Sicherheitslücke TU-ID / TUCaN

Moderator: Aktive Fachschaft

SebFreutel
Computerversteher
Computerversteher
Beiträge: 317
Registriert: 30. Okt 2006 21:54

Sicherheitslücke TU-ID / TUCaN

Beitrag von SebFreutel » 20. Jan 2011 12:46

Mir ist gerade eine nicht ganz unkritische Sicherheitslücke in unserem Zentralen Authentifizierungsdienst (TU-ID) aufgefallen:
Sowohl die ID als auch und vor allem das Passwort sind nicht case-sensitive.
Wer also darauf baute, dass "pasSwoRT" schwer genug zu erraten sei, dem sei nahegelegt, ein Passwort mit anderen Sicherheitsmerkmalen zu wählen. :wink:

Habe das HRZ auch bereits informiert.

DreamFlasher
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 102
Registriert: 12. Okt 2010 12:44

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von DreamFlasher » 20. Jan 2011 12:48

pöhse. aber nice finding :)
Marcel Ackermann
http://www.dreamflasher.de
Machine Learning, Natural Language Processing, Algorithms

Interesse an Machine Learning, Artificial Intelligence, Natural Language Processing? Du möchtest deine Skills und Wissen verbessern, an Wettbewerben mit anderen Begeisterten teilnehmen? Mach mit bei unserer Study Group: http://groups.google.com/group/ml-ai

Benutzeravatar
oren78
BSc Spammer
BSc Spammer
Beiträge: 1373
Registriert: 17. Nov 2006 17:47
Wohnort: Darmstadt

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von oren78 » 20. Jan 2011 13:08

...aber echt !! danke für die info ;-)
"Unter allen menschlichen Entdeckungen sollte die Entdeckung der Fehler die wichtigste sein.", Stanisław Jerzy Lec

Benutzeravatar
kahler
Computerversteher
Computerversteher
Beiträge: 351
Registriert: 17. Apr 2004 11:24

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von kahler » 20. Jan 2011 14:10

Das erschreckende ist, dass es sich nicht nur auf TUCaN sondern auf den kompletten Single-Sign On Dienst bezieht.. Also auch Webreg, TU Webseiten, CLIX etc.
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
GIT d- s:+ a-- C++++ UL++++$ P+>+++ L++ E--- W+++$ N+ o+ K? w O M V- PS+ PE++ Y+ PGP- t--- 5--- X-- R tv b DI++ D+ G e h r y?+
------END GEEK CODE BLOCK------

Mirlix_
Endlosschleifenbastler
Endlosschleifenbastler
Beiträge: 188
Registriert: 3. Mär 2006 14:57

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von Mirlix_ » 20. Jan 2011 15:03

Viel interessanter ist die Frage ob jeder Username und jedes Password das man eingibt erst in upper oder lower case umgewandelt wird um dann gehasht gespeichert/verglichen zu werden oder um die Passwoerter echt in klartext in der DB stehen und erst dann umgewandelt und verglichen werden, was ich ihnen leider inzwischen auch zutraue.
"If you want more effective programmers, you will discover that they should not waste their time debugging, they should not introduce the bugs to start with." Edsger W. Dijkstra

LucasR
Kernelcompilierer
Kernelcompilierer
Beiträge: 474
Registriert: 9. Jun 2009 09:55

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von LucasR » 20. Jan 2011 15:24

Und wer ist jetzt überrascht? :twisted:

Aber Danke für die Mitteilung.

DreamFlasher
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 102
Registriert: 12. Okt 2010 12:44

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von DreamFlasher » 20. Jan 2011 16:22

Was mich erstaunt: Warum ist das keinem bisher aufgefallen? Das SSO System gibts doch schon seit Ewigkeiten?
Marcel Ackermann
http://www.dreamflasher.de
Machine Learning, Natural Language Processing, Algorithms

Interesse an Machine Learning, Artificial Intelligence, Natural Language Processing? Du möchtest deine Skills und Wissen verbessern, an Wettbewerben mit anderen Begeisterten teilnehmen? Mach mit bei unserer Study Group: http://groups.google.com/group/ml-ai

Benutzeravatar
Blub
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 244
Registriert: 24. Dez 2007 14:06

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von Blub » 21. Jan 2011 00:46

vielleicht wird auch nur die beste Hashfunktion ever genutzt um die Passwörter zu hashen... PW -> 42 :p
Tutor GDI II SS12
Tutor Trusted Systems WS11/12, Tutor GDI II SS11
Tutor Trusted Systems WS10/11, GDI I WS10/11
Tutor GDI II SS10, Tutor Trusted Systems WS09/10

Benutzeravatar
AlexPi11
Endlosschleifenbastler
Endlosschleifenbastler
Beiträge: 154
Registriert: 18. Apr 2009 15:32

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von AlexPi11 » 21. Jan 2011 01:04

Also webreg scheint case-sensitiv zu sein. Aber beim rbg-Passwort gibt's ja dafür die Grenze von 8 Zeichen. :|
Woher kommen eigentlich diese künstlichen Einschränkungen?

Benutzeravatar
kahler
Computerversteher
Computerversteher
Beiträge: 351
Registriert: 17. Apr 2004 11:24

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von kahler » 21. Jan 2011 07:56

AlexPi11 hat geschrieben:Also webreg scheint case-sensitiv zu sein...
Da habe ich mich wohl missverständlich ausgedrückt. Das Webreg ist betroffen, wenn du den TU-ID Login benutzt. Da aber intern über die Matrikelnummer die beiden Accounts gemapt werden, kann der RBG Login noch so sicher sein. Man kommt trotzdem an deine Daten.
AlexPi11 hat geschrieben:... beim rbg-Passwort gibt's ja dafür die Grenze von 8 Zeichen. :|
Woher kommen eigentlich diese künstlichen Einschränkungen?
Mir wäre neu, dass es beim RBG Passwort solche Einschränkungen gibt. Meines ist auf jeden Fall länger als 8 Zeichen und hat bisher ohne Probleme funktioniert.

Jedoch hatte ich mal Probleme bei der Änderung meines TU-ID Passwortes über Ando, weshalb dieses deutlich kürzer ausgefallen ist. Das macht die obige Lücke noch viel gravierender.
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
GIT d- s:+ a-- C++++ UL++++$ P+>+++ L++ E--- W+++$ N+ o+ K? w O M V- PS+ PE++ Y+ PGP- t--- 5--- X-- R tv b DI++ D+ G e h r y?+
------END GEEK CODE BLOCK------

d_s
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 134
Registriert: 24. Jan 2008 17:27

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von d_s » 21. Jan 2011 08:04

kahler hat geschrieben:
AlexPi11 hat geschrieben:... beim rbg-Passwort gibt's ja dafür die Grenze von 8 Zeichen. :|
Woher kommen eigentlich diese künstlichen Einschränkungen?
Mir wäre neu, dass es beim RBG Passwort solche Einschränkungen gibt. Meines ist auf jeden Fall länger als 8 Zeichen und hat bisher ohne Probleme funktioniert.
Meines ist auch länger. Aber logge dich mal mit nur den ersten 8 Zeichen ein; das funktioniert ebenfalls... Das Passwort wird also sowohl beim setzen als auch beim authentifizieren nach 8 Zeichen abgeschnitten.

DreamFlasher
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 102
Registriert: 12. Okt 2010 12:44

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von DreamFlasher » 21. Jan 2011 10:04

d_s hat geschrieben:Meines ist auch länger. Aber logge dich mal mit nur den ersten 8 Zeichen ein; das funktioniert ebenfalls... Das Passwort wird also sowohl beim setzen als auch beim authentifizieren nach 8 Zeichen abgeschnitten.
Und zwar konsequenterweise nicht überall. Beim OS-Login in den Poolrechnern brauchts das Ganze, bzw. hatte zu Beginn dieses Semesters irgendein Script Probleme mit meinem längeren Passwort, was dazu führte, dass auf einigen Systemen das neue PW auf anderen das generierte galt.
Marcel Ackermann
http://www.dreamflasher.de
Machine Learning, Natural Language Processing, Algorithms

Interesse an Machine Learning, Artificial Intelligence, Natural Language Processing? Du möchtest deine Skills und Wissen verbessern, an Wettbewerben mit anderen Begeisterten teilnehmen? Mach mit bei unserer Study Group: http://groups.google.com/group/ml-ai

SebFreutel
Computerversteher
Computerversteher
Beiträge: 317
Registriert: 30. Okt 2006 21:54

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von SebFreutel » 25. Jan 2011 09:57

DreamFlasher hat geschrieben:
d_s hat geschrieben:Meines ist auch länger. Aber logge dich mal mit nur den ersten 8 Zeichen ein; das funktioniert ebenfalls... Das Passwort wird also sowohl beim setzen als auch beim authentifizieren nach 8 Zeichen abgeschnitten.
Und zwar konsequenterweise nicht überall. Beim OS-Login in den Poolrechnern brauchts das Ganze, bzw. hatte zu Beginn dieses Semesters irgendein Script Probleme mit meinem längeren Passwort, was dazu führte, dass auf einigen Systemen das neue PW auf anderen das generierte galt.
Habs eben mal probiert, mit den ersten 8 Zeichen komme ich sowohl an den Poolrechnern als auch über SSH und ins Webreg (immerhin funktionieren nicht beide Sicherheitslücken gleichzeitig...) rein. Wusste ich auch noch nicht, wie kommt man auf sowas und wenn es nötig ist, warum beschränkt man die Länge dann nicht gleich beim Passwortsetzen?

DreamFlasher
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 102
Registriert: 12. Okt 2010 12:44

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von DreamFlasher » 25. Jan 2011 10:20

Das Rechenzentrum meinte zu dieser Frage ("Warum macht man sowas?"): Irgendein Webdav bla bla Altsystem bla bla kann nicht mehr als 8 Zeichen.
Marcel Ackermann
http://www.dreamflasher.de
Machine Learning, Natural Language Processing, Algorithms

Interesse an Machine Learning, Artificial Intelligence, Natural Language Processing? Du möchtest deine Skills und Wissen verbessern, an Wettbewerben mit anderen Begeisterten teilnehmen? Mach mit bei unserer Study Group: http://groups.google.com/group/ml-ai

haase
Ehemalige Fachschaftler
Beiträge: 281
Registriert: 2. Jul 2008 22:58

Re: Sicherheitslücke TU-ID / TUCaN

Beitrag von haase » 25. Jan 2011 10:30

DreamFlasher hat geschrieben:Das Rechenzentrum meinte zu dieser Frage ("Warum macht man sowas?"): Irgendein Webdav bla bla Altsystem bla bla kann nicht mehr als 8 Zeichen.
Nur um das kurz klarzustellen: das Hochschulrechenzentrum hat mit Webreg und unseren Poolrechnern nichts zu tun, diese Systeme liegen in der Verantwortung der RBG. Und die wiederum hat mit der TU-ID, um die es initial ging, nichts zu tun.

Antworten

Zurück zu „Studienorganisation“