3. Passwörter im Speicher schützen

Passwörter im Speicher schützen

  • S

    Es sei denn du greifst auf solcherlei Technologie zurück: http://en.wikipedia.org/wiki/Trusted_Computing

    MfG SideWinder

    0

  • Auch da kann ein Angreifer die entsprechenden Hardwarekomponenten unter ein Elekronenmikroskop legen und die Ströme messen und was weiß ich. Auch wenn das natürlich kaum wer machen wird, 100%ige Sicherheit ist rein Prinzipiell nicht Möglich.

    0
  • ?

    Hmm, naja mal dumm gefragt: Wie machen es Multiplayer Spiele? Da muss ja auch eine gewisse Sicherheit herrschen, vor allem im Bereich MMORPG. Und Blizzard demonstriert ja schön, wie man entgegenwirken kann, wie dem Authenticator der einen Zusatz Key generiert der nur kurz gültig ist. Aber auch hier gibts "Man in the Middle" Angriffe.

    0
  • S

    dot schrieb:

    Auch da kann ein Angreifer die entsprechenden Hardwarekomponenten unter ein Elekronenmikroskop legen und die Ströme messen und was weiß ich. Auch wenn das natürlich kaum wer machen wird, 100%ige Sicherheit ist rein Prinzipiell nicht Möglich.

    Dort geht die Sicherheit - zumindest laut Hersteller - aber soweit, dass eine Attacke länger dauert und kostspieliger ist als die gewonnene Information. Auch RSA-Verschlüsselung ist ja nur solange sicher, solange man nicht genügend Mittel und Zeit hat um die Primfaktorenzerlegung durchzuführen.

    MfG SideWinder

    0

  • Scorcher24 schrieb:

    Hmm, naja mal dumm gefragt: Wie machen es Multiplayer Spiele?

    Ganz einfach: Multiplayer Spiele laufen auf Servern die der absoluten Kontrolle des Hersteller unterliegen. Was auch immer dein Client lokal für Schweinereien macht, für das Spiel zählt das was der Server sagt und der sagt ganz einfach nein wenn dein Client vorgibt mit 1000000 Lebenspunkten und mit 4facher Lichtgeschwindigkeit durch die Gegend zu laufen...

    0
  • C

    sud schrieb:

    Und klar, root kann ein Speicherabbild ziehen, aber warum soll er damit das PW auch sehen dürfen

    Darf er, denn genau das bedeutet "root" bei Linux: root darf alles.

    root könnte z.B. auch einfach alle Tastatureingaben abfangen, die ein normaler User vornimmt. Wenn root das geschickt genug macht, merkt der User davon gar nichts. Auch das ist ein Recht von root. Fazit ist, als User muss man root vertrauen.

    0
  • ?

    dot schrieb:

    Scorcher24 schrieb:

    Hmm, naja mal dumm gefragt: Wie machen es Multiplayer Spiele?

    Ganz einfach: Multiplayer Spiele laufen auf Servern die der absoluten Kontrolle des Hersteller unterliegen. Was auch immer dein Client lokal für Schweinereien macht, für das Spiel zählt das was der Server sagt und der sagt ganz einfach nein wenn dein Client vorgibt mit 1000000 Lebenspunkten und mit 4facher Lichtgeschwindigkeit durch die Gegend zu laufen...

    Ich meinte jetzt nur den Passwortschutz. Die anderen Mechaniken sind mir rudimentär bekannt :). Die müssen ja auch sowas wie Sessions implementiert haben bzw das passwort irgendwie abfragen etc.

    0

  • Naja die schicken halt einen Hash des PW zum Server und der prüft ob das PW korrekt ist und fertig. Wenn der Benutzer lokal auf seinem Computer irgendwelche Programme laufen hat die sein PW klauen dann kann ja grundsätzlich mal der Hersteller des Spiels nix dafür. Aber Accountdiebstahl ist ja auch ein Problem in Onlinespielen heutzutage, wobei der Großteil da afaik über Phishing lauft.

    0
  • S

    @Scrocher24: Das Passwort muss nicht während der Gesamten Spielzeit im Speicher liegen, du bekommst bei gültigem Passwort vom Server wahrscheinlich eine Art Session-ID die gültig ist bis du dich wieder ausloggst.

    MfG SideWinder

    0
  • S

    Christoph schrieb:

    sud schrieb:

    Und klar, root kann ein Speicherabbild ziehen, aber warum soll er damit das PW auch sehen dürfen

    Darf er, denn genau das bedeutet "root" bei Linux: root darf alles.

    root könnte z.B. auch einfach alle Tastatureingaben abfangen, die ein normaler User vornimmt. Wenn root das geschickt genug macht, merkt der User davon gar nichts. Auch das ist ein Recht von root. Fazit ist, als User muss man root vertrauen.

    So ein schwachsinn. Seit wann darf "root" alles. Er kann fast ohne einschränkung alles machen. Aber das heißt nicht das er das auch darf!!!!

    Der gesetzesabschnitt dazu ist iwo in meinem Skript. finde ihn grade nicht, aber ich such mal weiter...

    Du darfst ja auch nicht einfach mit WireShark in deinem Firmennetz machen was du willst, nur weil du kannst. Also "root" bist...

    EDIT:
    Hast mal versucht bei unix zurichtigen Zeit ein speicherabbild zu ziehen.
    Wenn dein PW stundenlang im Klartext drin steht bist selber schuld.
    Heißt, wenn wir schon den elegalen weg ansprechen: Root wäre äußert dämlich wenn versucht auf gut glück speicherabbilder zu ziehen wenn er auch einfach nen keylogger nutzen kann. Wenn root grade am pc sitzt wäre es noch dämlicher... Weil dann gibt er das pw ja ein ...

    0
  • ?

    Vermutlich sollte ein Kerberos Auth das Problem lösen ?

    0
  • Mod

    @Sqwan: Also ein Stoppschild vor das Passwort setzen und alles ist gut?

    0
  • S

    Nein, aber man muss es nicht unnötig schwer machen. eine gewisse standartsicherheit sollte reichen.

    Passwort halt nur in der benötigten zeit nutzen und sonst nicht. Und den rest der Zeit als hash. Am speicher rum zu pfuschen halte ich nicht für notwendig.
    Ehe ein root den speicher analysiert nutzt er nen keylogger.

    0
  • Mod

    😕 Hast du den Thread überhaupt gelesen? Darum geht es doch schon seit einer Seite, dass man sich vor root ohnehin nicht schützen kann.

    Und was soll Standardsicherheit sein? Entweder etwas ist sicher oder nicht. Da gibt es nichts dazwischen.

    0
  • N

    Sqwan schrieb:

    So ein schwachsinn. Seit wann darf "root" alles. Er kann fast ohne einschränkung alles machen. Aber das heißt nicht das er das auch darf!!!!

    Der gesetzesabschnitt dazu ist iwo in meinem Skript. finde ihn grade nicht, aber ich such mal weiter...

    Ach herrje. Bitte tu einfach so, als wäre das gerade ein schlechter Scherz gewesen. Wie das "darf" hier gemeint war, war aus dem Kontext völlig klar ersichtlich, dieser Blödsinn von Gesetzestexten in Deinen Skripten ist für den Thread hier doch wirklich völlig uninteressant.

    Root wäre äußert dämlich wenn versucht auf gut glück speicherabbilder zu ziehen wenn er auch einfach nen keylogger nutzen kann.

    Ist doch völlig egal. Der Punkt war, dass es auf gängigen Systemen in diesem Anwendungsfall nicht möglich ist, Passwörter sinnvoll vor Admins zu schützen. Ob das nun per Keylogger oder Speicherabbild oder sonstwas gemacht wird, ist uninteressant.

    0
  • S

    Der punkt ist, hier geht es seit 2 Seiten darum das man root vertrauen muss.
    Bla bla blub, root könnte auch speicherabbild machen und register lesen und und und...

    a) Darf er nicht
    b) kann er auch nicht so einfach
    c) lohnt sich nicht
    d) hast du das mal versucht?

    Für dich ist hier vllt einiges klar. Und der nächste liest das, und denkt er darf alles. und ja, ich habe das thema gelesen. Und es ist mal wieder der absolute Bullschitt.

    Und nein, es ist nicht entweder sicher oder nicht. Das kann man schon unterscheiden.
    Wenn du mal bei einem Juwelier warst, weißt du, der ist sehr sicher gegen unbefugtes eindringen.
    Wenn du mal bei der Polizei gearbeitet hast, weißt du, die Wache ist sogar sehr sicher vor befugtem eindringen.
    Sicherheit lässt sich durchaus unterscheiden.

    Und standartsicherheit ist für mich das was der Juwelier hat.
    Wenn du also etwas wertfolles hast, sollte es reichen, es so zu schützen.
    Und wenn du jetzt behauptest ein Juwelier wäre unsicher, dann versuch den mal unbemerkt auszurauben. Das schaffst nicht mal mit schlüssel (root).

    Das alles ist doch wieder nur bullshit um zu Zeigen wie toll man ist und was man alles cooles weiß ...

    @nman
    Wenn alles klar ist, schone deine Tasten.

    SideWinder schrieb:

    dot schrieb:

    Auch da kann ein Angreifer die entsprechenden Hardwarekomponenten unter ein Elekronenmikroskop legen und die Ströme messen und was weiß ich. Auch wenn das natürlich kaum wer machen wird, 100%ige Sicherheit ist rein Prinzipiell nicht Möglich.

    Dort geht die Sicherheit - zumindest laut Hersteller - aber soweit, dass eine Attacke länger dauert und kostspieliger ist als die gewonnene Information. Auch RSA-Verschlüsselung ist ja nur solange sicher, solange man nicht genügend Mittel und Zeit hat um die Primfaktorenzerlegung durchzuführen.

    MfG SideWinder

    Ich frage mich was es wohl für ein Programm ist, das es sich für root lohnt ein speicherabbild zu machen, ströme zu messen, register zu lesen, und sich einen Medizin-nman einzustellen der die hardware verhext xD

    EDIT:
    @nman
    Du bist so schlau, wie SeppJ mich einschätzt 😃 Du schaffst es doch glatt unter seinen kommentar noch mal den gleiche zu schreiben. Nicht mal den letzten beitrag gelesen 🙄

    0
  • Mod

    Sqwan schrieb:

    a) Darf er nicht

    Doch.

    b) kann er auch nicht so einfach

    Doch.

    c) lohnt sich nicht

    Doch.

    d) hast du das mal versucht?

    Doch. Ok, habe ich nicht, weil sich das nicht gehört.

    Du schreibst zwar schön viel, aber es ist total weltfremd. Wenn man deiner Argumentation folgen würde, könnte man auch alle Wertsachen überall offen rumliegen lassen, denn
    a) Darf man sie nicht klauen
    b) Kann man das nicht so einfach.
    c) Lohnt sich nicht
    d) Hast du es schon mal versucht?

    0
  • S

    Nein, ich habe grade geschrieben, wenn du alle deine Wertsachen so sichert wie ein Juwelier seine Diamanten, ist das ausreichend.

    a) Hast du vollkommen recht
    b)Genau, einen Juwelier kann man nicht so einfach ausrauben
    c) Vollkommen richtig. Es sei den du willst recht zügig eingelocht werden
    d) Nein, wäre ich Juwelier, würde ich es aber mal bei mir versuchen. Das ist vollkommen ok. Ist ja meins.

    SeppJ schrieb:

    Sqwan schrieb:

    a) Darf er nicht

    Doch.

    b) kann er auch nicht so einfach

    Doch.

    c) lohnt sich nicht

    Doch.

    d) hast du das mal versucht?

    Doch. Ok, habe ich nicht, weil sich das nicht gehört.

    a) Nein, darf er sicher nicht! Du hast auch als root kein recht an PWs die nicht deine sind
    b) Ist also ganz einfach? Wie viele sätze brauchst du, um mir zu erklären wie ich an einem Fremden PC zur rechten zeit ein Speicherabbild ziehe?
    c) So, was soll denn drin stehen, das er register ausließt und ströme misst? Geschweige der gefahr erwischt zu werden. Könnte der nutzer immerhin merken wenn einer sein Passwort missbraucht...
    d) Wer hindert dich zu versuchen deine eigenen daten auszuspionieren. Und wieso sollte sich das nicht gehören. Darfst es nur nicht bei anderen machen.
    Mag mal gern sehen wie lang du brauchst um die eingabe eines Passwortes heraus zu finden (Ohne den gebrauch eines keyloggers), wenn jemand trueCrypt verwendet.

    EDIT:
    Stell dir mal vor, ich generiere eine zufallszahl, die ich dem benutzer anzeige, und ihn aufforder seine Buchstaben immer um diese Zahl nach rechts zu verschieben bei der eingabe des passwortest.
    Ist die Zahl also 2, gibt er statt einem a ein b ein, und mein programm rechnet das dann wieder zurück.
    Wie viel wird dir dann dein keylogger bringen?

    Und jetzt sag nicht, "mach ich halt immer screens mit"... Nur weil es geht...

    0
  • C

    Sqwan schrieb:

    Mag mal gern sehen wie lang du brauchst um die eingabe eines Passwortes heraus zu finden (Ohne den gebrauch eines keyloggers), wenn jemand trueCrypt verwendet.

    Ein User kann truecrypt gar nicht installieren, das benötigt nämlich Treiber im Kernel. Insofern ist der User darauf angewiesen, dass der Admin ihm truecrypt installiert. Merkst du was? 🙂

    0
  • S

    ich bin mir nicht sicher, aber ich glaube, man kann auch normalen usern das recht geben etwas zu installieren. Dafür bin ich aber zu sehr user und zu wenig Admin.

    Nun gut, der admin muss es installieren. Aber was bringt ihm das? Mit ausnahme das er weiß das es da ist?
    Kann er sich anzeigen lassen wann es gestartet wird, und vllt sogar wann ein pwd eingegeben wird?

    Ich habs wie gesagt nie getestet. Also es zu installieren schon, aber nicht es zu hacken...

    0
Anmelden zum Antworten