13
von HerbertLaumen
Kane hat geschrieben:Also gehts auch ohne TLS.
Bei phpbb ist das mit Bordmitteln mW. nicht möglich. Vllt. gibt es eine Modifikation, müsste man nachforschen.

@Viersener: nein, das meint er nicht.

Re: Sicherheit des Logins

Verfasst: 02.07.2011 00:22
von Kane
Sollte man vielleicht mal in Erfahrung bringen. Ist für mich schon ein großes Sicherheitsrisiko. Logins in öffentlichen Netzen sollte man so komplett vermeiden, es sei denn man nutzt einen VPN.
Hashen mit Salts in der Datenbank ist schön und gut, aber wenn die Pakete von mir bis zum Server sowieso als Klartext verschickt werden brauch ein potentieller Angreifer sich bei vorhandenem Zugriff auf den Sever oder Zugriff zu meinem Netzwerk nur die ankommenden Pakete angucken und hat jedes PW von den Usern die sich eingeloggt haben zu der Zeit bzw. wenn er in meinem Netzwerk ist natürlich nur meins.

Re: Sicherheit des Logins

Verfasst: 02.07.2011 00:34
von HerbertLaumen
So extrem ist das Sicherheitsrisiko nicht, denn soweit ich das bisher in Erfahrung bringen konnte wurde so noch nie ein phpbb-Board gehackt, es betrifft ja auch "nur" den account, der evtl. gesnifft wird. Die Passwörter der anderen user, die sich gerade einloggen sieht der Sniffer dadurch aber nicht, sondern immer nur das von dem user, den er gerade ausspäht.

Re: Sicherheit des Logins

Verfasst: 02.07.2011 00:42
von Kane
Klar, aber wie gesagt wenn jemand Zugang zu dem Server bekommt kommen dort auch alle Pakete an mit Klartext Passwörtern von allen Usern die sich einloggen. Ist der Angreifer in meinem Netzwerk sieht er natürlich nur meins.
Auch so kann jeder dann mein Passwort herausfinden der Zugang zum Server hat. Wirds gehasht geschickt besteht keine Möglichkeit selbst für den Administrator des Servers, weil er nur den Hash sieht.
Jetzt mal von Bruteforce mit/ohne Rainbowtables auf den Hash abgesehen.

Re: Sicherheit des Logins

Verfasst: 02.07.2011 00:48
von HerbertLaumen
Ich leite das an die Servertechniker weiter, das wird sich wohl nur mittels TLS lösen lassen, in der Software ist eine Absicherung für diesen Fall nicht vorgesehen. Wir reden hier ja auch immerhin über eine Straftat.

Re: Sicherheit des Logins

Verfasst: 02.07.2011 11:47
von Viersener
HerbertLaumen hat geschrieben: @Viersener: nein, das meint er nicht.
ok

Re: Sicherheit des Logins

Verfasst: 09.07.2011 18:47
von Kane
Gabs eigentlich schon eine Antwort?

Re: Sicherheit des Logins

Verfasst: 09.07.2011 19:45
von HerbertLaumen
Ich hab es leider verschwitzt, sorry. Versuche Montag dran zu denken.