DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

3971 readers

405 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Aus gegebenem Anlass werden Posts zum Thema Palästina / Israel hier auf Dach gelöscht. Dasselbe gilt zurzeit für Wahlumfragen al´a Sonntagsumfrage.
___

Einsteigertipps für Neue gibt es hier.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 1 year ago

MODERATORS

Seven@feddit.org

Der_aus_Aux@feddit.org

Hätte Numa wie angekündigt mein Zimmer einfach kostenfrei storniert, als ich meinen Ausweis nicht teilen wollte, wäre ich nie auf anderer Leute Ausweisdaten gestoßen (marx.wtf)

submitted 5 days ago by copacetic@discuss.tchncs.de to c/dach@feddit.org

26 comments fedilink hide all child comments

you are viewing a single comment's thread
view the rest of the comments

[–] doktormerlin@feddit.org 14 points 5 days ago* (last edited 5 days ago) (8 children)

Anderweitig geschützt ist aber auch irgendwann nur obscurity. Bei einer normalen 16-stelligen Hexadezimalen zufalls-Id hast du 1.84x10^19 mögliche Kombinationen. Die Chance da jemals eine einzige gültige ID zu finden ist bei 500.000 Kunden nahe 0. Wenn du fortlaufende IDs hast und zB einen 6-stelligen TAN als zusätzlichen schutz ist die chance deutlich höher, dass du etwas findest. Die TAN wirkt sicherer, die Zufalls-ID ist aber sicherer.

Die TAN sichert dich 1:1.000.000 ab

Die Zufallsgenerierte ID sichert dich mit dem Faktor 1:37.000.000.000.000 ab.

Die zufallsgenerierte ID ist also 37 Millionen mal sicherer, als eine 6-stellige TAN, die schon als sehr sicher gilt.

[–] Arigion@feddit.org 5 points 5 days ago (6 children)

Im Prinzip richtig, nur hat halt niemand eine TAN erwogen ausser Dir gerade. Und den Grund hast Du ja auch gerade geliefert: bringt nicht so viel

Es wäre sinnvoller einem authentifizierten User ausschliesslich Zugriff auf seine Daten zu geben.

[–] Saleh@feddit.org 7 points 5 days ago (4 children)

Wie wird der User authentifiziert?

Ich vermute mit einem Authentifizierungscode, der z.B. als Cookie gespeichert ist. Den kann man genauso Brute-Forcen, wenn auf dem Server eine entsprechende Session offen ist, oder wenn jemand einen "Remember me" Cookie hat.

Du endest also schnell wieder bei der "security by obscurity" die du kritisierst. Deswegen haben z.B. Banken einen log-out timer von wenigen Minuten.

[–] cjk@discuss.tchncs.de 1 points 5 days ago (1 children)

Cookies sind heutzutage mindestens signiert, ggfls sogar verschlüsselt. Da irgendwas zu brute-forcen ist praktisch unmöglich.

(Dass deine Geheimnisse geheim sind, das sehe ich mal als gegeben an)

[–] Saleh@feddit.org 2 points 5 days ago (1 children)

Damit sind es auch nur sehr große Zeichenkettem, die man kaum zufällig erraten kann. Das ändert vom Prinzip des "dümmsten" Angriffs nichts ggü. einer sehr langen zufälligen Zeichenkette als Schlüssel zum Aufrufen eines bestimmten Seiteninhalts.

So lange die Identifikation über die Ferne erfolgt wird es immer darauf hinauslaufen, dass man ein oder mehrere Zeichenketten liefern muss, die zu erraten von der Wahrscheinlichkeit praktisch ausgeschlossen sind.

[–] cjk@discuss.tchncs.de 1 points 5 days ago

Wie ich bereits schrieb: praktisch unmöglich.

Bitte genau lesen :)

(Der Smiley zum entschärfen. Ich meine das nicht böse oder überheblich, sondern es ist eine aufrichtige Bitte)

load more comments (2 replies)

load more comments (3 replies)

load more comments (4 replies)