Opened 6 years ago
Closed 3 years ago
#72 closed enhancement (wontfix)
Selbstgewählte Passwörter für die Tür sollten genügend Entropie enthalten
| Reported by: | Felix Kästner | Owned by: | Tür |
|---|---|---|---|
| Priority: | major | Component: | Infrastruktur/Tür |
| Keywords: | Cc: | Felix Kästner |
Description
Selbstgewählte Passwörter für die Tür sollten genügend Entropie enthalten
Die Vereinsmitglieder können sich ein Passwort für die Schließanlage selbst wählen (man erstellt ein Passwort, berechnet den Hash und nur dieser wird an die Schließanlagenverantwortlichen weiter gereicht). Es sollte aber sicher gestellt werden, dass die Passwörter ein gewisses Mindestmaß an Entropie enthalten.
Hier gibt es vermutlich diese Fragen zu klären:
- Muss das Passwort vom Nutzer selbst generiert werden können?
- Wie kann man (als Betreiber des Schließsystems) bei einem selbstgewählten Passwort ein Mindestmaß an Entropie sicher stellen?
Momentan besteht das Risiko, dass ein Nutzer aus Bequemlichkeit oder Unwissen ein sehr einfaches Passwort wählt und damit eine brute-force Attake auf die Schließanlage recht erfolgversprechend wird.
Change History (7)
follow-up: 3 comment:1 by , 6 years ago
follow-up: 4 comment:2 by , 6 years ago
Der qbi hat sich auch mal ein paar Gedanken gemacht:
- Ich würde die Ursprungsfrage eher verneinen. Vielmehr sollte das Passwort vom Betreiber der Türanlage generiert werden und an die Nutzerin oder den Nutzer ausgehändigt werden. Auf die Art und Weise kann sichergestellt werden, dass das Passwort bestimmten Anforderungen genügt. Änderungen des Passwortes müssen dann ebenso von den Betreibern vorgenommen werden. Auf der anderen Seite hat man das Problem, dass die Betreiber das Passwort kennen. Aus meiner Sicht ist das Problem immer vorhanden. Denn die Betreiber können einfach den Traffic mitschneiden und die Passwörter abspeichern. Damit schafft man sich mit der Vorgehensweise keine neuen Probleme, löst aber das Problem eines eventuell schwachen Passworts.
- siehe 1. :-)
comment:3 by , 6 years ago
Replying to fpunktk:
Dann ist mir aufgefallen, dass vermutlich bei vielen Nutzern das Passwort vom Rechner aufs Smartphone übertragen werden muss. Das macht ja bei über 70 Zeichen kaum Spass. Vielleicht war daher die Idee, dass man ein Passwort wählen kann, was man sich merken oder es einfach übertragen kann. Dann muss man die Sache vermutlich nochmal übredenken.
Ich halte die >70 Zeichen ebenfalls für Overkill und eine starke Beeinträchtigung bei der Usability. Mit dem derzeitigen Algorithmus stehen 37 Zeichen zur Verfügung. Unter der Annahme, dass die mit SHA1 oder SHA2 gespeichert werden, reichen mindestens 12 Zeichen für eine sichere Speicherung (Ermittlung eines Passworts dauert durchschnittlich 100 Jahre pro GPU). Mit einem der in #69 vorgeschlagenen Algorithmen könnte man sogar auf acht Zeichen heruntergehen und eine ähnliche Sicherheit erreichen. Obiges sind natürlich grobe Schätzungen.
comment:4 by , 6 years ago
Replying to bernd:
Der qbi hat sich auch mal ein paar Gedanken gemacht:
- Ich würde die Ursprungsfrage eher verneinen. Vielmehr sollte das Passwort vom Betreiber der Türanlage generiert werden und an die Nutzerin oder den Nutzer ausgehändigt werden. Auf die Art und Weise kann sichergestellt werden, dass das Passwort bestimmten Anforderungen genügt. Änderungen des Passwortes müssen dann ebenso von den Betreibern vorgenommen werden. Auf der anderen Seite hat man das Problem, dass die Betreiber das Passwort kennen. Aus meiner Sicht ist das Problem immer vorhanden. Denn die Betreiber können einfach den Traffic mitschneiden und die Passwörter abspeichern. Damit schafft man sich mit der Vorgehensweise keine neuen Probleme, löst aber das Problem eines eventuell schwachen Passworts.
So war es vorher. Das hat aber entscheidende Nachteile:
- wenn ein Betreiber den Verein verlässt, dann müssen alle Passwörter gewechselt werden
- die Passwortvergabe ist recht kompliziert, weil man einen guten verschlüsselten Kanal oder ein persönliches Treffen braucht. Den Hash kann man wohl auch unverschlüsselt übertragen und muss nur sicher stellen, dass er von der korrekten Person kommt. (Keine Ahnung, ob das so viel besser ist.)
Da ich den Betreibern so weit verrtauen würde, dass sie keine Hintertür einbauen (dann müsste man bei einem Betreiberwechsel ja den Router neu aufsetzen), bin ich weiterhin für die Lösung, dass man das generierte Passwort einfach kurz vorzeigt. Das macht die Passwortvergabe natürlich wieder komplizierter :-/
Replying to bernd:
Ich halte die >70 Zeichen ebenfalls für Overkill und eine starke Beeinträchtigung bei der Usability. Mit dem derzeitigen Algorithmus stehen 37 Zeichen zur Verfügung. Unter der Annahme, dass die mit SHA1 oder SHA2 gespeichert werden, reichen mindestens 12 Zeichen für eine sichere Speicherung (Ermittlung eines Passworts dauert durchschnittlich 100 Jahre pro GPU). Mit einem der in #69 vorgeschlagenen Algorithmen könnte man sogar auf acht Zeichen heruntergehen und eine ähnliche Sicherheit erreichen. Obiges sind natürlich grobe Schätzungen.
Hier gehe ich mit. Ich würde 20 bis 25 zufällige Zeichen vorschalgen.
Was aber noch gar nicht betrachtet wurde ist die Idee hinter der initialen Entscheidung die Passwörter vom Nutzer generieren zu lassen.
comment:5 by , 6 years ago
| Resolution: | → fixed |
|---|---|
| Status: | new → closed |
Entsprechende Checks sind/wurden eingebaut. Die aktuelle Implementierung entspricht in erweiterter Form der alten Lösung und hat so deren Vor- und Nachteile, ist aber sicher genug.
Dieses Ticket entspricht von den Voraussetzungen nicht den Gegebenheiten.
comment:6 by , 6 years ago
| Resolution: | fixed |
|---|---|
| Status: | closed → reopened |
Die »Lösung« ist nicht sinnvoll und muss auf einen funktionierenden Stand zurückgesetz werden.
comment:7 by , 3 years ago
| Resolution: | → wontfix |
|---|---|
| Status: | reopened → closed |
Noch ein paar Gedanken:
Vielleicht ist es aber auch möglich, dass das Passwort generiert wird und dann kurz einem Verantwortlichen gezeigt wird. Man kann sich so das passwort nicht merken, aber man kann sehen, ob es "sicher aussieht".
Dann ist mir aufgefallen, dass vermutlich bei vielen Nutzern das Passwort vom Rechner aufs Smartphone übertragen werden muss. Das macht ja bei über 70 Zeichen kaum Spass. Vielleicht war daher die Idee, dass man ein Passwort wählen kann, was man sich merken oder es einfach übertragen kann. Dann muss man die Sache vermutlich nochmal übredenken.