Archiv für die Kategorie "Internet"

Passwörter im Internet sicher speichern

Mit Erschrecken stelle ich immer wieder fest, dass viele Internetseiten die Sicherheit von Benutzerkonten hinsichtlich der Passwörter vernachlässigen.

Der schlimmste Fall betrifft eine recht populäre Internetseite mit angekoppeltem Online-Shop, die die Passwörter sogar im Klartext zu hinterlegen scheint. Hat man das Passwort vergessen wird es nämlich im Klartext per E-Mail zugesendet, was ein enormes Sicherheitsrisiko bedeutet. Zum einen können die Datenbestände des Anbieters in falsche Hände gelangen, zum anderen birgt der unverschlüsselte Versand des Passwortes weitere Risiken (z.B.: Man-In-The-Middle Angriff). Man kann sich leicht vorstellen, wie viele Benutzer das dortige Passwort auch auf anderen Internetseiten verwenden und was das im Falle von Datendiebstahl bedeuten kann… Einen Hinweis sucht man auf der Internetseite ebenfalls vergebens.

Leider stoße ich sogar bei etwas besser abgesicherten Internetseiten häufig über sehr niedrige Begrenzungen der Passwortlänge. Aus welchem Grund darf ein Passwort nur 10 oder 20 Zeichen lang sein? Das Passwort wird ohnehin verschlüsselt und ist damit immer gleich lang (z.B.: 64 Bytes bei MD5). Einzig die möglichen Performance-Verluste seitens des Webservers fallen mir dabei als Grund ein. Daraufhin bastelte ich mir kurzerhand ein kleines PHP-Script um Benchmarks für unterschiedlich lange Zeichenketten aufzuzeichnen. Dabei werden die Hash-Verfahren MD4, MD5, SHA1, SHA256 und SHA512 jeweils mit einer 32, 64, 160 und 320 Bytes langen Zeichenkette berechnet. Um auf einigermaßen aussagekräftige Werte zu kommen, wird jede Berechnung 10.000 mal durchgeführt und der Mittelwert gebildet. Als Ergebnis der Untersuchungen kam ich zu der Erkenntnis, dass die Hash-Verfahren MD4 und MD5 die Zeichenkette in der kürzesten Zeit berechnen konnten. Die Länge der Zeichenkette wirkt sich dabei zwar auf die Dauer der Berechnung aus, aber nicht sehr stark: während sich die Länge verzehnfacht, benötigen die beiden Hash-Verfahren lediglich die rund 1,4-fache Zeit.
Etwas anders sieht es bei SHAx aus. Die Leistung von SHA1 ist noch ungefähr vergleichbar mit MD4/MD5. Die Berechnung mit SHA256 dauert aber schon etwas länger und bei der zehnfachen Länge der Zeichenkette wird auch schon die doppelte Zeit benötigt. Am längsten dauert die Berechnung mit SHA512, nämlich rund drei bis vier mal so lange im Vergleich zu MD4/MD5. Die Proportionen verhalten sich hier wie bei SHA256.

Ergebnisse: hashbenchmark.txt

Was bedeutet das nun? Obwohl sich die Zeiten teilweise deutlich unterscheiden, kann ich mir kaum vorstellen, dass ein Webserver durch längere Berechnungen deutlich an Performance verliert. Im übrigen bin ich der Meinung, dass auch diese Umstände bei der Auslegung der Hardware des Servers berücksichtigt werden sollten! Übrigens sind schnelle Hash-Verfahren nicht unbedingt die besten, denn auch Rainbow-Tables lassen sich damit schneller erstellen, wovon die Cracker profitieren.

Eine Begrenzung der Passwortlänge würde ich erst ab mindestens 50 Zeichen ansetzen und als Hash-Verfahren SHA256 oder SHA512 verwenden. Weiterhin ist die Verwendung von Salts, die vor, hinter oder/und in das Passwort eingefügt werden, zu empfehlen. Damit lassen sich die Passwörter künstlich in die Länge ziehen und sogar Wörter aus Wörterbüchern so verschlüsseln, dass Angriffe mit Rainbow-Tables erfolglos bleiben. Eine weitere sinnvolle Methode ist das mehrfache Berechnen eines Hashes. So wird die resultierende Zeichenkette nach dem Verschlüsseln des Passwörtes wiederum verschlüsselt. Dieser Vorgang kann beliebig oft wiederholt werden, was wiederum die Rückverfolgung über Rainbow-Tables erschwert.

Den abschließenden Appell auf jeder Internetseite ein anderes Passwort zu verwenden kann so manch einer vielleicht nicht mehr hören, möchte ich an dieser Stelle der Vollständigkeit halber erwähnen!

Nützlichste Tastenkürzel des Google Chrome

Im Nachfolgenden möchte ich die nützlichsten Tastenkürzel zusammenfassen, durch die Google Chrome das Surfen im Web erleichtert:

Quelle: Google Chrome Hilfe

Strings mit PHP prüfen

Einen String prüfen, ob er eine Binärzahl ist:

function is_bin($val) {
	return (preg_match('/^[0-1]*$/', $val)) ? true : false;
}

Einen String prüfen, ob er eine Hexadezimalzahl ist:

function is_hex($val) {
	return (preg_match('/^[0-9a-f]*$/i', $val)) ? true : false;
}

Die Suchleiste des Mozilla Firefox

Der Browser ist in den letzten Jahren immer mehr zum Dreh- und Angelpunkt geworden. Kaum ein privater Computer hat nicht permanent den Browser geöffnet und er bildet die wichtigste Schnittstelle zum Internet.
Da verwundert es, wenn viele Benutzer sich gar nicht so gut mit diesem wichtigen Werkzeug auskennen. In diesem Artikel möchte ich auf die Suchleiste (standardmäßig im oberen rechten Eck anzutreffen) eingehen.

Im Firefox ist Google als Suchdienst voreingestellt. Tippt man nun seinen Suchbegriff ins obere Feld und Bestätigt mit Enter oder Mausklick auf die Lupe, erscheint im aktuellen Fenster die Google-Webseite mit den Suchergebnissen. Soweit so klar!

Der Firefox bietet aber mehr: Klickt man auf das Google-Symbol bzw. die Dropdown-Schaltfläche, öffnet sich eine Auswahl an vorinstallierten Suchdiensten (Amazon, Ebay, Wikipedia, Yahoo, …). Wählt man einen dieser Optionen aus, wird nach Eingabe eines Suchbegriffs auf eben dieser Internetseite gesucht.
Des Weiteren fällt vermutlich der Button “Suchmaschinen verwalten” auf. Nach einem Klick auf selbigen öffnet sich ein kleines Fenster, wo sich die verschiedenen Suchdienste verwalten lassen.

Mit der Sortierfunktion (“Nach oben”, “Nach unten”) kann man eine beliebige Reihenfolge erstellen. Der oberste Suchdienst wird als Standard betrachtet und ist automatisch aktiv, wenn der Browser gestartet wird.
Über den Button “Entfernen” oder die Entfernen-Taste selber lassen sich Suchdienste aus der Liste löschen.
Wem die Auswahl nicht reicht, kann auch manuell neue Dienste installieren. Der Link im Verwaltungsfenster führt zu folgender Webseite Mozilla Firefox Addons – Suchwerkzeuge. Eine noch größere Auswahl gibt es auf dieser Webseite: Mycroft Project.
Zur Installation einfach auf den entsprechenden Link klicken und im sich öffnenden Fenster die Installation bestätigen.

Ab sofort ist der neue Suchdienst in der Suchmaschinen-Verwaltung zu finden.

Über den Button “Schlüsselworte” habe ich bisher noch nichts geschrieben. Das hole ich jetzt nach. Dort lässt sich für jeden Suchdienst ein individuelles Schlüsselwort festlegen. Im Nachfolgenden gibt man in der Adressleiste das Schlüsselwort des gewünschten Suchdienstes und dahinter den Suchbegriff ein, um auf der Webseite des Suchdienstes nach dem Suchbegriff zu suchen.
Beispiel:
Schlüsselwort = “wiki” für den Wikipedia-Suchdienst
In der Adressleiste eingeben: “wiki Hauptseite” -> Es wird auf Wikipedia nach “Hauptseite” gesucht.

Über Sinn und nutzen vieler Suchdienste lässt sich streiten, aber die Vielfalt ist groß genug um nahezu alle Bedürfnisse zu stillen.

Besonders möchte ich hier aber den Suchdienst von Scroogle empfehlen. Scroogle fungiert als Proxy für die Google-Suche. Dadurch ist es Google nicht mehr möglich Suchbegriffe bestimmten Personen zuzuordnen oder Historien der Suchbegriffe anzulegen. Nach eigenen Angaben löscht Scroogle alle 48 Stunden die Serverlogs. Eine optionale SSL-Verschlüsselung bietet weitere Privatsphäre für den Anwender.
Warum ich das erzähle und somit etwas vom Thema abschweife? Ganz einfach (und man kann es sich schon denken): Auch für Scroogle gibt es ein Firefox-Plugin -> Scroogle @ Mycroft Project. Auf dieser Seite gibt es eine große Auswahl an Scroogle-Plugins für die unterschiedlichsten Sprachen.
Empfehlenswert ist die internationale Suche Scroogle SSL und die deutsche Variante Scroogle SSL de.