Forum-Bug bzgl. Passworte

squeller · Post by *squeller » 2005-06-24, 07:13 UTC

Erstmal ein donnerndes HALLO in die Runde.

Habe mich vor ein paar Wochen auch dazu durchgerungen, TC zu kaufen, weil es einfach ungeschlagen ist.

Jetzt habe ich das Login doch geschafft. Wenn man Passwortmanager und sehr lange Passworte verwendet, tritt man immer wieder in die folgende Falle.

Hier bei der Anmeldung erlaubte das Textfeld mein 30-stelliges Passwort, das aus einem Passwortmanager kommt. Keepass von Sourceforge, sehr zu empfehlen.

Nun, auf der Loginseite, kann man sich nicht anmelden. Das Problem: Es schneidet bei 25 Zeichen ab, Login kann also nie erfolgen:

<td align="right"><span class="gen">Password:</span></td>
<td>
<input type="password" name="password" size="25" maxlength="25" />
</td>
</tr>

Wenn die Admins das beheben könnten, wäre das nicht schlecht. PW manager sind auf dem Vormarsch, so ein 30-Zeichen-PW meiner Zusammensetzung hat etwa angenommene 190 Bit Breite, auf so Ideen, so lange PW zu nehmen, kommen die Leute schon gelegentlich mal.

Oder bitte deutlicher Passwortlängenbeschränkung dokumentieren...

Sir_SiLvA · Post by *Sir_SiLvA » 2005-06-24, 12:34 UTC

1. ist dies dann wohl eher ein phpBB-Bug und sollte doch bitte
auch an die entsprechenden Leute geschrieben werden

2. nix gegen paranoia aber 30 zeichen ?
was machst du wenn du den datenträger mit dem pw-manager zerstörst ?

Sheepdog · Post by *Sheepdog » 2005-06-24, 13:26 UTC

Dann benutzt er eines der 3 Lauffähigen backups!

Oder meinst Du, jemand der Passwörter mit 192 Bit Tiefe verwendet, vergisst die täglich Sicherheitskopie?

sheepdog

sqa_wizard · Post by *sqa_wizard » 2005-06-24, 13:37 UTC

... jemand der Passwörter mit 192 Bit Tiefe verwendet, vergisst die täglich Sicherheitskopie?

Natürlich ist das Backup auch passwortgeschützt, welches mit dem gleichen Programm erstellt wurde ... und sicherheitshalber auch im Backup liegt ...

Aber Spass beiseite, die Länge bei der Account Registrierung muss identische Beschränkungen haben wie beim Login !

squeller · Post by *squeller » 2005-06-24, 15:48 UTC

@sgawizard: Ja, da gibt es vertrackte und verschachtelte Backups, Anfänger machen viel falsch und merken dann, wenn das Restore ansteht, das sie da was nicht bedacht haben

Sir_SiLvA wrote:1. ist dies dann wohl eher ein phpBB-Bug und sollte doch bitte
auch an die entsprechenden Leute geschrieben werden

Selbstverständlich habe ich die informiert. Und zwar (IIRC) forenadmin@ghisler.com, die Adresse, die man bei der Bestätigungsmail sieht.

2. nix gegen paranoia aber 30 zeichen ?
was machst du wenn du den datenträger mit dem pw-manager zerstörst ?

Realistisch liegen die Schwächen natürlich eher auf Forumsseite. Die werden eher aufgemacht. Aber man sollte immer sein möglichstes tun. Zum Beispiel für jeden Dienst ein anderes Passwort verwenden. OK, dieses hier speichert angeblich Hashes. Aber es gibt Dienste, die im Klartext speichern. Dieses Forum hat die Schwäche, dass es nach Anmeldung die Zugangsdaten im Klartext versendet. Auch Bäh. Andererseits wiederum werden die Daten eh unverschlüsselt übertragen, nix https eben. Paranoia!

Natürlich habe ich ein unschlagbares Backupkonzept für solch wichtige Sachen, sonst dürfte ich mich ja nicht von Passwortmanagern abhängig machen.

Sir_SiLvA · Post by *Sir_SiLvA » 2005-06-24, 21:59 UTC

squeller wrote:
Sir_SiLvA wrote:1. ist dies dann wohl eher ein phpBB-Bug und sollte doch bitte
auch an die entsprechenden Leute geschrieben werden
Selbstverständlich habe ich die informiert. Und zwar (IIRC) forenadmin@ghisler.com, die Adresse, die man bei der Bestätigungsmail sieht.

1. Chris mag zwar Gottgleich sein ist aber er ist 100% nicht
der Schöpfer des der phpBB-Software...

2. halte ich ein 30stelliges PW immer noch für extrem Paranoid
wovor soll dich das schützen ?

bekomme ich bei zugriff
auf deinen Account zugriff auf deine Bankdaten ?

Post by *ghisler(Author) » 2005-06-27, 13:36 UTC

Ein 30-stelliges Passwort bringt in der Tat nichts, weil PhpBB nicht die Passwörter speichert, sondern nur deren MD5-Quersumme - das ist sinnvoll, weil so ein potentieller Angreifer mit den ausgelesenen Zahlen nicht auf die verwendeten Passwörter schliessen kann. MD5 benutzt 16 bytes, das sind nur 128 bit.

Es ist aber trotzdem unschön, dass PhpBB die Länge nur beim Login begrenzt und nicht im Anmeldeformular. Wer Zeit hat, kann den Fehler gerne mal bei www.phpbb.com melden.

squeller · Post by *squeller » 2005-06-27, 14:42 UTC

Ein 30-stelliges Passwort bringt in der Tat nichts, weil PhpBB nicht die Passwörter speichert, sondern nur deren MD5-Quersumme - das ist sinnvoll, weil so ein potentieller Angreifer mit den ausgelesenen Zahlen nicht auf die verwendeten Passwörter schliessen kann. MD5 benutzt 16 bytes, das sind nur 128 bit.

Welcher Hash verwendet wird, kann man ja als User nicht wissen...

Es ist aber trotzdem unschön, dass PhpBB die Länge nur beim Login begrenzt und nicht im Anmeldeformular. Wer Zeit hat, kann den Fehler gerne mal bei www.phpbb.com melden.

Die Mühe müssen wir uns nicht machen, ich denke, man wird auf neuere Versionen der Forensoftware verweisen. Ich habe mir das Forum auf phpbb.com angesehen, da ist sowohl bei der Registrierung als auch beim Login maxlen=32, also in Ordnung.

Post by *ghisler(Author) » 2005-06-27, 14:50 UTC

Ich habe hier die neueste stabile Version installiert - phpbb verwendet wohl die (noch expermientelle) Nachfolgeversion.

squeller · Post by *squeller » 2005-06-27, 15:06 UTC

Keinen Nerv mehr, das da zu melden. Man verlinkt auf http://www.phpbb.com/bugs/. --> 404
Extra im Forum registrieren will ich nicht.