Passworthash Nachfrage

[IT-T0bi]

Hallo Leute,

ich hatte soeben den Fall, dass ich den letzten Buchstaben bei der Anmeldung bei der PS4 kleingeschrieben habe, statt groß (wie korrekt). Das System hat es trotzdem angeblich als richtig erkannt. Im Webinterface wird dieses dann als falsch angezeigt.
Meine Nachfrage daher, wie kann das möglich sein? Der Passworthash mit einem Kleinbuchstaben ergibt doch einen völlig anderen Hash?

Grüße

 

[madmax2010]

Ist das reproduzierbar?
Das deutet darauf hin, dass da entweder irgendwo das Passwort im Klartext gespeichert wurde oder sie nur die ersten stellen des passworts fuer die Anmeldung ueberpruefen.
Bei Amazon war es einige zeit, dass man sich mit den ersten 6 oder 8 stellen seines Passworts fuer manche der Dienste anmelden konnte.
Es gibt auch moeglichkeiten unabhaengig von der Schreibweise den gleichen hash zu bekomen, aber das ist hacky und sollte so bitte nicht genutzt werden

Probier mal bitte durch was da geht und berichte hier

 

[benneq]

Der Passworthash mit einem Kleinbuchstaben ergibt doch einen völlig anderen Hash?

Das stimmt natürlich in 99,999999999999...9% der Fälle. Ich bezweifle mal, dass du so einen Glückstreffer gelandet hast, wo die Hashes übereinstimmen.

Es gibt aber noch 3 Möglichkeiten:
1. Sony macht ein "toLowercase" auf die Passwörter, wodurch Groß/Kleinschreibung egal wird. Das wäre natürlich ziemlich bescheuert, aber nicht ausgeschlossen. Du kannst es ja mal probieren indem du bei einem anderen Buchstaben die Groß/Kleinschreibung veränderst.
2. Sony hasht das Passwort in mehreren Variationen, um Falscheingaben durch solche Flüchtigkeitsfehler zu verhindern. Z.B. auch wenn man zwei Zeichen vertauscht. Das wäre aber genau so dämlich wie Fall 1.
3. Dein Browser (oder was auch immer du zur Anmeldung genutzt hast) kennt das Passwort, hat den kleinen Fehler erkannt und für dich korrigiert. Aber auch das fände ich bedenklich.

Passwort im Klartext

Würde ich nicht sagen. Es gibt genug Möglichkeiten, um sowas flexibel zu machen und ohne Klartext auszukommen.

 

[Masamune2]

Das geht recht einfach indem man das Kennwort von vornerein einmal Groß und einmal klein abspeichert. Das verringert zwar die Sicherheit, aber auch massiv den Supportaufwand.
Lässt es sich reproduzieren kannst du dir sicher sein das es so gemacht wird. Komplett im Klartext würde ich bei der Security Vergangenheit des PSN nicht vermuten, außer man hat schlicht gar nichts gelernt.

 

[IT-T0bi]

Den Fall hatte ich bei Facebook auch Mal… man konnte so viele Stellen nach einem bestimmten Buchstaben eingeben und das Kennwort wurde als korrekt erkannt.

Ich nutze keinen Browser, sondern das native System von PS4 . Im Firefox wird dasselbe Kennwort als falsch erkannt. Es müsste also an der Anwendung/Anmeldung im nativen System liegen.

 

[madmax2010]

Hat man bei knuddels auch gedacht. * duck *
natuerlich sind die passwoerter gehased. MD5!!! und im klartext haben wir sie nur, damit der Passwort reset leichter geht

 

[benneq]

Ich nutze keinen Browser, sondern das native System von PS4 . Im Firefox wird dasselbe Kennwort als falsch erkannt. Es müsste also an der Anwendung/Anmeldung im nativen System liegen.

Könnte natürlich sein, dass sie für direkte Logins von der PlayStation ein etwas lascheres System nehmen, weil diese Bildschirmtastaturen mit Controllereingabe echt grausam zu bedienen sind

 

[IT-T0bi]

Habs rausgefunden... Das Kennwort darf max. 30 Zeichen lang sein.
Auf der PS4 können jedoch mehr angegeben werden, daher werden alle weiteren Zeichen einfach ignoriert.