Tryndamere
Neu angemeldet
- Registriert
- 23 Juli 2013
- Beiträge
- 49
Hallo Leute,
Immer wieder hört man "Portal XY geknackt Datenbank mit Passwörtern geklaut" usw. NAtürlich werden die HAshes mit SALTS gesichert, aber diese sind ja meist auch mit unter dem Diebesgut und damit dürfte die Sicherheit des Salts weg sein.
Das optimale wäre doch, wenn ich als Betreiber doch das Passwort gar nicht kennen würde, aber trotzdem die User verifizieren kann. Dies gibt es ja bereits in der Form von zero knowledge verfahren.
Mir stellt sich die Frage, warum diese nicht für Login Scripts erwendet werden.
Ich als Betreiber kenne nur den Public Key des Users und damit ist bei einem "Hack" die Passwörter der User sicher.
Konkrete Idee:
Init:
User Server
1: -------Account erstell Request-----> //Benutzername wird übergeben, Eingaben geprüft etc
2: User berechnet Private key h(Passwort) (Zahlenwert errechnen
3: User berechnet Public Key
4: -----------sende Public Key------->
5: Server legt den Account an mit {Benutzername,Public Key}
Login dann ganz einfach "das Zero Knowledge Verfahren (z.b. Schnorr)
Vorteile:
1. Login wäre sicher
2. Schutz vor Replay
3. Bei Hack gehen "keine Daten" verloren, da die Sicherheit des Passwortes durch ein hashverfahren + die komplexität des diskrten Log. geschützt
Warum wird dies also nicht verwendet in der Webumgebung?
MfG
Immer wieder hört man "Portal XY geknackt Datenbank mit Passwörtern geklaut" usw. NAtürlich werden die HAshes mit SALTS gesichert, aber diese sind ja meist auch mit unter dem Diebesgut und damit dürfte die Sicherheit des Salts weg sein.
Das optimale wäre doch, wenn ich als Betreiber doch das Passwort gar nicht kennen würde, aber trotzdem die User verifizieren kann. Dies gibt es ja bereits in der Form von zero knowledge verfahren.
Mir stellt sich die Frage, warum diese nicht für Login Scripts erwendet werden.
Ich als Betreiber kenne nur den Public Key des Users und damit ist bei einem "Hack" die Passwörter der User sicher.
Konkrete Idee:
Init:
User Server
1: -------Account erstell Request-----> //Benutzername wird übergeben, Eingaben geprüft etc
2: User berechnet Private key h(Passwort) (Zahlenwert errechnen
3: User berechnet Public Key
4: -----------sende Public Key------->
5: Server legt den Account an mit {Benutzername,Public Key}
Login dann ganz einfach "das Zero Knowledge Verfahren (z.b. Schnorr)
Vorteile:
1. Login wäre sicher
2. Schutz vor Replay
3. Bei Hack gehen "keine Daten" verloren, da die Sicherheit des Passwortes durch ein hashverfahren + die komplexität des diskrten Log. geschützt
Warum wird dies also nicht verwendet in der Webumgebung?
MfG