Spyke

Syndicated from the fediverse. Read and engage on the original instance.

View original on feddit.org

14 replies

feddit.org

Irgendwo hab ich dunkel in Erinnerung, dass es einen Passwortmanager gab/gibt, der auch bei falschem Passworten einen korrekten Login anzeigt und den Nutzer ins Programm lässt. Nur war es ein falscher Eingang bei dem plausible aber falsche Dienste, Nutzernamen und Passwörter angezeigt wurden. Ein Programm und auch ein böswilliger Akteur kann dann nicht mehr ohne Weiteres entscheiden, ob der Angriff nun erfolgreich war. Der korrekte Nutzer sieht es dagegen auf den ersten Blick. Habe leider den Namen vergessen.

33

Eine ähnliche Funktionalität gibt es in VeraCrypt, man besitzt zwei Volumen die beide über unterschiedliche Eingaben entschlüsselt werden.

1
lemmy.ml

Würde das eigentlich funktionieren? Das hört so dumm auf, aber nie habe ich darauf wirklich gedacht. 👀

16
brotreply
feddit.org

Klassisches Beispiel von "Security by Obscurity". Natürlich kannst du damit (auf Kosten deiner User) diverse malicious Logins verhindern und natürlich kannst du so im Zweifelsfall auch verhindern, dass Leute erfolgreich Daten aus Passwortleaks verwenden. Aber: Das funktioniert nur für die typischen "Drive-By-Hacker". Wenn dein System halbwegs interessant für Leute ist oder der Angreifer wirklich Energie aufwendet ist, dann durchschaut er den Trick schnell

29

Du deutest es zwar an, aber noch mal explizit: Bei einem offline Angriff würde der Code nie laufen und somit auch gar nichts bringen.

Dabei wird direkt gegen die Hashes in einer Kopie der Nutzerdatenbank verglichen und nicht die normale Anmeldemaske verwendet.

9
optionalreply
feddit.org

Gegen Rohe-Gewalt-Angriffe würde das (quasi) nichts bringen, denn dabei probiert man ja gerade alle möglichen Passwörter durch. Die Chance, dass das was bringt entspricht also der Wahrscheinlich beim ersten Versuch das richtige Passwort zu erraten. Der Kommentar im Code ist also auf jeden Fall Quatsch.

Gegen das ausprobieren gestohlener Nutzerdaten könnte es evtl. einen kleinen Vorteil bieten, auf Kosten von vielen genervten legitimen Nutzern.

3
brotreply
feddit.org

Warum sollte es gegen Brute Force nichts helfen? Immerhin muss man dann alle Passwörter 2x ausprobieren

6
optionalreply
feddit.org

Es wird ja nur der erste Loginversuch abgelehnt und nicht jeder zweite.

3

Die Idee ist glaub eher, dass der erste erfolgreiche Login versuch abgelehnt wird.

8
Wutchillireply
feddit.org

Es würde eine Menge Menschys mit Passwortmanagern stören... Also bitte nicht

20

nicht mal ich_iel würde Kommentare auf Deutsch schreiben. muss ich mal meinem Chef sagen...

4

You reached the end