{"id":33350,"date":"2019-09-11T17:17:21","date_gmt":"2019-09-11T15:17:21","guid":{"rendered":"https:\/\/blog.wildix.com\/?p=33350"},"modified":"2020-03-24T15:28:47","modified_gmt":"2020-03-24T14:28:47","slug":"sind-passwoerter-wirklich-sicher","status":"publish","type":"post","link":"https:\/\/blog.wildix.com\/de\/sind-passwoerter-wirklich-sicher\/","title":{"rendered":"Sind Passw\u00f6rter und Authentifizierungsprotokolle wirklich sicher? Nicht immer."},"content":{"rendered":"

[vc_row][vc_column][vc_single_image image=“27981″ img_size=“full“ alignment=“center“][vc_column_text]<\/p>\n

Werfen wir einen n\u00e4heren Blick auf die Protokolle und ihre Schwachstellen.<\/h2>\n

Als Authentifizierung bezeichnet man den Vorgang der Identit\u00e4tspr\u00fcfung eines Benutzers, der sich mit einem System verbinden m\u00f6chte. Wie effektiv dieser Prozess ist, ergibt sich aus den verwendeten Authentifizierungsprotokollen und -mechanismen. Nachfolgend betrachten und bewerten wir einige der Authentifizierungsarten, um zu sehen, welche von ihnen wirklich sicher sind. <\/p>\n

Einfaches HTTP<\/b><\/h4>\n

Die erste SIP-Version verwendete die einfache HTTP-Authentifizierung. Dieses Verfahren ist relativ einfach \u00fcber Man-in-the-Middle-Angriffe angreifbar. Diese Form der Benutzerauthentifizierung verliert daher seit geraumer Zeit an Bedeutung<\/span>.<\/p>\n

Bei der HTTP-Authentifizierung kann ein Angreifer problemlos ein Paket, welches das Passwort enth\u00e4lt und base64-kodiert ist, abfangen, damit die Dekodierung durchf\u00fchren und Angriffe ausf\u00fchren<\/span>.<\/p>\n

\u2192 Nicht wirklich sicher!<\/b><\/p>\n

Digest-Authentifizierung<\/b><\/h4>\n

Die Digest-Authentifizierung, die sowohl von SIP als auch von HTTP verwendet wird, bietet die F\u00e4higkeit, nur die verschl\u00fcsselte Version des Passworts auf dem Server zu speichern. Dies verhindert, dass der Client das Passwort in einem leicht dekodierbaren Format sendet, und es erm\u00f6glicht dem Server, einen Hash des Passworts zu speichern (der nicht leicht dekodierbar ist).<\/p>\n

Betrachten wir im Einzelnen, wie Nachrichten zwischen Client und Server ausgetauscht werden:<\/p>\n

Der Server fordert eine Authentifizierung an:[\/vc_column_text][vc_message]WWW-Authenticate: Digest realm=“testrealm@host.com“,
\nqop=“auth,auth-int“,
\nnonce=“dcd98b7102dd2f0e8b11d0f600bfb0c093″,
\nopaque=“5ccc069c403ebaf9f0171e9517f40e41″<\/span><\/span><\/span><\/p>\n

[\/vc_message][vc_column_text]Der Client f\u00fcgt die Authentifizierungsinformationen hinzu:[\/vc_column_text][vc_message]
\nAuthorization: Digest username=“Mufasa“,
\nrealm=“testrealm@host.com“,<\/span>
\nnonce=“dcd98b7102dd2f0e8b11d0f600bfb0c093″,<\/span>
\nuri=“\/dir\/index.html“,<\/span>
\nqop=auth,<\/span>
\nnc=00000001,<\/span>
\ncnonce=“0a4f113b“,<\/span>
\nresponse=“6629fae49393a05397450978507c4ef1″,<\/span>
\nopaque=“5ccc069c403ebaf9f0171e9517f40e41″<\/span>[\/vc_message][vc_column_text]Der \u201eAntwort\u201c-Wert (\u201eresponse\u201c) wird in drei Schritten wie folgt berechnet (werden Werte kombiniert, sind sie durch Doppelpunkte voneinander getrennt):<\/p>\n

    \n
  1. \n
      \n
    1. Der MD5-Hash der Kombination aus Benutzernamen, Authentifizierungsbereich und Passwort wird berechnet. Das Ergebnis wird als HA1 bezeichnet.<\/li>\n
    2. Der MD5-Hash der Zugriffsmethode kombiniert mit dem Digest-URI wird berechnet (z.B. \u201eGET\u201c und \u201e\/dir\/index.html\u201c). Das Ergebnis wird als HA2 bezeichnet.<\/li>\n
    3. Der MD5-Hash wird aus dem kombinierten HA1-Ergebnis, Server-Nonce (nonce), Request-Z\u00e4hler (nc), Client-Nonce (nonce), Quality-of-Protection Code (qop) und HA2-Ergebnis berechnet. Das Ergebnis ist der vom Client bereitgestellte \u201eAntwort\u201c-Wert.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n

      [\/vc_column_text][vc_message]HA1<\/strong>
      \n= MD5( „Mufasa:testrealm@host.com:Circle Of Life“ )
      \n= 939e7578ed9e3c518a452acee763bce9<\/p>\n

      HA2<\/strong>
      \n= MD5( „GET:\/dir\/index.html“ )
      \n= 39aff3a2bab6126f332b942af96d3366<\/p>\n

      Response<\/strong>
      \n= MD5( „939e7578ed9e3c518a452acee763bce9:\\
      \ndcd98b7102dd2f0e8b11d0f600bfb0c093:\\
      \n00000001:0a4f113b:auth:\\
      \n39aff3a2bab6126f332b942af96d3366“ )
      \n= 6629fae49393a05397450978507c4ef1[\/vc_message][vc_column_text]Die Verwendung dieser Methode hat folgende Vorteile:<\/p>\n