Heyho zusammen,
ich habe mal eine Frage rein aus Interesse.
Beispiel Website Login:
Vereinfacht gesagt wird heutzutage im idealfall das Passwort auf dem Server nicht mehr im Klartext gespeichert, sondern als Hash Wert irgendwo auf der Datenbank. Jetzt kommt ein böser Bub und stiehlt die Datenbank mit den Hashen.
Aus den Hashes kann der böse Bub ja mit viel Rechenpower das Passwort zurückrechnen, oder den Hash zumindest dafür missbrauchen, sich in der Website einzuloggen.
Soweit so gut. Meine Frage jedoch ist, wenn ich eine zwei Faktor Authentifizierung habe (Beispielsweise Push Nachricht aufs Handy oder RSA key (Yubikey)), schützt mich das dann davor, dass er sich zumindest auf der Website einloggen kann?
Oder wird aus meinem Passwort und dem Yubikey einfach ein Hash errechnet und dieser wird dann in der Datenbank abgelegt, sodass quasi Passwort+2Faktor = HashAufDerDatenbank!?
Gibt es dahinter noch einen anderen Mechanismus, sodass er zwar mein Passwort hat (bzw PasswortHash), er allerdings nichts damit anfangen kann...
Kennt jemand die genauere Funktionsweise bzw. weiß wo diese Problematik in grundzügen beschrieben ist?
Danke euch :-)
Viele Grüße
Moejoe
ich habe mal eine Frage rein aus Interesse.
Beispiel Website Login:
Vereinfacht gesagt wird heutzutage im idealfall das Passwort auf dem Server nicht mehr im Klartext gespeichert, sondern als Hash Wert irgendwo auf der Datenbank. Jetzt kommt ein böser Bub und stiehlt die Datenbank mit den Hashen.
Aus den Hashes kann der böse Bub ja mit viel Rechenpower das Passwort zurückrechnen, oder den Hash zumindest dafür missbrauchen, sich in der Website einzuloggen.
Soweit so gut. Meine Frage jedoch ist, wenn ich eine zwei Faktor Authentifizierung habe (Beispielsweise Push Nachricht aufs Handy oder RSA key (Yubikey)), schützt mich das dann davor, dass er sich zumindest auf der Website einloggen kann?
Oder wird aus meinem Passwort und dem Yubikey einfach ein Hash errechnet und dieser wird dann in der Datenbank abgelegt, sodass quasi Passwort+2Faktor = HashAufDerDatenbank!?
Gibt es dahinter noch einen anderen Mechanismus, sodass er zwar mein Passwort hat (bzw PasswortHash), er allerdings nichts damit anfangen kann...
Kennt jemand die genauere Funktionsweise bzw. weiß wo diese Problematik in grundzügen beschrieben ist?
Danke euch :-)
Viele Grüße
Moejoe