DB Sicher zur Anlage von Passwörterrn

Moderator: ModerationP

DB Sicher zur Anlage von Passwörterrn

Beitragvon benny66 » 25. Okt 2021, 17:33

Hallo,
wie sicher sind Passwörter, die man in einer DB für Banken, Firmen u.a. hinterlegen will?
Wie kann man die Sicherheit verbessern, wenn man optimale Sicherheit anstrebt?
Gruß Benny
benny66
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 943
Registriert: 22. Nov 2015, 21:56

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon SGast » 25. Okt 2021, 18:11

Hallo,
mit einem Datenbankkennwort im Einzelnutzerbetrieb recht sicher.

Gruß Steffen
SGast
 

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon benny66 » 25. Okt 2021, 19:20

Hallo Steffen,
danke dir.
müssten die Passwörter nicht verschlüsselt werden, da Zugriff von außen auf die Tabelle evtl. doch möglich ist?
Am liebsten wäre mir eine Verschlüsselung, aber ich kenne mich damit nicht aus.
Angenommen, man gibt das PW in ein Textfeld ein (gebunden/ungebunden?).
Wie landet es jetzt verschlüsselt in die Tabelle? eigenes Feld dafür? Ein Beispiel wäre super.
Gruß Benny
benny66
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 943
Registriert: 22. Nov 2015, 21:56

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon SGast » 25. Okt 2021, 19:42

Hallo,
ein Datenbankkennwort ist ein ganz normaler Dateischutz, wie bei Excel und Word auch.
Wie viele Leute sollen die Datenbank nutzen?
Bei mehr als einer Person scheidet dieser Schutz aus bzw. wird organisatorisch unsicher.

Gruß Steffen
SGast
 

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon Bitsqueezer » 25. Okt 2021, 19:50

Hallo,

oder man setzt gleich eine fertige Lösung ein, wie etwa KeyPass - Access ist dazu ziemlich ungeeignet.

Gruß

Christian
Bitsqueezer
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 8495
Registriert: 21. Jun 2007, 12:17

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon derArb » 26. Okt 2021, 15:02

Hallo,
ich gebe Bitsqueezer recht.
Für diejenigen, welche sich aber dafür interessieren, so etwas trotzdem mal sportiv in Access zu erstellen,
gibt es hier ein Codier- Beispiel von Nouba, welches zwar die Ergebnisse zeigt, aber keine weitere Hilfe
für eine Verwaltung in und aus Tabellenfeldern beinhaltet.
Das dann in einer Access DB auszubauen, bedarf dann doch sehr intensiver VBA-Kenntnisse, ebenso auch SQL Kenntnisse.
Vorgekaute Beispiele gibt es auch dafür.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
MfG
derArb

Scio me nihil scire...Εν οίδα οτι ουδέν οίδα... Ich weiss, dass ich nichts weiss (Sokrates)
Ich bevorzuge Beiträge mit korrekter deutscher Grammatik.
derArb
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 14694
Registriert: 19. Apr 2006, 18:39
Wohnort: Berlin

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon Bitsqueezer » 26. Okt 2021, 16:34

Hallo derArb,

das Beispiel zeigt, wie man ein Passwort als Hash umrechnet (was keine Verschlüsselung ist). Der Hash eignet sich dafür, ein Passwort unleserlich zu speichern und bei der Eingabe eines Passwortes kann man den Hash aus der Eingabe berechnen und dann mit dem gespeicherten Hash vergleichen, für mehr ist das nicht geeignet.

Eine Passwortverwaltung soll aber gerade die Passwörter im Klartext speichern, sie aber so verschlüsseln, daß Außenstehende sie nicht entschlüsseln können. Dafür braucht es entsprechende Verschlüsselungs- und Entschlüsselungsalgorithmen, die auch sehr gut und sehr sicher sein müssen.

Da Access aber eher einfach geknackt werden kann, auch der Code einer ACCDE kann wieder zurückgeholt werden (gibt kostenpflichtige Tools dafür), ist Access in keiner Weise sicher, denn die Algorithmen könnten ausgelesen werden und somit die Daten wieder entschlüsselt werden.

Gruß

Christian
Bitsqueezer
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 8495
Registriert: 21. Jun 2007, 12:17

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon mmarkus » 26. Okt 2021, 16:55

Bitsqueezer hat geschrieben:
Da Access aber eher einfach geknackt werden kann, auch der Code einer ACCDE kann wieder zurückgeholt werden (gibt kostenpflichtige Tools dafür), ist Access in keiner Weise sicher, denn die Algorithmen könnten ausgelesen werden und somit die Daten wieder entschlüsselt werden.


Da würde ich mir keine Sorgen machen.
Reverse engineering geht doch bei jeder Software.
Nur dass du bei jeder Plattform für Softwareentwicklung dafür unzählige Programme zur Verfügung hast.
Weil wer interessiert sich schon dafür Access Programme zu knacken :lol: .

Viel mehr Sicherheit gibts nur, wenn du keinen Zugriff auf das Programm und dessen Arbeitsspeicher bzw. Prozessor hast.
Sprich, der Code muss also auf einer anderen Maschine verarbeitet werden.
In allen anderen Fällen wirds schwierig.
ms access what else
mmarkus
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 2182
Registriert: 16. Apr 2012, 16:07
Wohnort: Oberösterreich

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon SGast » 26. Okt 2021, 20:02

Hallo,
das ordentliches Datenbankkennwort kann aktuell nmK. nicht geknackt werden und die Datei selbst ist verschlüsselt/kann verschlüsselt werden.

Gruß Steffen
SGast
 

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon knobbi38 » 26. Okt 2021, 23:09

Hallo,
SGast hat geschrieben:das ordentliches Datenbankkennwort kann aktuell nmK. nicht geknackt werden und die Datei selbst ist verschlüsselt/kann verschlüsselt werden.
Kommt auf die Access Version an und wenn die Verschlüsselung richtig eingestellt ist, wird AES-256Bit verwendet - das sollte eigentlich reichen.

Gruß Ulrich
knobbi38
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 3599
Registriert: 02. Jul 2015, 14:23

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon benny66 » 27. Okt 2021, 10:10

Hallo,
derArb
Vorgekaute Beispiele gibt es auch dafür.

Mit dem Code der Beispiel-Datenbank kann man z.B.
03191F1A1D03E405E6B0238F596D00D5F77BDDD3
erhalten.
Für das Entschlüsseln müsste man wohl so ein Beispiel haben. Aber man weiß ja nicht, mit welcher Berechnungsart (MD5, SHA1…) obiger Hash berechnet wurde. Das wäre ja nötig, wenn man den Text der Eingabe zurückholen will. Noubas Code verwendet vier Berechnungsarten. Wahrscheinlich gibt es etliche andere, doch schon bei den vieren dürfte es schwer sein, den Eingabetext zu ermitteln. Es fehlt so etwas wie eine Function GetText.
Haben die Beispiele so etwas?
Oder anders: wie lautet der Eingabetext zu obigem Hash?

@Christian
Eine Passwortverwaltung soll aber gerade die Passwörter im Klartext speichern, sie aber so verschlüsseln, daß Außenstehende sie nicht entschlüsseln können.

Das trifft doch auch für obigen Hash zu. Man kann ihn doch nur entschlüsseln, wenn man den passenden Code dazu hat.
auch der Code einer ACCDE kann wieder zurückgeholt werden

Damit hat man doch noch nicht den VBA-Code oder?
Das Projekt kann doch zusätzlich durch ein Passwort gesperrt werden. Ob das Entsperren möglich ist? Auf jeden Fall eine zusätzliche Hürde.
Gruß Benny
benny66
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 943
Registriert: 22. Nov 2015, 21:56

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon Bitsqueezer » 27. Okt 2021, 10:48

Hallo Benny,

das ist ein Irrtum: Ein Hash ist ein Code, der sich aus vielen Berechnungen ergibt, der auch u.U. deutlich kürzer als der ursprüngliche Wert ist. Es ist eine Einbahnstaße, die in KEINEM Fall den Originaltext wieder ermitteln lassen kann. Das ist ja auch die Idee dahinter.

Wenn aus "MeinPasswort" der Code "125F6A77" wird (ist jetzt nicht aus einem der Algorithmen), kann man den Code speichern. Beim Eingeben des Passwortes "MeinPasswort" wird dieser mit dem gleichen Algorithmus wieder zu "125F6A77" umgerechnet und das Programm vergleicht nur den Code mit dem gespeicherten Code. Von daher kann auch ein Admin oder Programmierer das Originalpasswort nicht mehr ermitteln.

Als Einfachstbeispiel: Bilde die Quersumme aus dem ASCII-Code aller Zeichen eines Kennwortes. Das ist eine Zahl, dein "Code". Du kannst auf keine Weise ermitteln, welche Zeichen notwendig waren, um diese Quersumme zu bilden.

Gruß

Christian
Bitsqueezer
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 8495
Registriert: 21. Jun 2007, 12:17

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon benny66 » 27. Okt 2021, 11:03

Hallo Christian,
wenn ich es richtig lese, kann es keinen Code geben, der zu Noubas Algorithmen zur Entschlüsselung passt?
Wie siehst mit der Projektsperre des VBA-Codes aus? Mit dem Dekompilieren der accde hat es mMn nichts zu tun.
Gruß Benny
benny66
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 943
Registriert: 22. Nov 2015, 21:56

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon Bitsqueezer » 27. Okt 2021, 16:24

Hallo Benny,

richtig, da es auch keine Verschlüsselung ist, sondern ein Hash.

siehe z.B.:
https://www.security-insider.de/was-ist ... -a-635712/
https://www.security-insider.de/was-ist ... -a-618734/

Die Projektsperre in VBA verhindert lediglich, daß man die Objekte im VBA-Editor öffnen kann. Der Sourcecode ist hier noch komplett zugänglich (also ACCDB), wenn man das Kennwort hat. Meines Wissens wird beim Setzen des Kennwortes auch nichts verschlüsselt, Textteile des VBA-Codes können also im Binärcode gefunden werden (etwa Werte von Konstanten). Verschlüsselt wird die Datei erst beim Setzen eines Datenbankkennwortes für die gesamte Access-Datei.

Gruß

Christian
Bitsqueezer
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 8495
Registriert: 21. Jun 2007, 12:17

Re: DB Sicher zur Anlage von Passwörterrn

Beitragvon Gast » 28. Okt 2021, 07:37

Hallo Christian,
vielen Dank, jetzt ist es mir klar.
Gruß Benny
Gast
 


Zurück zu Access Forum (provisorisch)

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste