Projekt Idee: Blockchain-basierter Login-Service ohne Passwörter

  • Also kurz gesagt, wenn jemand die Postkarte abfängt, das bestätigt und die Postkarte so verändert weiterleitet damit kein Verdacht entsteht, ist alles fein?

    Ich will ja nicht sagen das die Idee grundlegend schlecht ist, aber mir kommt es einfach so vor als wenn Sicherheitsrelevante fragen und andere Dinge die es zu bedenken gibt beim Thema Blockchain einfach vergessen werden.

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

  • Darin sehe ich ja das Problem bei diesem Blockchain Ansatz, da die Hardware Komponente fehlt, fehlt die echte Sicherheit.

    Selben Problem haben auch Software-Wallets.

    Wenn halt ein jeder der eine verwendete Mail-Adresse errät sich ein neues Zertifikat ausstellen kann, ohne das dies irgendwie richtig validiert wird, sehe ich Account Diebstähle ohne wirkliche Hindernisse.

    Auch AES als Verschlüsselung ist nicht wirklich etwas wirksames, nicht ohne Grund werden heutzutage BCrypt und Argon verwendet.

    Die klassischen Passwort-Reset Mails sind ja zeitlich begrenzt gültig, aber auch da kommt es vor das diese abgefangen werden und der Nutzer selbst diese nie erhält oder modifiziert und ungültig (Berichte dazu gibt es wie Sand am Meer, vor allem bei beliebten Portalen).

    Ein Ansatz wie es zB bei Bitwarden gibt fände ich besser, wer sein Master-Passwort verliert, und mit dem Hinweis nicht weiter kommt, der verliert eben den Zugang zu seinem Tresor.

    Das ist ja was in meinen Augen WebAuthN/Passkeys so besonders macht, da es die ganze Passwort/Benutzername/Mail Geschichte auf lange Zeit ablösen kann und wird, da man einen Hardware Token verwendet.

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

  • Wenn halt ein jeder der eine verwendete Mail-Adresse errät sich ein neues Zertifikat ausstellen kann, ohne das dies irgendwie richtig validiert wird, sehe ich Account Diebstähle ohne wirkliche Hindernisse.

    Nochmal du brauchst zugriff zu dem Mail Account, die Aktivierung zeitlich zu begrenzen ist ja möglich. In diesem fall unterscheidet sich der neue Login nicht von dem aktuell verwendeten Login. Wenn du jemand zugriff zu deinem mail account gibst und den ohne 2FA nutzt, dann ist das offentlich ein problem des nutzers.

    Auch AES als Verschlüsselung ist nicht wirklich etwas wirksames, nicht ohne Grund werden heutzutage BCrypt und Argon verwendet.

    Da solltest du dich nochmal informieren. AES ist der sicherte Verschlüsselung Algorithmus den es derzeit gibt. Ich bin wie gesagt kein Cyber Security experte aber ich denke nicht das es jemand möglich war bis dato eine AES Verschlüsselung zu "knacken". Hier ein paar quellen

    256 Bit Encryption – Is AES 256 Bit Encryption Safe in Modern Times?
    256 bit encryption is the safest and strongest in modern times as per technology standards. But is AES 256-bit encryption truly safe? Let's find out.
    www.clickssl.net
  • Nochmal du brauchst zugriff zu dem Mail Account, die Aktivierung zeitlich zu begrenzen ist ja möglich. In diesem fall unterscheidet sich der neue Login nicht von dem aktuell verwendeten Login. Wenn du jemand zugriff zu deinem mail account gibst und den ohne 2FA nutzt, dann ist das offentlich ein problem des nutzers.

    Nein braucht es nicht, um eine Postkarte abzufangen und auszulesen braucht es keinen Zugriff.

    Geschweige, Abfangen ist ja nicht Mal nötig. Einfach mitlesen...

    Hier jetzt auszuführen wie man E-Mails ausliest die von A nach B über C, D, F, G etc unterwegs sind, überschreiten denke ich den Umfang und kann durch kurze Recherche evtl auch über ein LLM gefunden werden.

    Da solltest du dich nochmal informieren. AES ist der sicherte Verschlüsselung Algorithmus den es derzeit gibt. Ich bin wie gesagt kein Cyber Security experte aber ich denke nicht das es jemand möglich war bis dato eine AES Verschlüsselung zu "knacken". Hier ein paar quellen

    Gut ja, stimmt da hab ich das falsch im Kopf gehabt ^^ und mit etwas anderem vertauscht.

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

  • hab das ganze mit dem mail abfangen mal durch chatgpt gejagt und seine meinung dazu eingeholt. Folgendes ist seine antwort. Wobei einige punkte wie einmal aktivierung schon längst umgestzt ist.

  • Es geht zunächst nicht um das Passwort, sondern darum, dass deine E-Mail-Adresse nicht im Klartext in der Datenbank der Website gespeichert wird. Der Betreiber der Website muss stattdessen den Hash deiner E-Mail-Adresse verwenden, um dich zu verifizieren.

    Wenn du das erreichen willst, wieso "hashst" du dann nicht die E-Mail beim Registrierungsvorgang und packst den hash in die Datenbank. Der wird dann beim Login gegengecheckt - wie man es halt ähnlich auch mit Passwörtern macht?

  • Ich würde gerne ein standard erreichen, genau so funktioniert das prinzip ja. So bekommt der anbieter eben nur den hash und man ist sicher das er nicht die plain mail bekommt. Außerdem wenn man das so macht, wie soll der nutzer wenn er das Passwort verliert sich wieder einloggen.

  • Passwort vergessen Funktion.

    Wobei ich mit garantierter Sicherheit sagen kann, das das weder heute noch in Zukunft Leute anständig verwenden werden und können.


    Zur "Antwort" von ChatGPT: Im geklauten Text wird nur auf die Möglichkeit eingegangen wenn sich jemand Zugriff auf den Account des Opfers verschafft, nicht jedoch auf die Möglichkeit die Mail auf dem Weg zum Opfer abzufangen.

    Um es vielleicht mal verständlicher zu machen:

    Du schickst eine Postkarte mit streng geheimen Informationen an jemanden. Auf dem Weg dorthin wird die Postkarte von unterschiedlichen Menschen und Systemen immer wieder bearbeitet, wer verhindert das nicht jemand davon liest was auf der Rückseite steht? Selbst wenn du sie in einen Umschlag packst (Transportverschlüsselung) verhindert dies nicht wenn dem Täter bekannt ist welchen Weg die Postkarte im System nimmt diese darin abzufangen, zu öffnen und den Inhalt zu lesen.

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

  • Dann mache ich es einfach so, dass die Tokens AES verschlüsselt an die mail gesendet werden mithilfe eines Passwortes was der Benutzer eingeben kann und beim bestätigen muss er es wieder eingeben um die Strings zu entschlüsseln. Problem gelöst und schon ist es sicherer als ein normaler login. Selbst wenn jemand die mail ließt, kann er mit dem string nichts anfangen ohne das kennwort vom user.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!