(Falsche) Paßwörter geloggt?

HaFri · 4. Juni 2002 um 14:26

Hallo Leute!

Ich bin mit verschiedenen Paßwörtern bei verschiedenen Diensten lokal, im LAN und im Internet unterwegs. Es ist mir jetzt schon oft passiert, daß ich wegen Hektik und Eile unkonzentriert hier oder da mal ein Paßwort, das eigentlich ganz woandershin gehört, eingegeben und auch abgeschickt habe.

In vielen Fällen wird das ja nichtmal für die Übertragung verschlüsselt.
Die Administratoren kriegen somit also meine Paßwörter von völlig anderen Diensten.

Muß ich davon ausgehen, daß diese mitgeloggt werden?
Wie hoch ist die Gefahr anzusehen, daß jemand Mißbrauch damit treibt?
Gibt es Möglichkeiten, sich abzusichern?

In der Hoffnung auf Eure Infos!
Hans

Anonym · 4. Juni 2002 um 15:34

Ich bin mit verschiedenen Paßwörtern bei verschiedenen
Diensten lokal, im LAN und im Internet unterwegs. Es ist mir
jetzt schon oft passiert, daß ich wegen Hektik und Eile
unkonzentriert hier oder da mal ein Paßwort, das eigentlich
ganz woandershin gehört, eingegeben und auch abgeschickt habe.

In vielen Fällen wird das ja nichtmal für die Übertragung
verschlüsselt.
Die Administratoren kriegen somit also meine Paßwörter von
völlig anderen Diensten.

Muß ich davon ausgehen, daß diese mitgeloggt werden?
Wie hoch ist die Gefahr anzusehen, daß jemand Mißbrauch damit
treibt?
Gibt es Möglichkeiten, sich abzusichern?

Die Missbrauchsgefahr ist hoch. Normalerweise dürften Passwörter weder verschlüsselt noch unverschlüsselt übers Netz geschickt werden. Möglicherweise verwendest du als Passwort ja, weil du dir’s leicht merken kannst, den Pincode deiner Bankcard. Auch in diesem Falle darf kein Admin dein Passwort sehen oder entschlüsseln können.

Daher darf auf dem Server nur ein Hashcode deines Passworts gespeichert und nur dieser Hashcode übertragen werden. Allerdings solltest du auch in diesem Falle eine möglichst lange Kombination aus Gross-, Kleinbuchstaben, Ziffern und Sonderzeichen verwenden.

Aber auch das bietet dir noch keine Sicherheit. Wenn die Übertragung nicht über SSL erfolgt, kann jeder in den Logs den Hashcode abgreifen und sich mit diesem an deiner Stelle identifizieren. Mitgeloggt werden diese Daten in aller Regel, und wer an den Schaltstellen hockt, kann diese jederzeit missbrauchen.

Das Problem ist dabei weniger das Passwort, das eigentlich ganz woanders hingehört, ein gefundener Schlüssel nutzt mir nix, wenn ich die zugehörige Türe nicht kenne. Du bist auch ziemlich sicher, wenn du von daheim aus ins Netz gehst, und für verschiedene Dienste grundsätzlich verschiedene Passworte nutzt. Ganz anders sieht’s im Firmennetzwerk aus, wo nicht nur der Admin des Proxyservers, sondern jeder Kollege, wenn er einen Netzwerksniffer benutzt, deine Kommunikation abhören kann.

Ich habe diesbezüglich schon einige Protokollauswertungen gemacht. Während Banken ihre Lektion inzwischen offenbar gelernt haben, habe ich Bauklötze gestaunt über u. a. Freemailer, die mit SSL und https prahlen, aber Kennwörter unverschlüsselt über unsichere Verbindung schicken.

Gruss,
Schorsch

Anonym · 4. Juni 2002 um 16:32

Hallo Hafi,

also in der Regel werden falsch Passworteingaben nicht mit „passwort“ geloggt. Da jeden Admin dein Beschriebens Problem bekannt ist bzw. default mässig das loggen abgeschaltet ist.
(Darauf kann man sich natürlich nicht verlassen)
Das Problem in diesem Fall sind dann eher die schwarzen Schafe unter den Admins die die Passwörter mit loggen.

Muß ich davon ausgehen, daß diese mitgeloggt werden?

Siehe oben.

Wie hoch ist die Gefahr anzusehen, daß jemand Mißbrauch damit
treibt?

Kommt darauf an. Wenn du deinen Firmen pw bei gmx angibst ist das bestimmt nicht so gut, aber wenn du dein news.heise.de pw bei gmx angibst…

Gibt es Möglichkeiten, sich abzusichern?

Ja Disziplin deiner Seits.

Grundsätzlichs solltest du daran interressiert sein nur die richtigen PW’s einzugeben. Bei den PW’s die sowieso im klartext übers Netz gehen (siehe gmx) kannst du dir ja deinen Teil denken.

cu polarbear

Anonym · 4. Juni 2002 um 16:41

Daher darf auf dem Server nur ein Hashcode deines Passworts
gespeichert und nur dieser Hashcode übertragen werden.

Naja den hashcode zu übertragen wäre Fatal siehe Replay Attacken.

Richtig ist hingegen das das PW’s als Hash gespeichert werden sollte (Hash(In diesem Zusammenhang): Das Passwort wird mit einen Einwegesystem verschlüsselt, es kann also nicht mehr entschlüsselt werden).
Das verhindert den Missbrauch.

Durch den Admin selber (Sonst könnte er ja alle PW’s lesen)
Durch einen Potenziellen Angreifer

Das Passwort und der Hash sollten _nie_ über das Netzwerk übertragen werden.

Allerdings solltest du auch in diesem Falle eine möglichst
lange Kombination aus Gross-, Kleinbuchstaben, Ziffern und
Sonderzeichen verwenden.

ACK!

Aber auch das bietet dir noch keine Sicherheit. Wenn die
Übertragung nicht über SSL erfolgt, kann jeder in den Logs den
Hashcode abgreifen und sich mit diesem an deiner Stelle
identifizieren. Mitgeloggt werden diese Daten in aller Regel,
und wer an den Schaltstellen hockt, kann diese jederzeit

Da wiederspreche ich dir.

Das Problem ist dabei weniger das Passwort, das eigentlich
ganz woanders hingehört, ein gefundener Schlüssel nutzt mir
nix, wenn ich die zugehörige Türe nicht kenne. Du bist auch
ziemlich sicher, wenn du von daheim aus ins Netz gehst, und
für verschiedene Dienste grundsätzlich verschiedene Passworte
nutzt. Ganz anders sieht’s im Firmennetzwerk aus, wo nicht nur
der Admin des Proxyservers, sondern jeder Kollege, wenn er
einen Netzwerksniffer benutzt, deine Kommunikation abhören
kann.

ACK!

Ich habe diesbezüglich schon einige Protokollauswertungen
gemacht. Während Banken ihre Lektion inzwischen offenbar
gelernt haben, habe ich Bauklötze gestaunt über u. a.
Freemailer, die mit SSL und https prahlen, aber Kennwörter
unverschlüsselt über unsichere Verbindung schicken.

Das solltest du mit Vorsicht machen. -> Daten Schutz

bis dann

polarbear

Sebastian · 4. Juni 2002 um 20:00

Das Problem in diesem Fall sind dann eher die schwarzen Schafe
unter den Admins die die Passwörter mit loggen.

Oder Leute, die an DNS-Servern rumfummeln. GMX war irgendwann mal in den Range von Beate Uhse (IIRC) umgeleitet. Stattdessen hätte man aber auch was GMX-ähnliches bausen können und Passwörter loggen können.

Gibt es Möglichkeiten, sich abzusichern?

Ja Disziplin deiner Seits.

… und Verschlüsselung.

Grundsätzlichs solltest du daran interressiert sein nur die
richtigen PW’s einzugeben. Bei den PW’s die sowieso im
klartext übers Netz gehen (siehe gmx) kannst du dir ja deinen
Teil denken.

GMX bietet APOP. Immerhin.

Sebastian

Dennis_Minnich · 4. Juni 2002 um 20:59

Hi Sebastian!

GMX bietet APOP. Immerhin.

Was ist APOP?

Viele Grüße,

Dennis =o)

Anonym · 4. Juni 2002 um 22:40

APOP ist eine erweiterung für POP3 die es erlaubt das Passwort verschlüsselt zu übertragen.

Kurz gesagt.