ComputerBase Menü
Aktuelles

News Einfacher Login via BrowserID von Mozilla

Also ich würde die Passwörter mit 256bit etc. verschlüsselt in einer Datenbank bei BrowserID speichern lassen.
Aber dann als Masterpasswort beim Benutzer keine normalen Passwörter zulassen. Sondern nur per Fingerabdruck oder mit diesen Reiner SCT Cyberjack geräten. Da gibts ja Versionen mit Chipkarte und Nummernfeld am Gerät. Oder so ein Pingenerator.
 
Was soll das ganze?
Nein ehrlich ich kapier den Sinn der Sache nicht.

Ich brauch doch eh nur einmal im FF mein Masterpasswort eingeben und schon füllt mir der Passwortmanager auf jeder Website Loginname + PW Feld automatisch aus.

Der Login per BrowserID ist doch im Prinzip genau das gleiche, nur dass der Login Button dann im Browser Interface sitzt und nicht auf der Website, oder?
 
@aspro: Wenn man das Speichern der Passwörter auf dem eigenen PC für sicherer hält, dann bitte. Aber im Endeffekt ist das genauso Bequemlichkeit zu Lasten der Sicherheit. Das Master-Passwort hält nur zufällige "Zuschauer" ab, aber wer direkten Zugriff auf den PC hat, der kommt problemloser an die Passwörter als andwerswo. Aber egal.

Der Sinn hinter den in der News genannten Diensten ist nicht, dass man da seine Passwörter hinterlegt. Davon ist auch ganz klar nicht die Rede. Es geht darum sich dort zu identifizieren und dann über diesen einen Login sich auf anderen Seiten ebenfalls anmelden zu können. Es ist kein Sammeldienst für zig Accounts, sonder es soll diese quasi ersetzen.

Wie weiter oben von jemanden erwähnt gibt es schon einige Dienste in der Richtung

OpenID, OAuth, Facebook Connect und nun auch noch BrowserID.
Zum Vergrößern anklicken....

Meist wird man vor die Wahl gestellt, neben dem üblichen Weg, sich stattdessen eben mit seinem Facebook- oder Google-Account bei einer Seite einzuloggen.
 
Zuletzt bearbeitet:
HappyMutant schrieb:
Es ist kein Sammeldienst für zig Accounts, sonder es soll diese quasi ersetzen.
Zum Vergrößern anklicken....
Achso, quasi ein Account für alles.

Aber dann kann ja jede Website auf alle Daten in meinem Profil zugreifen, oder?
Dann kann ich also nicht mehr selbst festlegen, welcher Website ich welche Daten von mir gebe.
Das ist in meinen Augen eher ein Nachteil, als ein Vorteil, v.a wenns eh schon ne gute Alternative zu diesem System gibt (Passwortmanager), die mir auch schon das Merken von zig Passwörtern abnimmt.
 
Die Zentralisierung von Sicherheitsrelevanten Informationen könnte fahrlässiger nicht sein.
Darüber hinaus wird dadurch ermöglicht, dass man Accounts auf verschiedenen Plattformen nun noch leichter einer einzigen Person zuordnen wird können, selbst, wenn unterschiedliche e-Mail-Adressen und Nutzernamen verwendet werden. Und nicht einmal die Verwendung von Anonymisierungsdiensten wie Tor oder shared VPN hilft in diesem Fall dann weiter. Ganz unbeabsichtigt ist dieser "Nebeneffekt" wohl nicht.
 
oetzn schrieb:
Kommt drauf an wie verschlüsselt ;)
Es gibt mittlerweile Tools die es jeden Otto-Normalverbraucher ermöglichen, seinen GPU effizient dafür zu nutzen Hashes zu cracken.
Ein Hacker bräuchte sich dann nur noch einen PC mit einem SLI/CF Verbund aus den aktuell schnellsten SingleGPUs zu bauen und er knackt so einen Hash in ein paar Minuten oder eben Stunden (kommt auf den Hash an)
Und wenn er die Datenbank erst einmal hat, hat er ja im Prinzip so viel Zeit wie er will :D
Zum Vergrößern anklicken....
aber nur wenn da Vollidioten als Entwickler sitzen, oh ich vergaß, LuzSec hat ja gezeigt, dass es so ist.
Wenn man Hashing mit Methoden wie Bcrypt nutzt, dann sind GPUs nutzlos, weil der Algorithmus nicht parallelisierbar ist und sowas schon um einen Faktor von minimal 1200 langsamer ist. Und bei Bcrypt lässt sich dieser Faktor einstellen, es ist somit sogar möglich, dass einen Hash zu berechnen bis zu einige Wochen benötigt, minimal 1ms (md5 benötigt nur 0.001sms). Damit kann der Algorithmus auch wunderbar den immer schneller werdenden CPUs und GPUs angepasst werden.
Aber solange es genug dämliche Entwickler gibt, wird Passwörter knacken noch einfach bleiben...

HappyMutant schrieb:
Meist wird man vor die Wahl gestellt, neben dem üblichen Weg, sich eben mit seinem Facebook- oder Google-Account sich bei einer Seite einzuloggen.
Zum Vergrößern anklicken....
richtig, und ich als Entwickler muss alle diese Möglichkeiten implementieren ...

Grantig schrieb:
Aber dann kann ja jede Website auf alle Daten in meinem Profil zugreifen, oder?
Dann kann ich also nicht mehr selbst festlegen, welcher Website ich welche Daten von mir gebe.
Zum Vergrößern anklicken....
Doch, du kannst festlegen welche Daten, du jeder Webseite geben willst. Ist das der Website nicht genug wird sie dich eben selbst nochmal nach dem Rest der Daten fragen.
Die Webseite wird nur den Account-Identifier 3e1cc6483ee1acf5aa8cefebfe39f77093250326 kennen, was dahintersteckt weiß die Webseite nicht, nur wenn du ihr erlaubst die Daten abzurufen.
 
Zuletzt bearbeitet:
Artikel-Update: Der geheime Schlüssel des bei der Public-Key-Verschlüsselung verwendeten Schlüsselpaars wird nur im Browser des Benutzers gespeichert. Der Identitätsprovider kennt nur den zugehörigen öffentlichen Schlüssel und kann somit nicht im Namen des Benutzers agieren. Beim Einloggen signiert der Browser mit dem privaten Schlüssel eine „Identity Assertion“ bestehend aus E-Mail-Adresse, Domain der Website und Zeitstempel. Die Website kann diese „Identity Assertion“ anschließend anhand des öffentlichen Schlüssels, den sie von dem Identitätsprovider anfordert, verifizieren. Dies ist ein weiterer wesentlicher Vorteil von BrowserID gegenüber beispielsweise OpenID.
 
Da der private Schluessel nur lokal im Browser gespeichert ist, gibt es Probleme wenn man sich mal unterwegs einloggen will?!
 
Grantig schrieb:
Aber dann kann ja jede Website auf alle Daten in meinem Profil zugreifen, oder?
Dann kann ich also nicht mehr selbst festlegen, welcher Website ich welche Daten von mir gebe.
Zum Vergrößern anklicken....

Nein. Das mag bei Google oder Facebook begrenzt der Fall sein, aber ich glaube nicht (vermutlich wird es optional sein, aber ich will nichts falsches erzählen). Es geht zunächst immer nur darum, dass der Identitätsprovider der Seite sagt: Dieser User hier ist echt, einzigartig und vertrauenswürdig. Die Seite selbst bekommt z.b. keinen Zugriff auf die Passwörter oder die Hashes und muss sie auch nicht speichern. Das ist so gesehen eher ein Vorteil. Wie man sieht gibt es genug angreifbare Seiten mit fragwürdiger Sicherheit.

Ob das System selbst dann eventuell Lücken aufweist, ob es tatsächlich praktischer und bequemer ist, das muss man dann sehen (hier eben die Frage nach dem persönlichen Schlüssel). Es gibt sicherlich vorstellbare Szenarien für Angriffe und je populärer ein Dienst ist, desto heftiger die Attacken.

Aber persönlich sehe ich, nach dem ich mir auch nicht so recht vorstellen konnte, wozu man das braucht und ich auch die gleichen Bedenken hatte, zumindest keine gravierenden Nachteile, außer eben dass der ID-Anbieter immer weiß, auf welchen Seiten du dich wann bewegst. Das ist mir persönlich weniger recht, aber wer alle Facebook- und Google-Features nutzt, dem wird dann auch so etwas eher egal sein.
 
Zuletzt bearbeitet:
natürlich, es wird nicht funktionieren ;)
Eventuell wird es da von BrowserID eine Lösung für geben oder nicht, mal abwarten.
 
HappyMutant schrieb:
@aspro: Wenn man das Speichern der Passwörter auf dem eigenen PC für sicherer hält, dann bitte. Aber im Endeffekt ist das genauso Bequemlichkeit zu Lasten der Sicherheit. Das Master-Passwort hält nur zufällige "Zuschauer" ab, aber wer direkten Zugriff auf den PC hat, der kommt problemloser an die Passwörter als an andwerswo. Aber egal.
Zum Vergrößern anklicken....
In dem ursprünglichen Sinne von Sicherheit ist es natürlich nicht sicherer, das stimmt. Wenn es jemand darauf anlegt, kann man natürlich auf meine Passwörter zugreifen. Aber wieso sollte jemand mit böswilligen Absichten irgendwelche Privat-PCs hacken. Das macht überhaupt keinen Sinn. Wäre ich jetzt irgendein Konzernboss mit vielen sensiblen Daten auf dem Rechner vielleicht schon eher, bin ich aber nicht. :D Der sucht sich eher Ziele mit sehr vielen Daten auf einmal.
Wenn ich also abwäge zwischen wenig Sicherheit, aber auch geringer Gefahr eines Angriffs oder mehr Sicherheit, hoher Angriffsgefahr und auch weniger Datenschutz, wähle ich lieber das erstere, aber ist wohl jedem selbst überlassen.

Der Sinn hinter den in der News genannten Diensten ist nicht, dass man da seien Passwörter hinterlegt. Davon ist auch ganz klar nicht die Rede. Es geht darum sich dort zu identifizieren und dann über diesen einen Login sich auf anderen Seiten ebenfalls anmelden zu können. Es ist kein Sammeldienst für zig Accounts, sonder es soll diese quasi ersetzen.
Zum Vergrößern anklicken....
OK, danke für die Erklärung, dann hatte ich das missverstanden.
 
Turas schrieb:
Da der private Schluessel nur lokal im Browser gespeichert ist, gibt es Probleme wenn man sich mal unterwegs einloggen will?!
Zum Vergrößern anklicken....
Man könnte den privaten Schlüssel natürlich auf einem USB-Stick mitführen. Und es spricht auch nichts dagegen, den privaten Schlüssel auch auf das Handy zu kopieren.

Sinnvoll wäre es dann aber eventuell, wenn man den privaten Schlüssel mit einem Passwort verschlüsselen würde. Das ist bei SSH-Schlüsseln seit Ewigkeiten so üblich. Bei ausreichend langem Passwort können Dritte mit dem verschlüsselten privaten Schlüssel nichts anfangen.
 
aspro schrieb:
Der sucht sich eher Ziele mit sehr vielen Daten auf einmal..
Zum Vergrößern anklicken....

Bei gezielten Angriffen gebe ich dir recht. Das Problem sind aber eher Phishing-Attacken, Trojaner usw., die zwar ungerichtet sind, aber eben umso mehr das massenhafte Sammeln von Daten betreiben. Also selbst wenn kein konkretes Interesse an dir vorhanden ist, an deinen Daten eventuell schon.

Zumindest im Firefox werden die Passwörter (soweit man dem Netz glauben kann) sicher verschlüsselt abgelegt, wenn man ein Master-Passwort setzt und auch sonst zumindest nicht im Klartext, sondern als Hash (Edit: siehe Antwort). Von daher will ich es nicht schlechter reden als es ist und ich nutze es ja auch. Ich halte es nur per se nicht für sicherer als andere Methoden. :D
 
Zuletzt bearbeitet:
@HappyMutant
Danke für die Erklärung.
Scheint ja doch ne ganz interessante Sache zu sein. Ich bin gespannt wie sich das entwickelt, bzw. ob der Service dann im Endeffekt hält, was er verspricht.

aspro schrieb:
Wenn ich also abwäge zwischen wenig Sicherheit, aber auch geringer Gefahr eines Angriffs oder mehr Sicherheit, hoher Angriffsgefahr und auch weniger Datenschutz, wähle ich lieber das erstere, aber ist wohl jedem selbst überlassen.
Zum Vergrößern anklicken....
full ack
 
HappyMutant schrieb:
Zumindest im Firefox werden die Passwörter (soweit man dem Netz glauben kann) sicher verschlüsselt abgelegt, wenn man ein Master-Passwort setzt und auch sonst zumindest nicht im Klartext, sondern als Hash.
Zum Vergrößern anklicken....

tut mir leid, aber dann sind deine Quellen falsch ;)
Kein Browser kann in seinem Passwortmanager das Passwort als Hash speichern, da die Webseite es im Klartext benötigt, die Passwörter werden also nur verschlüsselt.

Warum ist dies so?
Die Web-Anwendung hasht das eingegebene Passwort selbst und bei Übereinstimmung wirst du eingeloggt.
Würdest du der Web-Anwendung direkt einen Hash geben und der wird mit dem Wert aus der DB verglichen, reicht einem Angreifer irgendwo eine Datenbank zu entwenden und den Hash an das Portal zu senden, er muss nichtmal mehr den Hash knacken: unsicher² (unter der Annahme das Passwort ist bei beiden Seiten gleich)
 
HappyMutant schrieb:
Bei gezielten Angriffen gebe ich dir recht. Das Problem sind aber eher Phishing-Attacken, Trojaner usw., die zwar ungerichtet sind, aber eben umso mehr das massenhafte Sammeln von Daten betreiben. Also selbst wenn kein konkretes Interesse an dir vorhanden ist, an deinen Daten eventuell schon.
Zum Vergrößern anklicken....
Inwiefern soll man da mehr oder weniger für Phishing-Attacken verletzbar sein?
Und dass es jemals einen Trojaner gibt, der darauf aus ist den Passwort-Manager von Opera mit seinen 1% Martanteil zu knacken, glaube ich weniger^^

Zumindest im Firefox werden die Passwörter (soweit man dem Netz glauben kann) sicher verschlüsselt abgelegt, wenn man ein Master-Passwort setzt und auch sonst zumindest nicht im Klartext, sondern als Hash. Von daher will ich es nicht schlechter reden als es ist und ich nutze es ja auch. Ich halte es nur per se nicht für sicherer als andere Methoden. :D
Zum Vergrößern anklicken....
In Opera werden die Passwörter auch verschlüsselt, aber ich hab gelesen, dass es sich mit diversen Programmen auslesen lässt.
 
@ice-breaker: Okay dumm ausgedrückt. Eigentlich wollte ich sagen, dass der Browser selbst die Passwörter nicht im Klartext ablegt. Ist halt aber dennoch problemlos auszulesen.

@aspro: Ein Trojaner kann genauso gut für Opera, IE und Firefox passende Angriffe beinhalten. Es kommt nur drauf an, wie trivial es umzusetzen ist. Es gibt sicherlich andere Methoden und normalerweise wird das Passwort für verschlüsselt übertragene Seiten eh nicht lokal gespeichert, was gewisse lukrative Ziele ausschließt. Nur wie gesagt, es ginge, wenn man wollte und wenn kein Master-Passwort gesetzt ist (zu 99% der Fall vermutlich). Deswegen ist es nicht unbedingt sicherer als andere Wege. Hier hast du nur das Gefühl, du hast es selber im Griff, weil es eben lokal liegt. Ich würde auch keinem Dienst vertrauen der meine Passwörter bei sich auf dem Server speichert.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Steffen
Ankündigung Verdächtige Logins in rund 900 ComputerBase-Accounts, die nun sicherheitsgesperrt sind
5 6 7
Antworten
128
Aufrufe
17.367
karlos3
karlos3
KernelMaker
Glasfaser Eigenes Modem an FTTH-Anschluss via SFP GPON Modul
31 32 33
Antworten
654
Aufrufe
169.358
KernelMaker
KernelMaker
XMG Support
  • Angepinnt
[Sammelthread] XMG NEO (E23) mit RTX 40 und Intel Core HX-Serie
5 6 7
Antworten
122
Aufrufe
31.227
stronzo46
S
Dopamin
  • Artikel
Leserartikel Lesertest Synology DS220+ - Active Backup for Business – Backup physischer PCs & Server
Antworten
3
Aufrufe
12.446
Rickmer
Rickmer
Steffen
  • Gesperrt
  • Angepinnt
Tipps und FAQ zur Benutzung des Forums
Antworten
14
Aufrufe
41.111
Steffen
Steffen
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz