Anwender generiert mithilfe von Bilderassoziationen bei jedem Login ein neues Kennwort [mehr] (http://www.zdnet.de/security/news/0,39029460,39158864,00.htm)

das kling sehr interresant, leider kann man es nicht mehr online ausprobieren (vorläufig).

wegen DoS attacken gegen den test. kann mir wer erklären was das heißt/ist? :confused:


lg, replica

Das heißt irgendwelche Skriptkiddies wollen den Server/Test hacken.

Sicher, Digger...:hehehe:

Wegen ständiger DoS Attacken gegen den Online-Test deaktivieren wir vorläufig den Test! Bitte hinterlassen Sie bei Interesse Ihre Kontaktdaten. Wir verständigen Sie gerne sobald der Angriff vorüber ist.

Das soll wohl bedeuten das da irgendwer seinen Unmut gegenüber der Entwicklung ausdrücken will.

Bin ich der einzige der nicht genau weiß was da jetzt so besonders Sicher sein soll ?

Naja im Grunde hast du nicht nur eine Zahl zu merken sondern mehrere Bilder in Verbindung mit Ihrer Farben, welche jedes mal wohl eine andere Nummer haben. Bei jedem erneuten Login sollen andere Bilder erscheinen und somit auch andere Farben und Zahlen! Durch einmaliges zusehen wird es denke ich dadurch nich möglich sein das "Passwort" zu kennen :)

Das heißt irgendwelche Skriptkiddies wollen den Server/Test hacken.

eher zeitweise lahmlegen

dos steht für denial of service. für den rest bin ich zu faul guckt bei wikipedia :P

Macht mal folgendes Spielchen: Sagt, ohne vorher nachzudenken und ganz spontan, ein Werkzeug und eine Farbe.


.


..


...


....


.....


......


.......


........


.........


..........



Hammer & Rot ;) Sagen jedenfalls die meisten :)

--------------------------------------------

Das Konzept klingt zwar sehr interessant, aber IMHO lassen sich Assoziationen durchaus statistisch erfassen.
Ist mit Sicherheit aber extrem kniffelig :cool:

Vielleicht werden ja demnächst mehr Psychologen beim BKA eingestellt ;)

Das Konzept klingt zwar sehr interessant, aber IMHO lassen sich Assoziationen durchaus statistisch erfassen.
Ist mit Sicherheit aber extrem kniffelig :cool:

Jo das war auch mein Gedankengang. Ich denke das ein Assoziationsverfahren nicht so sicher ist wie ein langes Passwort mit sonderzeichen etc.
Wobei das einzige in der Objekt Erkennung besteht. Ansonsten wüst ich nicht was ein script hinder sollte.
Dazu kommt das man einfach ein ***** force angriff machen könnte und auf gut Glück die Farben durch gehen.
Verwendet werden sicher nur Farben die jeder kennt, halt blau, hell blau und nicht ivory, hell coral oder sonst was. Das schrängt den Kreis der Farben schon extrem ein.

Wobei es wohl imo als Mensch von Hand sogar noch schneller zu knacken wäre.

:kaffeetri

man nimmt sich nur ne Primzahl die gross genug ist und kein Netzwerk der Welt kann die Faktorisierung berechnen, ohne das Jahre vergehen, wenn der Schlüssel fehlt.
Nur wenn Menschen so nachlässig sind und sogar teilweise ihre Passwörter als Textdatei auf dem Desktop speichern, oder ohne jeden Internetschutz Tag und Nacht surfen und Pferdchen angehoppelt kommen und Tastaturstreams zum Beispiel mitsichern, muss sich der Benutzer nicht aufregen, dass es keine sicheren Passwörter gibt...

Die Passwort-Lösung lässt sich auf jedem System nutzen, das ein Kennwort oder einen PIN-Code zur Authentifizierung verlangt.das stimmt nicht. Das System braucht nen ausreichend grossen Farbbildschirm mit guter Auflösung und genug Speicherplatz für die ganzen Bilder. Das mag bei PCs kein Problem sein, allerdings wollen z.B. auch embedded-Systeme passwortgesichert sein, wo sowas nicht immer selbstverständlich ist.
Ausserdem finde ich es nicht einfach sich mehrere Bilder-Farben-Zuordnungen zu merken. Da ist es einfacher ein Passwort auszudenken und sicher aufbewahren

Das Problem mit Passwörtern ist doch längst gelöst...

Entweder langes und zufälliges Passwort wählen und aufschreiben oder halt ein Kobil/Verisign/RSA-Token benutzen.

Die Schlüssellänge bei dem System da ist doch viel zu kurz, um sicher zu sein.
Selbst wenn sich die Zahl jedesmal ändert, hat man trotzdem eine Chance von 1 zu 10 (bzw. 1 zu 9, wenn die 0 nicht dabei ist), den Schlüssel zu raten...

Ausserdem ist sowas anfällig für Janusangriffe.


Mumpitz.


Kilian

Macht mal folgendes Spielchen: Sagt, ohne vorher nachzudenken und ganz spontan, ein Werkzeug und eine Farbe.


.


..


...


....


.....


......


.......


........


.........


..........



Hammer & Rot ;) Sagen jedenfalls die meisten :)

--------------------------------------------

Das Konzept klingt zwar sehr interessant, aber IMHO lassen sich Assoziationen durchaus statistisch erfassen.
Ist mit Sicherheit aber extrem kniffelig :cool:



Ha! Ich hatte Hammer & GRÜN ^^

Ha! Ich hatte Hammer & GRÜN ^^

Du bist einfach ... anders ;) :D

Du bist einfach ... anders ;) :D

Und deswegen soll das System wohl sicher sein denke ich :)

Ich habe aber auch noch meine starken Bedenken. Wenn das System komplexer wird, ist das ganze für den Benutzer auch nicht mehr so leicht merkbar. Viele Leute haben ja schon Probleme, sich ihre vier-stellige Pin zu merken.

Tja. Als Neuigkeit verkauft, bereits in der Vergangenheit zerlegt:

merlinnovations group:de.comp.security.misc - Google Groups (http://groups.google.com/groups?as_q=merlinnovations&as_ugroup=de.comp.security.misc)

[...]

Die Schlüssellänge bei dem System da ist doch viel zu kurz, um sicher zu sein.
Selbst wenn sich die Zahl jedesmal ändert, hat man trotzdem eine Chance von 1 zu 10 (bzw. 1 zu 9, wenn die 0 nicht dabei ist), den Schlüssel zu raten...


Hab mir mal die Beschreibungen des Herstellers und die entsprechenden Studien angesehen. Ebenso hab ich mich da angemeldet, mir einen "Schlüssel" generiert und das Ganze mal im abgespeckten Online-Verfahren getestet.

Es ist keine Chance von 1 zu 10 bzw. 9.
Der Schlüssel besteht (zumindest in der Testumgebung) aus mindestens 4 Seiten, auf denen jeweils 1 Ziffer korrekt 'erkannt' werden muss. Sollte eine Eingabe falsch sein, werden beispielsweise aus den 4 ursprunglichen Code-Seiten dann 6 Seiten (Steigerung variabel definierbar).

Wenn man z.B. vom Anwender verlangt, 10 Code-Seiten korrekt zu 'lösen' hat man dort schon eine Wahrscheinlichkeit von 1 zu 10 Mrd., den richtigen Code zu erraten. Bei Falscheingabe verringert sich die Chance immens, da sich die Seitenzahl entsprechend erhöt...


Ausserdem ist sowas anfällig für Janusangriffe.Dazu ist folgende Lektüre empfehlenswert: http://www.seclookon.com/seclookon/SecLookOn-MitM-Attacke.pdf

Ich find das System zumindest interessant, ob es sich als brauchbar erweist wird man sehen.

Der Schlüssel besteht (zumindest in der Testumgebung) aus mindestens 4 Seiten, auf denen jeweils 1 Ziffer korrekt 'erkannt' werden muss. Sollte eine Eingabe falsch sein, werden beispielsweise aus den 4 ursprunglichen Code-Seiten dann 6 Seiten (Steigerung variabel definierbar).
Na super, statt bewährte Methoden zu benutzen, soll man sich jetzt durch 4-6 Seiten klicken...
Und irgenwie scheinen die Leute Janusangriffe nicht so genz verstanden zu haben...

Klar kann man ein Passwort abfangen, wenn man die Bilder schlicht an den User weiterreicht. Das Ergebnis wird dann an den Server weitergerreicht und der User kriegt entweder normalen Zugang oder eine Fehlermeldung...

Gleiches Prinzip wie bei Siteimages oder Captcha (http://www.trojaner-info.de/news2/captcha-code-strip.shtml)lösung mit striptease...

Es gibt gute, einfache Lösungen zur Authentifizierung:
-Zeitbasierte Security Tokens(+PIN)
-Karten+PIN
-One-Time-Pads (TANs)
-Passwort aufschreiben
-Dongles
-usw.

Neue Ideen sind ja Klasse, aber sowas ist unnötig wie ein Kropf...

Kilian

Viele Leute haben ja schon Probleme, sich ihre vier-stellige Pin zu merken.
:o