info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Access-Tokens statt Passwort
4 views
Skip to first unread message
Marcel Mueller
Aug 31, 2021, 5:23:36 AM8/31/21
to
Hallo!
Github hat jetzt ernst gemacht, und erlaubt keine
Passwort-Authentifizierung mehr außerhalb der Web-UI. Ich versetehe den
Sicherheitsgewinn dabei nicht. Ich finde das erheblich unsicherer als
vorher.
- Das Token kann man praktisch nur per Copy & Paste benutzen.
- Es ist daher prinzipsbedingt nicht mehr nur in der sich
Authentifizierenden Anwendung verfügbar, sondern für alle Anwendungen
auf dem Rechner.
- Falls man eine Zwischenablage mit Historie hat (heutzutage üblich),
wird es zudem lange Zeit verfügbar und ggf. auch ungefragt in einer
Datei im Benutzerprofil gespeichert.
- Wenn man es mehr als einmal verwenden möchte, MUSS man es sogar in
einer Datei speichern. Das ist jetzt ungefähr so sicher, wie das
Passwort, was an der Tastatur klebt.
- Wenn man es nur einmal verwendet, dauert halt jeder Push 5 Minuten.
Ich frage mich, was soll das ganze? Warum sollte das sicherer sein, als
ein Passwort?
Ich meine, Passwörter haben auch ihre Grenzen und in ein paar Jahren
wird man vermutlich jedes Passwort, dass sich ein normal sterblicher
Nicht-Autist noch irgendwie merken kann, per Brute Force knacken können.
Aber im Klartext abgespeicherte Passwörter sind doch bei weitem schlimmer.
Einzig die Option diesen Tokens abweichende Rechte zu geben, ist ein
echter Vorteil. Für automatisierte Vorgänge über APIs braucht man so
etwas natürlich. Aber als Benutzeranmeldung taugt es m.E. kaum.
Marcel
Github hat jetzt ernst gemacht, und erlaubt keine
Passwort-Authentifizierung mehr außerhalb der Web-UI. Ich versetehe den
Sicherheitsgewinn dabei nicht. Ich finde das erheblich unsicherer als
vorher.
- Das Token kann man praktisch nur per Copy & Paste benutzen.
- Es ist daher prinzipsbedingt nicht mehr nur in der sich
Authentifizierenden Anwendung verfügbar, sondern für alle Anwendungen
auf dem Rechner.
- Falls man eine Zwischenablage mit Historie hat (heutzutage üblich),
wird es zudem lange Zeit verfügbar und ggf. auch ungefragt in einer
Datei im Benutzerprofil gespeichert.
- Wenn man es mehr als einmal verwenden möchte, MUSS man es sogar in
einer Datei speichern. Das ist jetzt ungefähr so sicher, wie das
Passwort, was an der Tastatur klebt.
- Wenn man es nur einmal verwendet, dauert halt jeder Push 5 Minuten.
Ich frage mich, was soll das ganze? Warum sollte das sicherer sein, als
ein Passwort?
Ich meine, Passwörter haben auch ihre Grenzen und in ein paar Jahren
wird man vermutlich jedes Passwort, dass sich ein normal sterblicher
Nicht-Autist noch irgendwie merken kann, per Brute Force knacken können.
Aber im Klartext abgespeicherte Passwörter sind doch bei weitem schlimmer.
Einzig die Option diesen Tokens abweichende Rechte zu geben, ist ein
echter Vorteil. Für automatisierte Vorgänge über APIs braucht man so
etwas natürlich. Aber als Benutzeranmeldung taugt es m.E. kaum.
Marcel
Arno Welzel
Aug 31, 2021, 12:41:08 PM8/31/21
to
Marcel Mueller:
> Github hat jetzt ernst gemacht, und erlaubt keine
> Passwort-Authentifizierung mehr außerhalb der Web-UI. Ich versetehe den
> Sicherheitsgewinn dabei nicht. Ich finde das erheblich unsicherer als
> vorher.
Ich nicht. Git verwendet man in der Regel ja nicht so, dass man jedesmal
sein Passwort eingibt, sondern trägt es *einmal* ein und speichert es.
> - Das Token kann man praktisch nur per Copy & Paste benutzen.
Aber man hat eben nur noch ein Token, was nur exakt für eine konkrete
Anwendung verwendet wird und nicht mehr ein Passwort, was den kompletten
Account bei Github öffnet.
> - Es ist daher prinzipsbedingt nicht mehr nur in der sich
> Authentifizierenden Anwendung verfügbar, sondern für alle Anwendungen
> auf dem Rechner.
Wenn Du deinem Rechner nicht traust, darfst Du da *nie* ein Passwort
eingeben. Anwendungen kommen da nämlich ebenso hin während der Eingabe.
> - Falls man eine Zwischenablage mit Historie hat (heutzutage üblich),
> wird es zudem lange Zeit verfügbar und ggf. auch ungefragt in einer
> Datei im Benutzerprofil gespeichert.
Passwortmanager existieren, da kann man auch ein Token speichern.
> - Wenn man es mehr als einmal verwenden möchte, MUSS man es sogar in
> einer Datei speichern. Das ist jetzt ungefähr so sicher, wie das
> Passwort, was an der Tastatur klebt.
Passwortmanager existieren, da kann man auch ein Token speichern.
> - Wenn man es nur einmal verwendet, dauert halt jeder Push 5 Minuten.
>
> Ich frage mich, was soll das ganze? Warum sollte das sicherer sein, als
> ein Passwort?
Dann nimm halt einen SSH-Key, der für das jeweilige Repository gilt.
> Ich meine, Passwörter haben auch ihre Grenzen und in ein paar Jahren
> wird man vermutlich jedes Passwort, dass sich ein normal sterblicher
> Nicht-Autist noch irgendwie merken kann, per Brute Force knacken können.
> Aber im Klartext abgespeicherte Passwörter sind doch bei weitem schlimmer.
> Einzig die Option diesen Tokens abweichende Rechte zu geben, ist ein
> echter Vorteil. Für automatisierte Vorgänge über APIs braucht man so
> etwas natürlich. Aber als Benutzeranmeldung taugt es m.E. kaum.
Commit, Push und Pull via git *sind* "automatisierte Vorgänge über APIs".
--
Arno Welzel
https://arnowelzel.de
> Github hat jetzt ernst gemacht, und erlaubt keine
> Passwort-Authentifizierung mehr außerhalb der Web-UI. Ich versetehe den
> Sicherheitsgewinn dabei nicht. Ich finde das erheblich unsicherer als
> vorher.
sein Passwort eingibt, sondern trägt es *einmal* ein und speichert es.
> - Das Token kann man praktisch nur per Copy & Paste benutzen.
Anwendung verwendet wird und nicht mehr ein Passwort, was den kompletten
Account bei Github öffnet.
> - Es ist daher prinzipsbedingt nicht mehr nur in der sich
> Authentifizierenden Anwendung verfügbar, sondern für alle Anwendungen
> auf dem Rechner.
eingeben. Anwendungen kommen da nämlich ebenso hin während der Eingabe.
> - Falls man eine Zwischenablage mit Historie hat (heutzutage üblich),
> wird es zudem lange Zeit verfügbar und ggf. auch ungefragt in einer
> Datei im Benutzerprofil gespeichert.
> - Wenn man es mehr als einmal verwenden möchte, MUSS man es sogar in
> einer Datei speichern. Das ist jetzt ungefähr so sicher, wie das
> Passwort, was an der Tastatur klebt.
> - Wenn man es nur einmal verwendet, dauert halt jeder Push 5 Minuten.
>
> Ich frage mich, was soll das ganze? Warum sollte das sicherer sein, als
> ein Passwort?
> Ich meine, Passwörter haben auch ihre Grenzen und in ein paar Jahren
> wird man vermutlich jedes Passwort, dass sich ein normal sterblicher
> Nicht-Autist noch irgendwie merken kann, per Brute Force knacken können.
> Aber im Klartext abgespeicherte Passwörter sind doch bei weitem schlimmer.
> Einzig die Option diesen Tokens abweichende Rechte zu geben, ist ein
> echter Vorteil. Für automatisierte Vorgänge über APIs braucht man so
> etwas natürlich. Aber als Benutzeranmeldung taugt es m.E. kaum.
--
Arno Welzel
https://arnowelzel.de
0 new messages