wer schon ein unsicheres Masterpasswort verwendet, der hat eigentlich egal bei welcher Anwendung verloren. Bei Mobile Sitter muss der Angreifer auch noch wissen, dass es ein einfaches Passwort ist. Wer deine Handy klaut, weiß das meistens nicht.

Ein sicheres Master Passwort ist die Voraussetzung für jede Anwendung, die Passwörter verwaltet.

Brute Force macht auf das Masterpasswort wenig Sinn, da Brute Force gegen das eigentliche Passwort mehr Sinn macht. Da sind die Erfolgschancen größer, wenn kein Schutz vor Wiederholungen besteht, da dort Rückmeldungen über richtig bzw. falsch kommen.

Brute Force 500000 abfragen ist ja aufwendig und kaum auf einer Seite bzw. Login möglich, da vorher eine Sperre greift. Da ist wieder Brute Force gegen das eigentliche Login weniger aufwendig.

Der Schutz ist halt dadurch höher, dass der Angreifer nicht erfahren kann, ob er nun das richtige Passwort erwischt hat. Er wird kaum probieren über das Master Passwort Passwortlisten zu generieren, da er damit faktisch nichts gewinnt.

Die Anwendungen für normale Anmeldeprozeduren haben auch fast immer Sperren (bei 3-5 mal Falscheingabe). Der Passwortsitter darf es nicht haben, da sich der Angreifer dann sicher sein kann, dass er falsche Eingaben getätigt hat.

Die Funktion des Mobile Sitters besteht darin, aus einem gegebenen Master Passwort die gespeicherten Daten zu entschlüsseln. Natürlich wird bei gleicher Eingabe des Masterpasswortes immer das gleiche Ergebnis raus kommen.
Hier darf man das „gewöhnliche Verschlüsselsprinzip“ nicht nutzen. Beim Mobile Sitter wird nicht irgend ein Passwort bei Falscheingabe generiert, sondern die verschlüsselten Daten werden stupide mit dem eingegebenen Masterpasswort entschlüsselt. Der Mobile Sitter weiß nicht mal selber, ob es die richtige Eingabe ist und das ist sehr wichtig für den Schutz! Dadurch kann kein Speicher überwacht werden, um Flags und Variablen zu sehen. Es ist immer „richtig“ und das ist ein sehr guter Schutz.

Wie schon in dem Artikel beschrieben, können die Daten mit verschiedenen Mastermasswörtern verschlüsselt werden. Der Nutzer muss dann noch wissen, welches Master Passwort er für das jeweilige Passwort verwendet hat.

Für den Angreifer ist unter keiner Eingabe zu erkennen, dass er richtig oder falsch liegt.

Hoffe deine Fragen beantwortet zu haben, da es doch schon spät ist und ich nicht mehr ganz so fit bin.

Gruß

Konstantin

Es gibt für den Hacker nun zwar zunächst keine absolute Sicherheit, dass er das MasterPW gefunden hat, da Mobilesitter ja zu jeder Eingabe ein PW ausspuckt. Er könnte aber doch alle Sub-PW einer beliebigen Anwendung, die MobileSitter ausspuckt in eine Liste laufen lassen, und diese in regelmässigen Intervallen (alle 500000 PW) auf der Anwendung/loginbereich prüfen?!
Desto einfacher das MasterPW, umso höher die Wahrscheinlichkeit, dass es unter den „ersten“ Treffern ist?! Oder denke ich da falsch?

Hier müssten die Anwendungen dann nachziehen und nach 5 Eingaben die Eingabe sperren.

PS: Bin kein Admin, nur UserDau;-)
Dennoch hoffe ich, dass mobilesitter bei demselben „falschen“ MasterPW immer diesselben falschen PWs ausspuckt, ansonsten könnte sich ein Hacker ja Listen anlegen und diese abgleichen, bis in der Liste ein Wert in beiden Spalten auftaucht;-)

mein Gedanke war es auch dem Dau mal was zum Nachdenken zu geben. Aber vor allem sollte es als Hilfe für jeden Nutzer dienen, der sich die Frage stellt „Wozu die ganze Sicherheit, Passwörter und wie kann ich trotzdem sichere Passwörter nutzen, ohne sie ständig zu vergessen“.

Bei Passwörtern wird es kaum eine wirkliche Lösung geben. Es wird mehr ein Kompromiss aus „Attacken erkennen“ und Nutzern gut zureden.

Aber vor allem hoffe ich damit Admins zu helfen, die sich das Geheule der Nutzer anhören müssen, wozu das ganze bitte gut sein soll.

Im Moment sehe ich nur eine Lösung für die Passwörter und das ist ein starkes Passwort für den Passwort Speicher und darin generierte Passwörter, die komplex genug sind.

Danke nochmal für das Kommentar

Konstantin