Von Tendenz Rot am Di, 14. Dezember 2004 um 23:54 #
In manchen Speicherzellen könnten verschlüsselte Paßwörter oder gar das Root-Paßwort liegen.
Das ist wohl eher theoretischer Natur. Jeder Programmierer der etwas auf sich hält nullt entsprechende Speicherbereiche unmittelbar nach der Verwendung aus. Soll heißen, der Zeitraum in dem Passwörter im Speicher erscheinen könnten beträgt Bruchteile von Sekunden, man bräuchte ein echt gutes Timimg um genau diesen Zeitpunkt zu erwischen.
Also:
vor einem free(password); immer ein memset(password, '\0', strlen(password));, das gehört einfach mal zum guten Ton.
Hmmja, auch nich so unbedingt der Weisheit letzter Schluß, immerhin muß man, um zu wissen, daß an besagter Stelle ein Passwort liegt, bestimmte Vorkenntnisse haben. Hat man die, so kann man mit der Anzahl der Nullen auch schon etwas anfangen, bekommt man dadurch doch zumindest schon mal eine Aussage über die Länge des Passwort(hash)s. Sinnvoller wäre, dem Speicherbereich eine gewisse (zufällige?) Mindestgröße zu verpassen, die man genullt allokiert.
Also vom Ansatz her ja gut deine Idee, aber :-) free password und das Passwort ist futsch und dann???
Was machst du denn z.B. bei nem verschlüsselten Dateisystem, jedesmal den User dazu auffordern das Passwort einzugeben, wenn er nen Datentransfer auf die Platte macht :-)
Von Tendenz Rot am Mi, 15. Dezember 2004 um 07:48 #
Ich habe den Nutzerkontext, das verschlüsselte Dateisystem und die Tatsache, dass sich der Nutzer authentifiziert hat. Wozu brauche ich noch länger das Passwort? Ich werde doch auf der Konsole auch nicht bei jeder Tastatureingabe nach dem Passwort gefragt.
Tja dann kennst du die Funktionsweise eines 'richtigen' verschlüsselten Dateisystems nicht, du benötigst den key ja jedesmal zum chiffrieren bzw. dechiffrieren on the fly, sollte das nicht notwendig sein, dann würde ich sofort meine Finger von so nem lulli crypto System lassen, bei dem es reicht sich zu authentifizieren.
Von Tendenz Rot am Mi, 15. Dezember 2004 um 22:03 #
Das Passwort wird mit Sicherheit nicht mehr gebraucht. Das einfachste Beispiel ist DigestMD5 Authentifizierung. Du gibst einmal das Passwort ein, anschließend wird aus Passwort, REALM und einem "Zufallswert" ein MD5 Hash berechnet und das Passwort wird nicht mehr länger gebraucht. Wäre es anders würde ich die Finger von so nem lulli crypto System lassen.
Nein, MD5 eignet sich zur Authentifizierung aber nicht zur Verschluesselung. Wenn dich gegen deinen Rechner authentifizierst, gibst du dein Passwort ein, davon wird die Pruefsumme gebildet und diese mit der gespeicherten Pruefsumme verglichen. Du koenntest natuerlich auch zur Dateisystemverschluesselung die Pruefsumme des Passwortes bilden und dann damit verschluesseln, einem Angreifer koennte dann aber auch die Pruefsumme direkt nehmen und die Daten entschluesseln.
Von Tendenz Rot am Sa, 18. Dezember 2004 um 10:54 #
Ich habe DigestMD5 nur als Beispiel genommen um zu verdeutlichen, dass man nicht das Passwort benötigt um ggf. damit weiterzuarbeiten. DigestMD5 ist halt so schoen einfach.
Generell richtig, aber: 1. werden einige Passwörter für längere Zeit benötigt und 2. handelt es sich im Grunde um eine Race Condition, es ist also nur eine Frage der Zeit, bis es klappt.
Das ist wohl eher theoretischer Natur. Jeder Programmierer der etwas auf sich hält nullt entsprechende Speicherbereiche unmittelbar nach der Verwendung aus.
Soll heißen, der Zeitraum in dem Passwörter im Speicher erscheinen könnten beträgt Bruchteile von Sekunden, man bräuchte ein echt gutes Timimg um genau diesen Zeitpunkt zu erwischen.
Also:
vor einem free(password); immer ein memset(password, '\0', strlen(password));, das gehört einfach mal zum guten Ton.
Gruß, die Tendenz
mfg,
Erik
Zusätzlich zum Nullen des Strings danach, selbstredend.
mfg,
Erik
lg
Erik
free password und das Passwort ist futsch und dann???
Was machst du denn z.B. bei nem verschlüsselten Dateisystem, jedesmal den User dazu auffordern das Passwort einzugeben, wenn er nen Datentransfer auf die Platte macht :-)
Gruß, die Tendenz
Gruß, die Tendenz