Beantwortet Pre-Crypt des Passwords beim Login (Man in the Middle)

[DeletedUser11756]

Hallo und schönen guten Morgen,

Ich möchte auf ein Problem ansprechen welches mir heute beim Login aufgefallen ist. Durch die unterschiedlichen Kennwörter zwischen Forum und Game passiert es mir ab und an, dass ich beim Game das falsche Passwort eingebe. Das Login wird via AJAX-POST-Request abgehandelt. Besonders aufgefallen ist mir dabei jedoch, dass das Passwort unverschlüsselt übertragen wird. Zwar nutzt das Game und das Forum SSL doch schützt das nicht so gut wie mein Vorschlag.

Ich habe ein derartiges Loginsystem bereits gebaut, LINK ENTFERNT
Eine Implementierung ist technisch gesehen kein großer Aufwand, der Nutzen dadurch jedoch unbezahlbar.
Bei Interesse kann ich gerne weitere technische Details bereit stellen und Beispiele bringen bzw. bei der Implementierung beratend
zur Seite stehen. Zusammengefasst steigert es die Sicherheit aller Nutzer von Evenar (und vl. anderer Spiele).

Lg

 

[black-night]

Ohne jetzt in die technischen Details zu gehen. Wird die https Verbindung durch einen "man in the middle" Angriff aufgebrochen, helfen auch diese Pre-Crypt JavaScript Dinger nicht. Da diese genau so angegriffen werden können.
Sagen wir ein Angriff auf die https Verbindung erfordert einen Aufwand von 1000 Punkten. Wird zusätzlich noch das Passwort bereits im Browser verschlüsselt steigt der Aufwand auf vielleicht 1010 Punkte. Die zusätzliche "Sicherheit" kann man also vernachlässigen. Man erreicht damit nur ein höheres Maß an Komplexität und um so komplexer eine Lösung ist um so Fehleranfällig ist diese auch.

 

[DeletedUser11756]

Da muss ich dir leider widersprechen. Wird das Passwort vor Übermittlung mit einer JS-Lib gecryptet (SHA512) gibt es keinerlei Möglichkeit diesen Hash zurück zum ursprünglichen Passwort zurück zu rechnen. Der Angreifer erhält nur den Hash mit dem er nichts anfangen kann. Kombiniert man dies mit einem Salt ist das Passwort zu 99,99999% sicher. An diesem System haben sich bereits einige Sicherheitsfirmen auf Conventions die Zähne aus gebissen

 

[black-night]

Den Hash kann man nicht zurück rechnen, das ist richtig. Man kommst so nicht an das Passwort im Klartext, aber ein Angreifer kann sich mit dem Hash dann dennoch bei Elvenar einloggen.

 

[DeletedUser11756]

Der Prozess ist nach Übermittlung des Hash´s ja nicht erledigt. Zum Abgleich muss der Hash natürlich erneut gehashed werden. Das hatte ich wohl vergessen zu erwähnen. Wie gesagt, das System ist bereits im Einsatz und wurde bisher von keiner Firma, Hacker oder sonstigem geknackt.

Lg

 

[Brosin]

In die internen Vorgehensweisen von Innogames habe ich keinen Einblick. Dennoch halte ich es für eher unwahrscheinlich, dass ein "externer Berater mit einer vielleicht guten Idee" für irgendeine Änderung an den Programmierungen/Systemen/wieauchimmerdasheißt hinzugezogen werden wird.
Das ist keine Kritik an der Idee, ich habe nämlich keine Ahnung, worum es dabei geht Und muss gestehen, dass ich das auch nicht wirklich lernen will

 

[DeletedUser11756]

Ich versteh deine Position, aber wenn man es an die entsprechenden Entwickler zumindest weiterleitet, überlegen die sich vl was eigenes, völlig unabhängig von mir. Dennoch finde ich Pre-Crypt einen wichtigen und fehlenden Punkt.

Lg

 

[Tacheless]

Diese Idee werden wir nicht zur Umfrage stellen oder gar weiterleiten. Dies überschreitet unsere Kompetenzen. Wenn du meinst, ein Produkt zu haben, das du der Firma InnoGames anbieten möchtest, so solltest du hier InnoGames direkt kontaktieren. Diese Idee verschieben wir ins Archiv.