Heute beschäftigen wir uns mit dem Authentisieren von Instanzen.
| Skript-Anfang | 10InstanzenAutentisierung – Seite 1 |
|---|---|
| Skript-Ende | 10InstanzenAutentisierung – Seite 48 |
Wörterbuchangriff
- Ermittlung eines unbekannten Passworts oder Benutzernamen mit Hilfe einer Passworterliste
- Optimaler Einsatz bei einer sinnvollen Zeichenkombination als Passwort
- Bringt nur etwas, wenn möglichst viele Passwörter schnell hintereinander ausprobiert werden können
Salting
- Der Salt ist eine zufällig gewählte und nicht zu kurze Zeichenfolge
- Er wird an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion angehängt
- Dies erhöht die Entropie der Eingabe
- Wird deshalb häufig bei der Speicherung und Übermittlung von Computer-Passwörtern benutzt
- Aus der Kollisionsresistenz einer Hashfunktion folgt, dass gleiche Hashwerte aus identischen Passwörtern erzeugt wurden
- Diese Hashes liegen in Rainbow Tables bereits vor und müssen nur verglichen werden
SSL/TLS
- Wenn Angreifer den Schlüssel bekommt, so kann er alle bisherigen mitgeschnittenen Nachrichten (nachträglich) entschlüsseln
Einmal-Passwort nach Lamport
- P0 ist nur dem Anwender bekannt
- Initiale Vereinbarung von n-Mal möglichen Authentifizierungen
- Server speichert das n-Mal gehashte Passwort
- Nach einer erfolgreichen Authentifizierung werden n und der Hash aktualisiert
- Der Server kennt immer nur den nächsten Hash des Passworts