Entwickler-Ecke

Off Topic - Wie sicher sind die Passwörter unter Win2000/XP?


Popov - So 08.02.04 02:28
Titel: Wie sicher sind die Passwörter unter Win2000/XP?
Unter Win98 existiert defakto keine Verschlüsselung der Systempasswörter. Ich meine damit z.B. Benutzername und Kennwort für DFÜ Einwahl usw. Mit ca. fünf Zeilen Code kann ich alle Passwörter unter Windows98 auslesen. Jedes andere Programm kann das auch und es kann sie irgendwo verschicken. Der beste Schutz ist also die Passwörter nicht abzuspeichern.

Aus diesem Grund hab ich vor Jahren für mich privat ein Tool entwickelt, daß die Passwörter separat sichert. Will ich ins Internet, dann öffnet sich neben dem Einwahlfenster ein weiteres kleines Fenster. Nun hab ich paar Sekunden Zeit per Drag&Drop aus dem Fenster ein Passwort in Einwahlfenster zu schieben (natürlich immer noch verschlüsselt). Erst wenn es über dem Passwort-Editfeld abgelegt wird, wird ein Text (bzw. das Passwort) an das Einwahlfenster geschickt. So kriegen weder ein Trojaner, noch ein KeyLoger das Passwort je zu sehen.

Nun dachte ich mir, daß das was ich seit vielen Jahren nutze eine gute öffentliche Software wäre. Das einzige Problem ist, daß das Programm nicht Windows XP kompatibel ist, d.h. unter XP funktioniert es nicht. Das liegt an einigen Funktionen die bei NT & Co. anders gehandhabt werden. Das sind nur paar Kleinigkeiten, aber die müssen auch gemacht werden.

Allerdings loht sich der Aufwand nicht wenn XP eine sichere Passwortverwaltung hat. Unter 98 hab ich das Häckhen unter "Kennwort speichern" nicht angehackt, da das Passwort dann fast öffentlich ist. Wie sieht es unter XP aus. Gibt es da Klagen? Kann man die Kennwörter unter XP auch auslesen? Wenn nicht, dann braucht man mein Tool für XP nicht.


Delete - So 08.02.04 04:02
Also unter Win9x kommt man ja mit WM_GETTEXT an die Passwörter in Editboxen dran, bzw. man kann den Paswort Stil aufheben. Beides Funktioniert unter NT ff. nicht. So viel kann ich dir schon mal sagen. Verschlüsselt wird wohl per MD5 Hash. Und das gilt wohl als sehr sicher.


Bela Urlaub - So 08.02.04 14:45
mich intressiert eins. Wie kann man MD5 entschlüsseln?


Raphael O. - So 08.02.04 14:47
wenn man es so einfach könnte wärs wohl nicht sicher, oder?


Motzi - So 08.02.04 14:50
MD steht für Message Digest. MD5 ist ein OneWay-Hash-Algorithmus was bedeutet, dass ein "Fingerabdruck" der Eingabedaten erzeugt wird, allerdings kann man aus diesem "Fingerabdruck" nicht mehr auf die Eingabedaten zurückrechnen!


Popov - So 08.02.04 23:23
So wie ich das also verstehe sind Passwörter unter Windows XP sicher und können nicht mehr rausgelesen werden. Ist das korrekt?

Wenn das so ist, dann brauch ich das Programm nicht für XP umzuschreiben, bzw. zu erweitern. Ein Hinweis, daß es nur für Win9x geschrieben wurde reicht dann.


blackbirdXXX - Di 10.02.04 10:23
Wie Luckie und Motzi gesagt haben sind sie einweg verschlüsselt. Aber man kann sie ganz leicht überschreiben. Bei Knoppix ist das Programm dabei.


Alni - Mi 11.02.04 15:36
Also dass mit dem MD5 hashalgorithmus trifft ja nur auf Passwörter zur Benutzeranmeldung zu. Gibt man das Passwort ein wird hashwert ermittelt und mit dem gespeicherten verglichen. Die Frage ist aber wie Passwörter gespeichert werden die übermittelt werden, z.b. bei der einwahl ins internet oder Passwörter von Internetseiten die abgelegt werden. Hier kann ja schlecht der Hashwert verwendet werden da das Passwort in "Reinform" übermittelt werden muss. Der Server der das Passwort empfängt hat aller Wahrscheinlichkeit nach wieder nur den Hashwert zum Vergleich gespeichert.

Nun meine Frage welche Verschlüsselungsverfahren werden von windows2000/xp zur Speicherung der Interneteinwahldaten verwendet bzw. von Mozilla & Co für die Speicherung von anderen Passwörtern?


Udontknow - Mi 11.02.04 16:57
Zitat:
da das Passwort in "Reinform" übermittelt werden muss.

Wieso muss das PW in Reinform übermittelt werden? ...
Der Browser sendet es es kodiert und der Server vergleicht mit seinem Referenz-Hash. Was wäre daran nicht machbar?


Cu,
Udontknow


Popov - Mi 11.02.04 21:13
Weil man dann nicht das Passwort bräuchte, sondern nur die Referenz, d.h. die wäre das Passwort.


Udontknow - Mi 11.02.04 21:28
Nun, ist es dann nicht egal? Ob ich nun das PW in Reinform abfange und es so benutzen kann oder nur den Hashwert bekomme, damit aber auch einen Login erreichen kann, sollte doch eigentlich keinen Unterschied machen.
Das ist für mich dann kein Grund, das PW pur zu schicken.

Cu,
Udontknow


Alni - Mi 11.02.04 21:58
Also mit REinform meinte ich nicht das es völlig unverschlüsselt verschickt wird. Aber es wird mit Sicherheit nicht der Hashwert verschickt sonst könnte man ja gleich das Passwort direkt ablegen ganz ohne md5

Edit:Ausserdem muss ja der Hashwert nicht zwangsweise existieren wenn man das Passwort von Hand eingibt. Wär wohl ziemlich sinnlos dann den Hashwert zu ermitteln nur damit in der Server mit seinem Vergleichen kann.
Für die Übertragungen werden meist unverschlüsselte Verbindungen genutzt aber es gibt ja uch ssl und so weiter.

Mir geht es speziell darum wie die gespeicherten Passwörter geschützt sind damit man sie nicht direkt auslesen kann


Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2025 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!