• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Schreibverhalten kann zur Deanonymisierung verwendet werden (auch in TOR)

tokotoko

NGBler

T
Registriert
16 Juli 2013
Beiträge
262
Da das Thema des Threads "Schreibverhalten kann zur Deanonymisierung verwendet werden (auch in TOR)" ist und der letzte Satz sich u.a. auch auf den Tor Browser bezog der ja nunmal keinen Schutz dagegen bietet, kommt das irgendwie nicht so rüber das du nur auf das PlugIn hinweisen möchtest.
Ich würde zumindest die Überschrift dann anders gestalten.
 

m4yos

Guest

M
@Togijak: so scheiße wie ich dieses geh weg/geh in Keller/geh sterben dazwischengrätschen generell finde; zwei, drei Sätze von den Entwicklerseiten (Paul Moore/ Per Thorsheim) zur Idee des Projekts (BehavioSec) & Technik hinter dem Plugin und es wär von Anfang an klar gewesen, auf welche alten/neuen Ergebnisse sich die beiden beziehen, und das das Plugin erstmal nur als Proof of Concept zu verstehen ist. Bei Moore gibts dazu weiter unten Kommentare zu Performanceschwächen ect.

Das man sich einen Haufen Javascript installieren soll, der das Keyboard überwacht, um dadurch mehr Privacy zu bekommen, klingt für mich wie aus Huxley's 'schöne neue Welt', oder einem Doctorow Roman.
 
Zuletzt bearbeitet:

Togijak

Mensch

Togijak
Registriert
18 Juli 2013
Beiträge
206
  • Thread Starter Thread Starter
  • #23
@m4yos

Ich stimme Dir zu aber - betrachte die Art als (un)gewollten Intelligenz / Niveau Test - Du hast ihn bestanden, ein paar andere nicht. Abgesehen davon bin ich mir fast sicher, dass selbst beim genialsten Beitrag Kritik gekommen wäre und sei es nur in der Form - was erklärst Du das so ausführlich, dass wissen wir doch schon alles und außerdem ....
 

accC

gesperrt

A
Registriert
14 Juli 2013
Beiträge
5.250
Schämst du dich eigentlich nicht, so einen Mist von dir zu geben? Die eigenen Fehler als Intelligenztest für andere auszugeben.. Leidest du eigentlich an Wahrnehmungsstörungen, Größenwahn, Arroganz oder allem?
 

mathmos

404

mathmos
Registriert
14 Juli 2013
Beiträge
4.415
Togijak schrieb:
Ich stimme Dir zu aber - betrachte die Art als (un)gewollten Intelligenz / Niveau Test - Du hast ihn bestanden, ein paar andere nicht.
Zum Vergrößern anklicken....

Sagt gerade der, der mit dieser Aussage erfolgreich gegen die allgemeinen Boardregeln verstoßen hat und sich somit just in diesem Moment eine Verwarnung von mir eingehandelt hat.

So und nun wird der Thread, wenn noch Bedarf besteht, zivilisiert weitergeführt. Das gilt für alle.
 

tool

Neu angemeldet

T
Registriert
7 Aug. 2015
Beiträge
14
Eine ähnliche Technik wie die, die in dem oben verlinkten Artikel beschrieben wird, kann auch genutzt werden, um das Kennwort von einem Benutzer gezielt festzustellen. Dabei handelt es sich jedoch seltener um JavaScript (denn dann könnte man das Kennwort auch direkt aus dem Kennwort-Feld auslesen). Stattdessen wird auch nur die Zeit zwischen den einzelnen Tastenanschlägen gemessen, um daraus Informationen über das Kennwort zu gewinnen (Lage der Tasten, Erkennung von charakteristischen Buchstabenfolgen,...). Ich schaue mal, ob ich ausführlichere Informationen dazu auftreiben kann, ich hab es leider auch nur am Rand mitbekommen, dass so ein Angriff wohl erfolgreich durchgeführt wurde...
 

bevoller

Neu angemeldet

B
Registriert
4 Aug. 2013
Beiträge
1.481
tool schrieb:
Stattdessen wird auch nur die Zeit zwischen den einzelnen Tastenanschlägen gemessen, um daraus Informationen über das Kennwort zu gewinnen (Lage der Tasten, Erkennung von charakteristischen Buchstabenfolgen,...). Ich schaue mal, ob ich ausführlichere Informationen dazu auftreiben kann...
Zum Vergrößern anklicken....
Wäre mal interessant. Ich würde mal stark annehmen, dass jemand, der einigermaßen gut mit 10-Finger-Suchsystem schreiben kann, die meisten Zeichen relativ gleichmäßig eintippen kann. Je nach Messgenauigkeit wären vermutlich die Zeitabstände bei allen Zeichen in Reihe 1 (Q) und 3 (Y) etwas größer, weil die Finger ja ohnehin auf Zeile 2 (A) liegen. Ob man daraus bei der hoffentlich menschlichen Ungenauigkeit im Tipprhythmus gesicherte Rückschlüsse auf ein Passwort ziehen kann, bezweifele ich an dieser Stelle einfach mal.
 

tool

Neu angemeldet

T
Registriert
7 Aug. 2015
Beiträge
14
Über Google habe ich ein Paper zu dem Thema gefunden, in dem der Angriff detailliert erklärt wird. Die Zusammenfassung jedenfalls legt nahe, dass 5-stellige alphabetische Kennwörter mit Wahrscheinlichkeit von 90% in weniger als 20 Versuchen geknackt wurden. 10-stellige Kennwörter immerhin noch mit Wahrscheinlichkeit von 80% bei weniger als 75 Versuchen. Wenn es nicht nur um Kennwörter geht, können bis zu 96% des getippten Textes auf diese Art rekonstruiert werden.

Zu deiner Anmerkung bezüglich des 10-Finger-Systems: Auch das wird berücksichtigt und angesprochen. Charakteristisch ist wohl beispielsweise, dass man für ein 'y' länger braucht als für ein 'h', obwohl beide Tasten direkt neben einem Finger liegen. Der Zeitunterschied bezieht sich also nicht nur auf die Distanz von Tasten zueinander, sondern auch auf den Finger, der für den Anschlag benutzt wird.

Eine Gegenmaßnahme, die ich in dem Paper jedoch nicht finden konnte, wäre das Einsetzen einer Tastatur mit alternativem Layout als Maßnahme zur Verschleierung. Sobald das aber dem Angreifer bekannt ist, bringt es natürlich gegen den Angriff selbst auch nichts mehr.
 

Togijak

Mensch

Togijak
Registriert
18 Juli 2013
Beiträge
206
  • Thread Starter Thread Starter
  • #29
@mathmos

aber das ist OK obwohl es zu keinem Resultat führt wenn man sucht (was ich schon vorher getan hatte)?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben