• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Warum ist die Passwortlänge oft begrenzt?

evillive

EXIL

evillive
Registriert
24 Juli 2013
Beiträge
930
@p3Eq:

worst case für den Angreifer: es gibt salt und dieser variiert

worst case für mich: es gibt kein salt oder der salt variiert nicht

Wenn der salt nicht variiert ist es keine Verschwendung. Und dann erstellt man eine Rainbowtable

Als Nutzer gehe ich vom schlechtesten Fall für mich aus ... -> es gibt kein salt und dem entsprechend erstelle ich mein Passwort
 

drfuture

Zeitreisender
Teammitglied

drfuture
Registriert
14 Juli 2013
Beiträge
8.760
Ort
in der Zukunft
Nun ja - was man am besten nutzt um selber sicher zu sein ist ja das eine...
warum aber so viele Seiten die maximal-Zahl an Zeichen oft stark limitieren ist mir auch nicht klar - und kann wohl auch sonst keiner beantworten :D

Oft werden keine Sonderzeichen erlaubt.. das hat den Hintergrund das vor allem "Anfänger" dann gerne mal ein schönes PW mit %§$%"§$ eingeben..
Und dann im Ausland im Urlaub ein Ticket aufmachen weil sie ihr PW auf der Tastur dort evtl. nicht eingeben können da ein paar Tasten fehlen...
 

p3Eq

zu nichts zu gebrauchen

P
Registriert
15 Juli 2013
Beiträge
358
@evillive: Selbst bei nicht variierendem Salt ist es Verschwedung - immerhin könnten man einen regulären Brute Force Angriff so modifzieren, dass nicht nur eine Übereinstimmung mit einem Hash gefunden wird, sondern für eine Liste an Hashes. Der Brute Force-Algorithmus muss dazu bei der Überprüfung, ob ein Hash gefunden wurde, nur prüfen, ob der berechnete Hash in einer Liste von zu findenden Hashes steht und dann das gefundene Paar ausgeben. Der Speicher für Rainbow Tables würde dann überflüssigerweise belegt werden.
Einziges denkbares Szenario wäre für mich, dass ein Rainbow Table angelegt wird, um auch Hashes von zukünftigen Kennwörtern direkt in Klartextform zu haben. Allerdings würde ich behaupten, dass es leichter wäre, ein Admin-Kennwort zu knacken und/oder über weitere Schwachstellen der Seite den Quellcode dahingehend zu ändern, dass die neuen Kennwörter direkt in Klartextform mitgeloggt werden. Ist natürlich nicht zwingend möglich, wenn man in Besitz eines Admin-Kennworts gekommen ist, doch das wäre zumindest der Weg, den ich zunächst wählen würde. Ein Rainbow Table nimmt einfach zu viel Speicher weg...
 

m6ld8ywqya

NGBler

M
Registriert
16 Juli 2013
Beiträge
671
drfuture schrieb:
Oft werden keine Sonderzeichen erlaubt.. das hat den Hintergrund das vor allem "Anfänger" dann gerne mal ein schönes PW mit %§$%"§$ eingeben..
Und dann im Ausland im Urlaub ein Ticket aufmachen weil sie ihr PW auf der Tastur dort evtl. nicht eingeben können da ein paar Tasten fehlen...
Zum Vergrößern anklicken....
Ich werde mich hüten auf fremden, nicht vertrauenswürdigen Rechnern (egal ob in In- oder Ausland) irgend eines meiner Passwörter einzugeben. Da ist es für ONU, der Sonderzeichen in Passwörtern benutzt, sogar von Vorteil, wenn er dort nicht alle auf der Tastatur findet. So können seine Passwörter nicht in fremde Hände gelangen.
 

nik

Guest

N
@m6ld8ywqya: Für dich.
Das Killerargument gegen Ende-zu-Ende-Verschlüsselung und für DE-Mail war aber nun mal, dass man so auch mal im Urlaub am Computer im Hotel seine Mails abrufen kann.

Und die meisten User sind nun mal nicht so Umsichtig.
 

nik

Guest

N
@Draugas: Ich kenn den Vortrag. Ändert aber nun mal nichts an der Tatsache, dass ein Großteil der Menschen nicht nur eigene Endgeräte für die Anmeldung bei Internetdiensten verwendet.
Und die melden sich dann sofort beim Support.

Da finde ich das Argument von drfuture schon nachvollziehbar.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben