it-swarm.com.de

Ist die Option, in Kennwortfeldern zu Leerzeichen zu springen, ein Sicherheitsrisiko?

Verwenden von Ctrl +  /. Es ist ein gängiges Verhalten unter verschiedenen Betriebssystemen, in Texteingabefeldern von Word zu Word (oder von leer zu leer) zu springen.

Jetzt habe ich festgestellt, dass dies auch für Kennwortfelder in Internet Explorer 8 und 11 gilt (ich habe es in anderen Versionen noch nicht ausprobiert): Der eigentliche Text ist mit Aufzählungszeichen maskiert, dennoch kann ich mithilfe von Leerzeichen Leerzeichen finden erwähnte Tastaturkombination.

Zumindest in Chrome 38) springt die Kombination nur zwischen dem Anfang und dem Ende des gesamten Textes.

  • Warum ist dies im Internet Explorer nicht behoben?
  • Kann dies als Sicherheitsrisiko angesehen werden? Es ist nur relevant, wenn das Passwort gespeichert ist. Ich denke, dies öffnet schwerwiegendere Angriffsmethoden mit externen Tools wie dem Lesen des Kennworts aus dem Kennwortspeicher oder der Verwendung von Demaskierungswerkzeugen. Beim Word-Jumping ist es dennoch möglich, mithilfe der in Internet Explorer integrierten "Funktionen" eine schnelle Vorstellung vom Kennwort zu erhalten.
  • Ist es möglich, das Word-Trennzeichen (ein Leerzeichen?) Zur Laufzeit zu ändern? Könnte ich es also in 'a' ändern und mit den Pfeiltasten zu jedem 'a' springen?
  • Wie in den Kommentaren erwähnt, ist es auch möglich, zu Sonderzeichen wie $ Zu springen, obwohl hier der Cursor sowohl vor als auch nach dem Zeichen anhalten würde. Ist der genaue "Sprungalgorithmus" irgendwo dokumentiert?
  • Gibt es weitere Probleme mit dem beschriebenen Verhalten von Internet Explorer?
50
stuXnet

Nein, das ist kein Sicherheitsrisiko.

Das Speichern von Passwörtern in einem Browser ist ein Sicherheitsrisiko. Es ist ein Sicherheitsrisiko, wenn ein Angreifer zwischen der Eingabe des Kennworts und der Übermittlung des Kennworts auf Ihren Computer zugreift (und selbst nach der Übermittlung müssen Sie sich über den Diebstahl gültiger Sitzungscookies Gedanken machen). Es ist kein Risiko, in einem eingegebenen Passwort zu Leerzeichen/Sonderzeichen zu springen.

Nachdem ein Kennwort in das Kennwortfeld eingegeben wurde, befindet es sich im DOM des Browsers und erfordert nur den geringsten Aufwand, um den vollständigen Wert daraus zu extrahieren. Wenn Sie beispielsweise zur Javascript-Konsole des Entwicklers gehen (z. B. in Chrome/Linux Typ Strg-Umschalt-J) und eingeben (Sie können die Kommentarzeilen überspringen, die mit // Beginnen):

var inputs = document.getElementsByTagName('input');
// find all <input> elements in the page

for ( var i = 0; i < inputs.length; i++) {  
// loop through all <input> elements

    if (inputs[i].getAttribute('type') === 'password') {  
    // find input elements with attribute type="password"

        console.log(inputs[i].value);
        // print the values of these password elements to the screen.
    }
}

Auf dem Bildschirm wird der Text gedruckt, der in ein Kennwortfeld eingegeben wird. (Dieser Code entspricht der jQuery $('input[type=password]').value, die funktioniert, wenn die Webseite jQuery geladen hat.).

Sie können einfach das Wort javascript: In die Positionsleiste eingeben und dann einfügen

var inputs=document.getElementsByTagName('input'); for( var i=0; i < inputs.length; i++ ) { if (inputs[i].getAttribute('type') === 'password') alert(inputs[i].value) } 

in die Positionsleiste und der Text in einem Passwortfeld wird Ihnen mitgeteilt. (Beachten Sie, dass die meisten Browser den Teil javascript: Entfernen, wenn Sie versuchen, die vollständige URL einzufügen, sodass Sie sie eingeben müssen.

javascript:var inputs=document.getElementsByTagName('input'); for( var i=0; i < inputs.length; i++ ) { if (inputs[i].getAttribute('type') === 'password') alert(inputs[i].value) }
37
dr jimbob

Ja, ist ein Sicherheitsrisiko, aber es ist sehr unwahrscheinlich, dass es ausgenutzt wird.

Es kann folgendermaßen ausgenutzt werden:

  1. Jemand benutzt Ihren Computer ohne Sie

  2. Haben Sie genug Zeit, um den IE zu öffnen

  3. Stellt mit einem gespeicherten Passwort eine Verbindung zu einer Website her

  4. Ruft das Profil Ihres Passworts ab und verschwindet

Wenn der Eindringling genügend Zeit hat, um alle oben genannten Aufgaben auszuführen, ist es viel schneller und einfacher, einen Keylogger herunterzuladen, zu installieren, alle Berechtigungen für die Firewall zu erteilen, das Antivirenprogramm zu ignorieren und zu verlassen.

Wenn Sie also über das Passwortprofil nachdenken, müssen Sie über ernstere Probleme nachdenken.

20
ThoriumBR

Das Passwort wird nicht auf dem Bildschirm angezeigt, um Schulter-Surf-Angriffe zu vermeiden, aber es ist dem Browser natürlich immer noch bekannt. Wenn Sie einen Kennwortspeicher verwenden, gibt er einer anfordernden Anwendung das tatsächliche Kennwort und nicht einen Hash oder eine verschlüsselte Version davon (die Verwendung wäre sehr unpraktisch).

Wenn jemand so nah bei Ihnen ist, dass er mit Ihrer Tastatur feststellen kann, ob Sie Wörter eingegeben haben oder nicht, ist er nah genug, um Ihre Tastenanschläge zu durchsuchen, und die Sicherheit Ihres Passworts ist bereits gefährdet.

8

Sicherheitsrisiko? Sie verlieren Daten, also ist dies definitiv ein Sicherheitsrisiko.

Aber Risiko ist die Chance, dass es passiert, mal die Auswirkungen. Die Wahrscheinlichkeit ist gering, da Sie nicht jeden Tag ein Kennwort eingeben und dann vor dem Anmelden abreisen. Die Auswirkungen sind ebenfalls gering, da es oft viel einfacher ist, nur den Wert des Felds (insbesondere in Browsern) und auch wenn Sie dies nicht zu tun Ich werde nur die Position von Leerzeichen lernen. Das lässt noch viele Optionen beim Knacken des Passworts.

Also ist es wichtig? Nein nicht wirklich.

7
Luc

Es ist natürlich unglücklich, aber wenn der Eindringling sich bereits als Sie ausgeben kann (weil Sie vergessen haben, Ihre Workstation zu sperren), kann er im Prinzip auf den Speicher des IE zugreifen und das Kennwort direkt lesen. In der Praxis würden Sie hierfür ein Werkzeug verwenden. Ich habe einmal als Test mein eigenes Passwort mit den Entwicklertools des Browsers erfolgreich zurückgelesen. Keine Notwendigkeit für Kontrolle + Pfeil und brutales Erzwingen der Teile.

Es wäre schlecht, wenn diese Sicherheitsanfälligkeit im Windows-Anmeldebildschirm vorhanden wäre, da dadurch Passwörter im korrekten Pferdestil erheblich weniger sicher würden. Auf dem Anmeldebildschirm springt die Steuerung + Pfeil jedoch zum Anfang oder Ende des Textfelds.

2

In jedem Fall einer Verwundbarkeit hilft kontroverses Denken. In welchem ​​Szenario würde I diese Sicherheitsanfälligkeit hilfreich finden, wenn ich böswillig Zugriff auf das Konto einer anderen Person haben wollte?

Nun, als Systemadministrator habe ich Zugriff auf jeden Passwort-Hash sowie auf Salz und Pfeffer. Da es sich jedoch um Hashes handelt, kann ich ein gut gewähltes Passwort immer noch nicht knacken. Ich bin nicht der einzige Systemadministrator, daher kann ich keine Tools für das Passwort-Snoop installieren und garantieren, dass sie nicht erkannt werden.

Der Benutzer hat jedoch sein Kennwort eingegeben und dort mit Sternchen versehen. Wenn sie sich vom Computer entfernt haben, während sie angemeldet sind, kann ich eine Reihe von Maßnahmen ergreifen, um das Kennwort wiederherzustellen. Aber sie haben nicht. Sie haben mich stattdessen angerufen, um bei einem Problem mit ihrem Browser, ihrer Tastatur, ihrer Maus usw. zu helfen.

Unter dem Deckmantel des Testens kann ich herumklicken, auf ihren Benutzernamen klicken, Text auf der Seite auswählen, die Tabulatortaste drücken, das Passwortfeld auswählen, Strg und die Cursor ... oder ich kann mich selbst anmelden und meinen Benutzernamen in den Namen eingeben Feld, klicken Sie auf das Ende des Passwortfeldes, bewegen Sie den Cursor auf natürlich wirkende Weise an den Anfang ...

... im Bruchteil einer Sekunde, und ich habe festgestellt, dass ihr Passwort die Form "aaaa ?? aa" hat, und meine Aufgabe, ihren Hash zu knacken, ist erheblich einfacher geworden, da ich nur diesen Musterraum testen muss. Angenommen, sie könnten ein beliebiges Zeichen auf einer Tastatur verwenden, hat sich mein Problembereich von 94 ^ 8 = 6 * 10 ^ 15 Möglichkeiten auf lediglich 62 ^ 4 * 62 ^ 2 * 32 ^ 2 = 5 * 10 ^ 13 verringert.

Dies ist bereits eine hundertfache Verbesserung, die eine viel größere Bandbreite an Angriffsmustern ermöglicht. Aber was noch wichtiger ist, ich kann meinen Angriff so anpassen, dass er Dinge ausprobiert, die wahrscheinlich zuerst funktionieren: alle vier Buchstaben aus meinen Wörterbüchern; dann zwei beliebige Sonderzeichen, wahrscheinlich eine Wiederholung oder ein Punkt und ein Leerzeichen; dann zwei Zeichen, höchstwahrscheinlich Zahlen, insbesondere wenn wir Zahlen in unserer Passwortrichtlinie benötigen.

Also ja - es kann in ihrem Gesicht von einem Support-Techniker durchgeführt werden und hinterlässt keine Spur, die ein erfahrener Benutzer oder andere Support-Techniker entdecken könnten, wie sie beispielsweise von Keyloggern oder Rootkits hinterlassen wurden.

[Bearbeiten: Ich habe gerade festgestellt, dass es auch die Möglichkeit gibt, dass es "???? xx ??" mit diesem Muster - aber das ist nur 32 ^ 6 * 62 ^ 2 = 2 * 10 ^ 12, innerhalb der Möglichkeit für brutales Forcen.]

[Edit2: Ich habe xxxx..xx als Beispiel dafür ausgewählt, wo es gut wäre zu wissen, aber betrachten wir den 8-stelligen Pass im schlimmsten Fall: xxxxxxxx. Dadurch wurde das Angriffsprofil von 94 ^ 8 auf 32 ^ 8 + 62 ^ 8 oder 2 * 10 ^ 14 gesenkt, was immer noch eine 30-fache Reduzierung darstellt. Längere Passwörter bieten natürlich bessere Ermäßigungen, sind aber immer noch schwerer zu knacken. Aber nicht nur das, ich werde in der Lage sein, eine ganze Menge Regelsätze aus meinem Angriffsprofil zu entfernen. Wenn das Passwort also nicht zufällig ist, werde ich es viel früher treffen.]

0
Dewi Morgan

In vielen Fällen kann ein Angreifer mit physischem Zugriff auf den Computer auch die Einstellungen des Browsers aufrufen, die Liste der gespeicherten Kennwörter anzeigen und Kennwörter anzeigen drücken und alle gespeicherten Kennwörter direkt dort anzeigen. Da auch hierfür ein physischer Zugriff auf den Computer erforderlich ist, ist die Anzeige gespeicherter Kennwörter eine weitaus größere Bedrohung.

0
Keavon