Re: passwort für root? - c’t 4/2004, S. 124: Linux: Knoppix
>
> > Hallo Robert,
> >
> > in KDE soll es doch auch möglich sein, Benutzer zu verwalten o.ä.,
> > also Vorgänge für die man root-Rechte braucht (gibt wenigstens solche
> > Einträge in der Oberfläche). Wär doch ganz schön, wenn das auch
> > funktionieren könnte?
> Kann ich nicht wirklich beurteilen bin eher aus der wmaker-Ecke ..
> aber wenn du das ganze auf der Festplatte hast kann ich dir ein
> script schicken dass dir das login ermoeglicht …
>
Wenn Du sowas hast, wär das super, wenn Du mir das schicken könntest
wie_geht@hotmail.com
Vor allem am Anfang ist jede mögliche Hilfe Linuxnotwendig 
> > Oder kann ich das ganze nur über die Konsole durchführen?
> ueber das nur koennte man streiten …
> > (bin bis jetzt Suse gewohnt und da war yast ganz nützlich, für nicht
> > geübte wie mich.) Gibt es bei Knoppix, bzw Debian etwas ähnliches,
> > was für Anfänger wie micht die Verwaltung etwas leichter macht?
> ja, meine Freundin verwendet Webmin das ist
> Distributionsuebergreifend und funzt sogar uebers netz
>
Vielleicht schaff ichs, soviel wie Deine Freundin hinzubekommen….
Danke schon mal und Gruß
bn
> >
> > gruß
> > bn
>
> Gruss zurueck…
Mai 22nd, 2008 - Posted in Allgemein | | 0 Comments
Re: Offensichtlich böse - Ein Passwort für alles
passwortn Österreich kommt man nur schwer um die A-Trust herum. Die
> sind zwar nicht besonders fähig, was Abrechnungen betrifft, aber ich
> hab’ noch nichts davon gehört, daß sie bei Zertifizierungen je Mist
> gebaut hätten - im Gegenteil, deren Ãœberprüfungen sind hin und wieder
> schon fast zu gründlich (und lästig).
Interessant. Ordentliche staatliche Zertifizierung bei gleichzeitg
ordentlichen Prüfvorschriften, seriöser Auftreten und klare
Schilderung der Sachverhalte.
> Naja, also ich hab’ mal gehört, was man tun muß, um in die Liste
> einer großen Firma, die einen Browser mit angehängtem Betriebssystem
> herstellt, zu kommen: Man zahlt zuerst eine recht große Summe Geldes,
> und dann überlegen die erst, ob es in ihrem Sinne ist, das Zertifikat
> in ihre Liste aufzunehmen.
Ich hab mal was davon gehört, wie das bei dem meist verbreitesten
echten Webbrowser abläuft: ein langwieriger ordentlicher Prüfprozess,
der sich durch die Zahlung einer 5stelligen Summe deutlich abkürzen
lässt. Also quasi die OpenSource-Variante des gleichen
Erpressungsschemas.
> Kein Wunder, wenn viele CAs darauf verzichten, in diese Liste
> aufgenommen zu werden.
Nun ja, dafür wiederum kriegen solche CAs auch mehr Aufträge, weil
die Auftraggeber vor allem daran interessiert sind, keine Warnung zu
produzieren.
Bei 50 bis 60% Marktdominanz durch VeriSlime bei fehlender
Kartellüberwachung sieht’s heutzutage aber ziemlich düster aus.
> Leider ist es halt schwierig, den Leuten das beizubringen. Aber die
> meisten Leute klicken Warnungen ohnehin ungelesen weg - also ist es
> eh mehr oder weniger egal.
Die meisten Leute missbrauchen den IE als Webbrowser, da können
böswillige Leute auch einfach Malware installieren und die Warnungen
selbst unterdrücken.
Mai 21st, 2008 - Posted in Allgemein | | 0 Comments
Re: Offensichtlich böse - Ein Passwort für alles
passwortdwelche Vorschläge? Meine sind:
>
> Deutsche Telekom Root CA 1 bis 4 - Class 3 bis 5
> Posten.pl
> Microsoft Server Root Authority
> DFN PCA Basic, Server, Toplevel
> CERN Higher Education Root Authority
>
> eventuell noch Staat der Nederlanden, CaCERT und RSA Security mit
> beschränkter Vertrauenswürdigkeit, sowie diverse Self-Signed von
> FFII, CCC, zurucksetzt”>JAP…
Also in Österreich kommt man nur schwer um die A-Trust herum. Die
sind zwar nicht besonders fähig, was Abrechnungen betrifft, aber ich
hab’ noch nichts davon gehört, daß sie bei Zertifizierungen je Mist
gebaut hätten - im Gegenteil, deren Ãœberprüfungen sind hin und wieder
schon fast zu gründlich (und lästig).
> Also echt mal, da haben die schon ein hochwertiges Class3-Zertifikat
> der Telekom, das tatsächlich etwas wert ist, und dann wollen die’s
> gegen ein teureres unnützes von VeriSlime eintauschen? Da muss man
> sich doch echt an den Kopf greifen. Geht also wirklich nur alles um
> Nötigung mit der Anzeige von Warnungen.
Naja, also ich hab’ mal gehört, was man tun muß, um in die Liste
einer großen Firma, die einen Browser mit angehängtem Betriebssystem
herstellt, zu kommen: Man zahlt zuerst eine recht große Summe Geldes,
und dann überlegen die erst, ob es in ihrem Sinne ist, das Zertifikat
in ihre Liste aufzunehmen.
Kein Wunder, wenn viele CAs darauf verzichten, in diese Liste
aufgenommen zu werden.
Leider ist es halt schwierig, den Leuten das beizubringen. Aber die
meisten Leute klicken Warnungen ohnehin ungelesen weg - also ist es
eh mehr oder weniger egal.
Euripides
Mai 20th, 2008 - Posted in Allgemein | | 0 Comments
Re: Offensichtlich böse - Ein Passwort für alles
> So mitgelieferte Keystores sollte man sowieso gleich als erstes mal
> leeren
Hallo? Wir sind hier bei Java. Dort kannst du Zertifikate behalten
und ihnen trotzdem das Vertrauen entziehen. Geht bei Mozilla übrigens
auch.
> und dann nur die CAs eintragen, denen man auch vertraut.
Und der Witz daran ist, daß keines davon im Keystore mitgeliefert
wird.
Irgendwelche Vorschläge? Meine sind:
Deutsche Telekom Root CA 1 bis 4 - Class 3 bis 5
Posten.pl
Microsoft Server Root Authority
DFN PCA Basic, Server, Toplevel
CERN Higher Education Root Authority
eventuell noch Staat der Nederlanden, CaCERT und RSA Security mit
beschränkter Vertrauenswürdigkeit, sowie diverse Self-Signed von
FFII, CCC, JAP…
> Verisign ist bei mir schon überall rausgeflogen, seit sie diesen Mist
> mit dem MS-Zertifikat gebaut haben.
Und alle, die VeriSlime aufgekauft hat, ebenfalls. Als da wären
Thawte, TrustCenter, ValiCert, GTE Cybertrust… und es ist ja nicht,
daß VeriSlime sich in der Zwischenzeit nicht noch viel mehr Sachen
geleistet hätte.
GeoTrust war übrigens auch lustig, die haben über die SSL-Anzeige bei
Opera 9 gelästert und nebenbei mal ihre eigenen Praktiken dafür
unterwandert, wo bei Class 3 nicht mal ein Abgleich der OU gegen
bekannte ONs gemacht wurde, wider den eigenen Ansprüchen. Seit die
Equifax aufgekauft haben, ist auch deren Global Business Class 4
Zertifikat nix mehr wert. Und von AOL/Time Warner wollen wir gar
nicht erst reden.
Also echt mal, da haben die schon ein hochwertiges Class3-Zertifikat
der Telekom, das tatsächlich etwas wert ist, und dann wollen die’s
gegen ein teureres unnützes von VeriSlime eintauschen? Da muss man
sich doch echt an den Kopf greifen. Geht also wirklich nur alles um
Nötigung mit der Anzeige von Warnungen.
Mai 17th, 2008 - Posted in Allgemein | | 0 Comments
Re: Mal ‘ne Frage - Sicherheitsloch in Passwort-Abfrage bei …
passwortlerweise wird das Geld ja überwiesen und zwar auf
> das Konto des Versteigernden. So stellen sich mir
> folgende Fragen:
>
> 1. Wenn ich Gegenstände über einen anderen Account
> versteigere, wo landet denn dann das Geld!?
>
> 2. Und wenn ich dort Geld abzocken will, dann muß ich
> wohl den Ersteigerer meine Kontonummer angeben.
> So kann man doch recht einfach an den Ãœbertäter
> herankommen.
>
> Oder haben die da Schecks ausgestellt und an Tote
> Briefkästen verschickt!? Wäre nicht sehr schlau
> gewesen.
>
> MfG
> Martin
Mai 16th, 2008 - Posted in Allgemein | | 0 Comments
Re: Nur blöd, wenn… - Ein Passwort für alles
> Du mißverstehst hier den ganzen Sinn und Zweck.
> Die anderen Anwendungen SPEICHERN Dein Passwort, und verschlüsseln es
> mehr oder weniger gut.
> Hier wird ein Passwort generiert - abhängig vom Master-PW,
> Service-Namen und Service-Login. Algorithmisch nachvollziehbar, und
> nicht umkehrbar. (Zumindest solange AES nicht gehackt wurde…)
Vergleichen wir doch mal.
Browser-Passwort-Cache:
Klartext-Passwort = Funktion(Master-PW, verschlüsseltes Service-PW)
Master-PW = geheim
verschlüsseltes Service-PW = geheim
Algorithmus = ausführbar für jeden (Software offen zugänglich)
Passwortsitter:
Klartext-Passwort = Funktion(Master-PW, Service-Name, Service-Login)
Master-PW = geheim
Service-Name = bekannt
Service-Login = geheim oder (oft) bekannt
Algorithmus = ausführbar für jeden (Software offen zugänglich)
Wo soll bei diesem Algorithmus mehr Sicherheit herkommen als bei
einem gespeicherten PW? Die gespeicherten verschlüsselten PW sind
genauso wenig umkehrbar wie die generierten PW des PW-Sitter.
Glaubt nicht jedes Werbeversprechen.
Der PW-Sitter hat einen einzigen Vorteil: er funktioniert überall, wo
das Applet installiert ist, ohne irgendwelche lokalen Daten.
Mai 16th, 2008 - Posted in Allgemein | | 0 Comments
Re: Nur in den USA? - Passwort-Klau bei eBay-Kunden in den USA
> > Mir teilte die Tage eBay mit, daß jemand versucht hat
> > meinen Account zu nutzen inkl. Angabe der IP Adresse.
> > Der Versuch kam aus Australien. Man machte mich
> > darauf aufmerksam, daß es sinnvoll wäre, wenn ich nach
> > dem Versuch mein Paßwort wechseln würde.
>
> Interessant, da stellen sich mir zwei Fragen:
>
> 1. Woher wußten sie, daß es sich um einen Angriff
> handelt? Ãœberprüfen sie am Ende, ob grobe
> Abweichungen vom Einlog-Verhalten vorliegen
> (Australien statt Deutschland)?
Yep, sie gingen davon aus, daß ein deutscher Kunde sich kaum in
Australien mit falschem Paßwort einloggen würde. Mein eBay nick ist
kein so gebräuchlicher Begriff.
> 2. Haben sie es nur versucht, oder auch geschafft?
> Und wenn letzteres, war Dein Passwort denn
> einfach zu erraten?
Versucht. Mein Paßwort ist eine Buchstaben-Zahlenkombination die ich
normal alle 2 Wochen ändere und die ich NUR bei eBay verwende.
> Mirko
Tom_
Mai 14th, 2008 - Posted in Allgemein | | 0 Comments
Re: Schwachstelle Passwort! - Schwachstellen
Ich hatte bis vor zwei Jahren in der Regel 7-stellige Passworte aus
Zeichen- und Ziffernkombinationen ohne erkennbare Regelmäßigkeiten.
Nachdem diese Passworte bei einem von mir durchgeführten
Sicherheitstest mittels “john” und ähnlicher Programme allesamt
aufgeflogen waren, habe ich alle meine Passworte (und die meiner
Kunden) verstärkt.
Ich kann heute nicht mehr empfehlen Passworte unter 8 Zeichen zu
benutzen und in diesen Passworten irgendeine Regelmäßigkeit erkennen
zu lassen. Satzpassworte (Anfangsbuchstaben oder ähnliches von
“Passphrases”) mit eingeschobenen Sonderzeichen oder Zahlen sind als
recht sicher anzunehmen.
Bei der Untersuchung der Systeme unter meiner Kontrolle wurden auf
diese Weise etwa 90% der von den Usern verwendeten Passwörter
ungültig. Ein erschreckend großer Teil nahm Datumswerte nach dem
simplen Motto “130954″ oder “24011934″ und dergleichen, was definitiv
heute nicht mehr ausreicht. Ebenfalls immer noch beliebt sind
Frauennamen, Automarken und dergleichen. All das wird von bestehenden
Passwortcrackern auch mit geradezu bemerkenswerter Zielstrebigkeit
innerhalb von kürzester Zeit gefunden. Solche Passworte halten in der
Regel nichtmal eine halbe Stunde intensivem Scan stand, von Angriffen
mittels verteilter Systeme rede ich da noch nicht einmal.
Ebenfalls kann ich wirklich nicht behaupten, “john” wäre in
irgendeiner Weile effizient programmiert. Ein Passwortscanner, der
auf einem Pentium-75 nur zwei oder drei Passworte pro Sekunde
generiert stellt bei weitem nicht die Gefahr dar, die ein effizient
programmierter Scanner darstellen würde. Auf einem P-75 hätte ich
zumindest ein paar tausend Passworte pro Sekunde erwartet…
Es ist auch kompletter Wahnsinn über die geradezu erschreckende
Bedenkenlosigkeit von Usern Stillschweigen zu bewahren und
vorzugeben, die Sicherheitslage wäre nicht katastrophal.
Meine Empfehlung deshalb: 10 Stellen sollten allgemeines Minimum
sein. 15 Stellen bei sicherheitsrelevanten Dingen. 20 Stellen bei
kritischen Zugängen, besser noch abschaffen des reinen Passwortes und
ersetzen durch ein Zugangssystem aus einem gespeicherten Binärcode,
sowie einem Zugangscode zu diesem Schlüssel aus einer Kombination aus
Biometrie und Schlüsselcode, wie er beispielsweise auch von SSH
unterstützt wird (zusammen mit Passcodes Biometrie wird das recht
sicher).
So wird der Zugang mittels Passwörter inzwischen nach und nach durch
bessere Verfahren ersetzt und Passwörter werden vorher grundsätzlich
mit einem Verifikationssystem überprüft. Alle Regeln für
Passworterstellungen sind dabei zu vermeiden, selbst solche
“Sicherheitsregeln” wie: es darf keine zwei gleichen Buchstaben
aufeinander geben. Wir dürfen nicht vergessen, dass genau so eine
blödsinnige Bestimmung im zweiten Weltkrieg maßgeblich für das
Brechen des Enigma-Codes verantwortlich war. Die Spiegelwalze sorgte
dafür, dass ein Buchstabe niemals als er selbst erscheinen konnte.
Das war eine Schwäche des Codes, an dem er gebrochen wurde. Genauso
gefährlich sind Regelmäßigkeiten wie “es darf keine zwei Buchstaben
hintereinander geben” und dergleichen.
Die Verwaltung von Passworten mittels gut gesicherter
Passwortverwalter (”Wallets”) ist nirgendwo gespeicherten Passworten
ebenfalls vorzuziehen, die Sicherheit der Wallet ist aber vorher
durch Experten zu überprüfen (Offene Systeme sind daher absolutes
muss).
Und warum das alles? Weil die Menschen erfahrungsgemäß die Dinger
doch irgendwo notieren oder aus Bequemlichkeit immer das selbe
Passwort benutzen.
Am besten, wie gesagt: gar kein Passwort, sondern gleich mit
public-key-Verfahren arbeiten, sprich einem Pass-Key statt einem
Pass-Wort arbeiten. Mir sind Passworte bekannt, die aus DREI
BUCHSTABEN bestehen und Zugang zu vitalen, ich wiederhole VITALEN
Systemen deutscher Großkonzerne führen (keine Namen). Aber wenn die
Verantwortlichen selbst nach Hinweis diese Passwörter nicht
verbessern, läßt sich so viel Ignoranz der Sicherheit gegenüber nur
noch durch Zwangsvorgaben begegnen.
Gruß Hanno
Mai 14th, 2008 - Posted in Allgemein | | 0 Comments
Re: Hamsterficker? Re: SORRY!! - Hintenrum zum Porno-Passwort
passwort bei der Tierfickerei gibt es sicherlich auch irgendwo eine
> > Grenze
> > zur Tierquälerei (bei Hühnern, die ja bekanntlich täglich ein Ei
> > durch
> > ihre Kloake schleusen, sollte es sich damit eigentlich im Rahmen
> > halten
> > 
>
> Und was hältst Du von Hamsterfickern?
>
> http://www.realhamster.com/
>
> > Aber gleich alles verbieten bringt doch meistens nix. Außer mehr
> > Ärger
> > für Jäger und Gejagte
>
> Keiner jagt hier meinen Hamster, damit das klar ist!!!!
>
> :-))))
Hmmm, der Kreis schließt sich. Gleich sind wir wieder bei
den Eichhörnchen von heute morgen…
2
5
%
Mai 13th, 2008 - Posted in Allgemein | | 0 Comments
Re: Personalausweisnummer - Hintenrum zum Porno-Passwort
passwortnde ich den Algorhitmus?
Ist ja mittlerweile ein offenes Geheimnis (aus einem usenet-posting):
731731731 731731 731731
********* ****** ******
wwwwNNNNNpD<
||||||||||| ||||||| ||||||| -\__ Pruefsumme ALLER Ziffern
||||||||||| ||||||| |||||||
||||||||||| ||||||| ||||||-\__ Pruefsumme Ablaufdatum
||||||||||| ||||||| ||||–\__ Ablaufdatum Tag
||||||||||| ||||||| ||–\__ Ablaufdatum Monat
||||||||||| ||||||| –\__ Ablaufdatum Jahr
||||||||||| |||||||
||||||||||| ||||||-\__ Pruefsumme Geb.-Datum
||||||||||| ||||–\__ Geb.-Tag
||||||||||| ||–\__ Geb.-Monat
||||||||||| –\__ Geb.-Jahr
|||||||||||
|||||||||| \__ Staatszugehoerigkeit D = Deutsch ?
||||||||| \__ Pruefsumme fuer wwwwNNNNN
||||—–\__ laufende Zaehlnummer
—-_ Erstwohnsitz Kennzahl
Berechnung der Pruefsumme:
==========================
1) Die erste Ziffer wird mit 7 multipliziert,
die zweite Ziffer wird mit 3 multipliziert,
die dritte Ziffer wird mit 1 multipliziert,
und so weiter (die vierte wieder mit 7,
die fuenfte mit 3 …)
2) Die so erhaltenen Zahlen werden alle
zu einer Summe aufaddiert.
3) Die Pruefsumme ist die Einerstelle der
Summe (also Summe modulo 10).
z.B.
5642584622D 7202021 0506030 2
142 71 60
Es gibt natürlich auch einen Prüfsummenrechner:
http://www.brandtcomputer.de/perso/
oder auch gleich online:
Siehe http://365-24-7.net/perso/
Alleinstehend ist die Perso-Nummer zur wirklichen Alters-Verifikation
also denkbar ungeeignet! Schade eigentlich - das wäre in Deutschland
mal sinnvoll!
so long ….
Mai 12th, 2008 - Posted in Allgemein | | 0 Comments
