Password | Crypt/Hash & Salt?
Moinsen.
Ich Frage mich, wie ich evtl. die Nutzung von Passwörtern Online sicherer gestalten kann. Zumindest für mich selber.
Momentan nutze ich neben KeePassXC, Passwörter (z.B. als PW für KPXC) die ich mir gut merken kann, welche jedoch relativ lang sind und zwar gewisse Merkmale haben, die man zwar eigentlich nicht so verwenden soll im Optimalfall aber welche halt dazu beitragen, diese zu merken.
Also ein Hauptpasswort welches gewisse feste Bestandteile hat aber zum Beispiel je Dienst bzw. Login halt unterschiedlich ist.
So muss ich mir quasi nur das eine Passwort merken und kann halt dann je nach Dienst dieses abändern.
Also im Gegensatz zu den meisten Leuten, würde ich sagen, dass meine Variante Recht sicher ist.
Eigentlich benutze ich dieses Passwort auch nur für KeePass.
Alles was besonderes wichtig ist, bekommt dann n generiertes Password aus KP (128 Zeichen mit allen möglichen Symbolen aus KP).
Jetzt meine Frage, wenn jemand zum Beispiel also unabhängig von den generierten Passwörtern von KeePass meine Passwörter Online klauen will und ich mir ein erdachtes Passwort nehme, dann kann man ja das Passwort auslesen sobald ich es schicke. (HTTP POST usw.)
Macht es da nicht Sinn ein Hash bzw. ein Crypt des Passworts zu erstellen und diesen dann zu schicken?
Zumindest, wenn das Passwort allgemein sehr einfach ist?
Ich denke da z.B. an meinen Vater der als Beispiel einfach einen Namen mit ein paar Nummern nimmt. Das ist ja quasi für Hacker ein gefundenes Fressen.
In dem Fall würde ich es meinem Vater gerne einfach machen und ihm irgendwie etwas programmieren, damit die "einfachen" Passwörter quasi gehasht und verschlüsselt werden und dieser String dann quasi als "wirkliches" Passwort bei dem Dienst genutzt wird.
Ich hoffe das war irgendwie verständlich beschrieben. Falls dabei fragen bestehen, gebe ich gerne weitere Infos zu meinem Gedankengang bzw. meinem Vorhaben.
Die Sache, wäre halt auch die, dass diese Variante natürlich auch Nachteile mit sich bringt und nicht unbedingt die sicherste Möglichkeit ist.
Aber unabhängig davon wahrscheinlich trotzdem sicherer ist als einfach nur ein Wort mit ein paar Zahlen. Brüte Force wäre damit eh nicht mehr so ohne weiteres möglich. (Im Optimalfall sowieso durch den Login-Dienst nicht möglich.)
Und das Passwort wäre halt auch nicht aus lesbar, selbst wenn die Seite ne Fake Login Seite wäre. Somit wären halt die Passwörter nicht einfach zu erraten, falls dieses bei mehreren Diensten verwendet und leicht abgewandelt ist.
Mein Vater nutzt halt meist das gleiche Wort mit einer anderen Zahlenkombination.
Als Hash und Crypted, würde da ja n komplett anderer Salat raus kommen .
Ich danke euch, falls ihr bis hier hin gelesen habt und ein paar Ideen dazu geben könnt.
MfG 👍🏼✌🏼
2 Antworten
Ich verstehe deinen Ansatz, viel bringen wird das allerdings nicht. Ja es würde vielleicht vor Passwort-Wiederverwendung schützen aber dazu muss jemand überhaupt erstmal an das Passwort kommen. Bei der Übertragung zum Server wird ja auf HTTPS gesetzt wodurch schonmal niemand so einfach mitlesen kann, in Klartext speichert auch keine Website mehr Passwörter (hoffentlich). Also muss zu dem Zeitpunkt schon ein Angreifer den Traffic mitlesen können und dann bringt dir deine Methode leider auch nichts, da er einfach warten kann, bis dein Vater sich bei dem Dienst anmeldet, wo der Angreifer das Passwort zu haben möchte. Ein weiterer Punkt über den man sich Gedanken machen muss: Ist dein Vater wirklich eine so wichtige Person? Angreifer sind nicht mehr so fokussiert auf Einzelpersonen. Entweder wird die breite Masse angegriffen und dann klaut man lieber Session-Cookies anstatt Passwörter oder es wird auf Unternehmen abgeziehlt, da gibt's mehr zu holen.
Deine Methode erinnert mich sehr an Microsofts NTLM-Hash verfahren. Die haben sich auch gedacht, "ich schicke das Passwort nicht übers Netzwerk, sondern nur einen hash" naja sorgt halt dafür, dass du den Hash auslesen oder abfangen kannst und dich dann halt einfach damit anmeldest. Damit haben die auch wirklich nichts gewonnen. Diese Angriffsmethode wird bei ca. 90% der Ransomware-Angriffe auf Firmen genutzt
Naja, jein wäre hier wohl am passendsten.
Man könnte z.B. ein Browser-AddOn nehmen/programmieren, dass Formularfelder vom Typ "password" beim Absenden des Formulars erkennt und statt des tatsächlichen Inhaltes etwas anderes übermittelt.
Wenn aber die Möglichkeit gegeben ist, das ganze aus dem HTTP Request auszulesen (Benutzt er etwa irgendwelche Webdienste, die kein HTTPS verwenden?!), dann bringt das ziemlich genau gar nichts.
Ich habe tatsächlich dabei an Tempermonkey gedacht. Da kann man eigene Scripts einschleusen.
Aber das wäre ja dann eher die Sache, wenn das ganze überhaupt Sinn ergibt.
Jein habe ich auch sehr oft als Antwort für mich 😅
Gut HTTP ist klar..
Aber selbst dann würde es zumindest ein wenig bringen.
Also, wenn ich "Passwort123" nehme und dabei dann "92ejdhd828ruxhakw" bei raus kommt. Dann würde zumindest keiner einfach auf die Idee kommen sich mit der EMail und dem Passwort woanders anzumelden bzw. in dem Fall, das man bei anderen Diensten dann "Passwort321" nimmt und dabei dann "(283+_+#93847djwi2" raus kommt.
Also wegen dem Hashen und Verschlüsseln.
Das wäre halt schon ein kleiner Vorteil.
Und selbst wenn die Seite vertrauenswürdig ist aber als Beispiel meine Passwörter im Klartext in der Datenbank ablegt, haben die quasi nicht mein Passwort mit dem ich arbeite.
Und wie sollten die auf den Hash, den Salt und das Crypt kommen.