Ankündigung

Einklappen
Keine Ankündigung bisher.

Facebook und Passwörter

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Facebook und Passwörter

    Hallo

    Kann mir jemand von euch sagen, wie wohl Facebook die Passwörter speichert? Ich hatte gestern ein Erlebnis, das mir das Gefühl gibt, dass Facebook die Passwörter nicht nur mit md5 + salt o.Ä. hasht.

    Ich wollte mein Passwort ändern. Beispielpasswort: SehrSchön!
    Neues Passwort sollte SehrSchön1 werden. Dann meinte Facebook, dass ich das nicht verwenden kann.
    Also habe ich SehrSchön!1 und SehrSchön1! versucht. Wollte Facebook auch nicht haben.

    Habe dann noch ein paar andere Passwörter versucht, die ich vor eine Ewigkeit (Jahren) so, oder so ähnlich verwendet habe. Aber keins davon wollte Facebook haben. Die waren wohl alle meinen bereits verwendeten Passwörtern zu ähnlich.
    Wie kann Facebook wissen, dass ich ein ähnliches, nicht genau dieses Passwort schon mal hatte?
    Der Unterschied zwischen dem richtigen Wort und dem beinahe richtigen ist derselbe Unterschied wie zwischen dem Blitz und einem Glühwürmchen.

  • #2
    Hi,

    gibt es einige Ansätze, wie man auf "ähnliche Eingaben" prüfen kann:

    https://github.com/deezaster/germanphonetic/
    http://de.php.net/manual/de/function.levenshtein.php
    http://de.php.net/manual/de/function.metaphone.php
    http://wiki.apache.org/solr/SolPHP
    usw.

    ind MySQL z.B.

    http://dev.mysql.com/doc/refman/5.1/...html#id2517981 (SOUNDEX)
    usw
    oder einfach MATCH() AGAINST() nutzen

    mfg Wolf29
    while (!asleep()) sheep++;

    Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.

    Kommentar


    • #3
      soundex kann php auch: http://php.net/manual/de/function.soundex.php
      [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

      Kommentar


      • #4
        Aber wie kann man das mit Passwörtern machen, und die Werte z.B. den Metaphone-Schlüssel, sicher speichern?
        Passwort -> Metaphone-Schlüssel -> Hash und dann mit anderen Hashwerten abgleichen?
        Der Unterschied zwischen dem richtigen Wort und dem beinahe richtigen ist derselbe Unterschied wie zwischen dem Blitz und einem Glühwürmchen.

        Kommentar


        • #5
          Aus den Soundex-/Metaphone/etc.-Werten lässt sich das Passwort doch m.W. nicht zurückrechnen, von daher dürfte es wohl kein Problem sein, das Plaintext zu speichern.
          VokeIT GmbH & Co. KG - VokeIT-oss @ github

          Kommentar


          • #6
            Naja, aber irgendwo kann ich das auch nicht ganz nachvollziehen. Bei diesen Soundex/Metaphone/etc.-Werten ist ein Rückschluss:
            - möglich. Dann wäre das natürlich gefährlich, weil man nicht mehr alle Strings, sondern nur noch die mit diesem Soundex-Wert bruteforcen müsste.
            - nicht möglich. Dann müssten doch eine ganze Menge false positives kommen, oder? z.B. Soundex für "22222" = 200 und für "2345235345345" ebenfalls 200, obwohl die Strings - abgesehen von der 2 am Anfang - doch sehr verschieden sind.

            Kommentar


            • #7
              Sehe ich auch so wie Tropi. Allerdings ging es ja nicht um den Sinn oder Unsinn, sondern um das wie wenn überhaupt.
              [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

              Kommentar


              • #8
                ich glaub ja, dass facebook neuerdings einfach alle passwörter die
                • < 15 zeichen
                • > 1 lowercase
                • > 1 uppercase
                • > 1 zahl
                • > 1 symbol
                • sonderzeichen und zahlen nicht nur an den enden


                checked. da sind deine passwörter einfach durchgefallen. )

                Kommentar


                • #9
                  Ich hatte gestern ein Erlebnis, das mir das Gefühl gibt, dass Facebook die Passwörter nicht nur mit md5 + salt o.Ä. hasht.
                  Wie kommt das Gefühl zustande?
                  [B]Es ist schon alles gesagt. Nur noch nicht von allen.[/B]

                  Kommentar


                  • #10
                    Zitat von drsoong Beitrag anzeigen
                    Wie kommt das Gefühl zustande?
                    Ich vermute er kann / konnte sich nicht erklären wie man aus Passwörtern Meta-Daten extrahiert die es ermöglichen Ähnliche Passwörter wie die vorangegangenen zu vermeiden.
                    [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

                    Kommentar


                    • #11
                      Zitat von drsoong Beitrag anzeigen
                      Wie kommt das Gefühl zustande?
                      Ich bin mir ganz sicher, dass FB früher mal eine Meldung bezüglich "schon einmal verwendetes Passwort" ausgegeben hatte.

                      Wollte es eben nochmal versuchen und es ist wieder so (Beispielpasswörter)
                      Sehr1Schön geht nicht, da schon mal verwendet.
                      Sehr!Schön geht auch nicht.
                      Sehr1Glaubhaft geht.

                      Da ich inzwischen schon häufiger das PW geändert habe, und keines meiner alten PW´s verwenden kann, bin ich mir sicher, dass FB meine alten Passwörter in irgendeiner Form speichert. Versucht es doch einfach mal selber. Vergebt ein neues Passwort und versucht es wieder ins alte zu ändern. Es wird nicht gehen.

                      Der Unterschied zwischen dem richtigen Wort und dem beinahe richtigen ist derselbe Unterschied wie zwischen dem Blitz und einem Glühwürmchen.

                      Kommentar


                      • #12
                        Alte passwörter zu behalten ist ja nicht das problem, hash in ein entsprechendes Table kopieren vor dem überschreiben. Kommt einer an und will das PW ändern darf das nicht in der entsprechenden Tabelle rumliegen.
                        [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

                        Kommentar


                        • #13
                          Ich glaube, dass Facebook nicht die Plain-Text-Passwörter speichert, sondern einen Hash eines Slugs des Passwort speichert, falls das wirklich der Fall ist, was du da sagst (denn ehrlich gesagt, kommt das, was du da hast, bei mir nicht).

                          Sprichst du hier von schonmal verwendeten oder von ähnlichen? Was ist, wenn du Sehr|Schön versuchst?
                          Crashkurs zum Thema Rechtschreibung: [COLOR="Green"]normalerweise[/COLOR] ([COLOR="Red"]normaler weise[/COLOR] oder [COLOR="Red"]normaler weiße[/COLOR]), [COLOR="DarkGreen"]Standard[/COLOR] ([COLOR="Red"]Standart[/COLOR]), [COLOR="DarkGreen"]eben[/COLOR] ([COLOR="Red"]ebend[/COLOR])

                          Kommentar


                          • #14
                            http://security.stackexchange.com/qu...ds/53483#53483

                            *update*

                            Ja, die In-Page-Anker für stackwhatever.com-Kommentare sind tricky. Hab den falschen erwischt und musste erst im HTML-Quelltext nachschauen, ob es einen ID- oder Name-Anker gibt. Hier die korrigierte URL:

                            http://security.stackexchange.com/qu...#comment-84577
                            Wenn man die Wurst schräg anschneidet, hält sie länger, weil die Scheiben größer sind.

                            Kommentar


                            • #15
                              1. Kommentar dazu ist noch interessant

                              Kommentar

                              Lädt...
                              X