Re: lieber pin weg als finger ab - Das Ende von PIN und Passwort lässt auf …
passwortetrie, soso…
> ich für mein teil leb lieber mit pins als ohne finger, auch meine
> augen
> brauch ich noch beide. der nachteil bei dieser technik wird bei der
> rtl-verseuchten generation doch sein, das sie dir statt die pin
> auszuspähen, gleich den finger abhacken oder n auge rauspoolen.
>
> wird die krankenkassen aber gar nicht freuen… was da wieder für
> kosten auf uns beitragszahler zukommen…
>
> und wie viele meiner yuppie freunde werden schon bald als
> frühinvaliden
> rumtigern. hat halt auch gute seiten der technische fortschritt.
>
> in diesem sinne: entwickelt schön weiter aber verletzt euch nicht
> dabei…
>
>
> mfg - ein am liebsten stockkonservativer bargeldzahler. kein
> bewegungsprofil, keine zeugen.
Juni 29th, 2008 - Posted in Allgemein | | 0 Comments
Re: Ich benutze ihn weiterhin.. - Schwachstelle in Sony-Ericssons Passwort…
> Deisen Teil des Artikels verstehe ich nicht.
> Die Erkennung laeuft ueber die zufaellig generierten Passworte des
> Tools.
> Was nutzt es, selber darauf zu verzichten, wenn das Tool dann ja
> trotzdem solche PW erzeugt?
>
> Werden da nur meine eigenen Sonderzeichen durch andere ersetzt?
Das Tool versucht, das verwendete Zeichenset für jedes Passwort zu
erkennen und für die “gefälschten” Passwörter nur dieses Zeichenset
zu verwenden. Im Prinzip ist das richtig, denn wenn in einer
EC-Karten-PIN ein A auftauchen würde, wäre ebenfalls sofort klar,
dass das eingegebene MPW falsch ist.
Problematisch ist nur, dass man aus einem Passwort gar nicht
zuverlässig erkennen kann, welche Zeichen eigentlich in diesen
Passworten vorkommen dürfen. Konkret scheitert das Programm hier an
Sonderzeichen, da es scheinbar annimmt, wenn z.B. ein “_” im Wort
ist, ist auch ein “<” zulässig. Es wird dann also ein Passwort
angezeigt, welches für den Nutzer sofort als falsch erkennbar ist, da
er selbst mehr Wissen über die erlaubten Passwörter hat.
Juni 28th, 2008 - Posted in Allgemein | | 1 Comments
Re: Ich benutze ihn weiterhin.. - Schwachstelle in Sony-Ericssons Passwort…
passwort> Wieviele Eurer Pins und Paßwörter enthalten denn wirklich
> > > Sonderzeichen???
> >
> > Bei mir einfach zu beantworten: alle!
>
> Du hast also keine EC-Karte und keine Packstation-Karte? Und eine
> Tankkarte hast du auch nicht?
OK. Ich hatte mich auf Passwoerter beschraenkt. Alle PW die ich
selbst vergeben habe, enthalten Sonderzeichen und Ziffern.
PINs sind nun mal PINs. Und dass eine Identification Number eine Zahl
ist, liegt in der Natur der Sache. (Auch wenn bei vielen Banken
zumindest die PIN fuers Online-banking eigentlich ein PW und keine
PIN ist)
Die naehste Packstation ist aus meiner Sichr am A… der Welt. Daher
waere eine Packstationskarte reichlich nutzlos.
Wozu Tankstellenkarten gut sein sollen weiss ich auch nicht. Mit
EC-Karte- Kreditkarte oder auch Bargeld komme ich an der Tanke
wunderbar zurecht.
Juni 28th, 2008 - Posted in Allgemein | | 0 Comments
Wie so oft: Es kommt darauf an - c’t magazin.tv: Wann ist ein Passwort wi…
Zunächst sollten folgende Fragen beantwortet werden:
1. Was soll geschützt werden ?
2. Welche Auswirkungen kann ein Bekanntwerden des Passworts haben ?
Zu 1.: Der Zugang zu irgendwelchen Unterhaltungs Foren (z.B.
Lindenstraßenforum, falls es sowas gibt) muss sicherlich nicht so gut
geschützt werden, wie z.B. der Zugang zum Bankkonto oder den
Betriebsgeheimnissen eines Unternehmens. Dennoch sollten auch Folgen
bedacht werden, wenn nun einer mit einem fremden Account z.B. im
Heise Forum andere Personen beleidigt.
Zu 2.: Falls ein “unwichtiges” Passwort missbraucht, dann kann das
bei bekannten Foren, wie z.B. Heise schon weitere Folgen haben, da
kann sicher jeder Rechtsanwalt schon etwas erzählen. Man denke nur an
Postings der Art “Das Unternehmen blahfaselfoo betrügt seine Kunden”.
Die Sperrung des Accounts ist da noch die kleinste Auswirkung.
Anders sieht es beim Bankkonto aus. Was nach der Weitergabe von PIN
und TANs passiert, ist ja sicher allgemein bekannt.
Sinnvolle Maßnahmen:
Zu 1.: Für einfache, nicht sicherheitsrelevante Anwendungen, kann
bietet folgendes Verfahren eine ausreichende Sicherheit:
- Es wird ein leicht zu merkender Satz mit mind. 8 Wörtern gebildet,
der möglichst auch Sonderzeichen enthalten sollte, Satzzeichen sind
ebenfalls sinnvoll.
- Die Anfangsbuchstaben, Zahlen und Zeichen werden unter Beachtung
der Groß-/Kleinschreibung als Passwort verwendet.
Zu 2.: Das PIN/TAN Verfahren ist alleine deshalb schon unsicher, weil
in der Authentifizierungskette mind. eine nicht vertrauenswürdige
Komponente existiert, nämlich der PC des Bankkunden. Es muss
zumindest sichergestellt werden, dass über eine vertrauenswürdige
Komponenten Kette dem Kunden mitgeteilt wird, was er für einen
Auftrag an die Bank gibt, da wären zumindest Empfänger und Betrag
wichtig. Die mobile TAN Lösung mit Ãœbermittlung dieser Daten über ein
Handy ist sicher eine gute Lösung, leider aber mit “Buchungskosten”
(SMS) verbunden. Theoretisch wäre es auch denkbar, diesen Datensatz
z.B. mit GnuPG zu verschlüsseln und als 2d-Barcode auf dem Bildschirm
darzustellen. Mit einem geeigneten Leser kann der Kunde diesen
Barcode abtasten und dieser Leser stellt die Daten dar. Es werden
dann keine Treiber gebraucht, weil dieses Gerät völlig unabhängig von
PC arbeitet. Die zweitbeste Lösung ist das HBCI System mit einem
Klasse3 Terminal, aber auch hier müssten die Buchungsdaten
verschlüsselt an das Terminal übertragen werden, so dass der Kunde
das, was er eingegeben hat mit dem vergleichen kann, was bei der Bank
angekommen ist. Hier werden jedoch Treiber für den PC gebraucht, so
dass die Systemunabhängigkeit nicht mehr gegeben ist, weiterhin sind
theoretisch dann auch Angriffe auf das Terminal möglich.
Bei Punkt 2 ist die Beweiskraft sehr wichtig, denn wegen der
bekannten Probleme des PIN/TAN Verfahrens könnte es passieren, dass
irgendwann ein Gericht entscheidet, dass nicht der Kunde beweisen
muss, dass er nicht den Auftrag erteilt hat, sondern dass die Bank
beweisen muss, dass der Kunde den Auftrag so erteilt hat. Wenn die
Bank den Beweis mit PIN/TAN nicht erbringen kann, dann haben die
Banken ein Problem.
Im Falle von Punkt 1 ist das in gewisser Weise auch ein Thema. Es gab
ja da wohl schon einen Vorfall, dass der Forenbetreiber für Beiträge
von Benutzern haftbar gemacht werden kann. Da normale
Passwortverfahren per se unsicher sind, kann ein Benutzer im Zweifel
recht leicht abstreiten, dass er einen bestimmten Beitrag verfasst
hat.
Juni 28th, 2008 - Posted in Allgemein | | 0 Comments
Re: OT: PHP als *.jpg? - Neuer E-Mail-Wurm kommt als Passwort-Kna…
> man findet in Foren ja imemr wieder links zu *.jpgs die sich dann als
> php-script entpuppen.. aber weder mein IE noch Opera warnen mich
> davor dass es kein *.jpg ist..
Nope. Extensions sind Schall und Rauch (wie üblich unter Unix, worauf
das
Internet und HTTP nun mal entstanden sind).
> sollte sowas nicht über MIME-Typen oder irgendwie sowas geklärt
> werden und ne passende Meldung geben?
Wichtig ist, was als Mime-type mitgeschickt wird bzw was der Browser
über mime magic (also Einlesen und Auswerten der ersten paar bytes
einer datei) herausfindet.
Wenn ich z.B. jpegs in einer Datenbank halte schicke ich einfach
einen Content type header und pumpe dann die rohen jpeg daten aus der
Datenbank an den Browser. Das ganze kann dann picture.php heissen und
in eiem normalen img tag verlinkt werden.
Eenn statt HTML (text/html) ein Bild an den Tag gefördert wird (z.B:
image/png), ist das nicht weiter tragisch, aber wenn ich natürlich
über PHP einen application/exe type schicke, sollte dein Browser
schon mal freundlich beim User nachfragen, zumindest unter Win32
Plattformen 
Gruß,
Juni 27th, 2008 - Posted in Allgemein | | 0 Comments
Re: OT: PHP als *.jpg? - Neuer E-Mail-Wurm kommt als Passwort-Kna…
> ich habe da mal ne Frage an die Fachleute hier…
> man findet in Foren ja imemr wieder links zu *.jpgs die sich dann als
> php-script entpuppen.. aber weder mein IE noch Opera warnen mich
> davor dass es kein *.jpg ist..
Ich vermute jetzt mal, das du meinst, das ein php Script als quelle
für ein Bild angegeben wird, als etwa so:
Dies ist an sich ja nicht so schlimm und der Browser wird da auch
nicht Meckern können, denn als MIME Typ wird dann vermutlich jpeg
übertragen, weil wirklich ein JPEG gesendet wird, es wird ja dann vom
PHP Script erzeugt.
Prikärer wirds dann aber (und ich vermute das deine Frage da hin
zielt) wenn man dann ungefär sowas in seinen E-Mails findet:
Dann weis der Versender nun das du die E-Mail abgeholt und gelesen
hast.
> sollte sowas nicht über MIME-Typen oder irgendwie sowas geklärt
> werden und ne passende Meldung geben?
Wie sollte das funktionieren?
Juni 23rd, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort - Etappensieg von eBay gegen Sniperdienst …
passwort Argumentation ist falsch.
>
> Deiner Argumentation folgend wäre die Abspeicherung
> deines ebay Passwortes auf deinem eigenen PC eine
> Weitergabe an Dritte (deinen PC).
Abgesehen davon, daß ich mich hüten werde meine Passwörter dort
abzuspeichern,
ist es mein PC und ich alleine hab dort Zugriff auf mein Passwort.
>
> Da du sicher meiner Meinung bist das dein PC kein Dritter im Sinne
> des Gesetzes ist, wirst du wohl auch einsehen müssen das ein Computer
> bei safebay kein Dritter im Sinne des Gesetzes ist.
Der Rechner sicher nicht, aber der Admin oder Safebay als juristische
Person schon.
>
> Auch wenn du das PWD selbst benutzt wird es beim Ãœbertragen durch das
> Web hin zum Server von ebay sicherlich an mehr als 10 Router
> (Computer) weiter gegeben.
Ja stimmt! Aber ausser der NSA wird es hoffentlich keiner gegen mich
benutzen 
>
> Solange sicher gestellt werden kann das eben KEIN Dritter das PWD
> bekommt (eine Maschine ist kein Dritter) irrt ebay hier mit seiner
> Argumentation.
Aber das wird ebay eben nicht sicherstellen können, und bei Safebay
wird es ja definitiv gespeichert.
>
>
> BTW: Warum erlaubt ebay das gleiche in den USA?
>
frei nach GvG: Ja und? Hier aber nicht!
>
ML
Juni 22nd, 2008 - Posted in Allgemein | | 0 Comments
Re: Das funktioniert ziemlich simpel… - Ein Passwort für alles
passwortn Kürze wird es laut Entwicklern eine Version geben, die das
> nativ unterstützt.
Da bin ich ja mal gespannt, wie das funktionieren soll.
Wie das mit dem regelmäßigen Wechsel geht, hast Du nicht erklärt. Ich
nehme an, da wird das Datum mit einbezogen? Was dann natürlich
voraussetzt, daß man a) eine Verbindung zum Server hat oder b) das
Datum auf dem lokalen Rechner stimmt. Na, meinetwegen.
Unpraktisch ist es trotzdem, da der Server das Passwort dann
zwangsweise vorgibt und man es genau dann ändern muß, wenn der Server
das möchte. Und mangels standardisierter Schnittstelle geht das
ausschließlich manuell. Außerdem könnte es sein, daß die Site einen
Wechsel zu einem bestimmten Tag möchte; dann ist man wieder
aufgeschmissen.
> Als Lösung jetzt kannst Du z.B. etwas von Deinen
> Metadaten ändern, aus denen Dein Passwort erzeugt wird, z.B. die
> Länge, den Dienstnamen oder Kombinationen davon.
Das ist dann aber ein Nachteil gegenüber der
Juni 19th, 2008 - Posted in Allgemein | | 0 Comments
Re: Das funktioniert ziemlich simpel… - Ein Passwort für alles
> Da bin ich ja mal gespannt, wie das funktionieren soll.
Ich auch, ich bin Betatester, kein Entwickler > Wie das mit dem regelmäßigen Wechsel geht, hast Du nicht erklärt. Ich
> nehme an, da wird das Datum mit einbezogen? Was dann natürlich
> voraussetzt, daß man a) eine Verbindung zum Server hat oder b) das
> Datum auf dem lokalen Rechner stimmt. Na, meinetwegen.
> Unpraktisch ist es trotzdem, da der Server das Passwort dann
> zwangsweise vorgibt und man es genau dann ändern muß, wenn der Server
> das möchte. Und mangels standardisierter Schnittstelle geht das
> ausschließlich manuell. Außerdem könnte es sein, daß die Site einen
> Wechsel zu einem bestimmten Tag möchte; dann ist man wieder
> aufgeschmissen.
Ich denke, da wird es eine Lösung geben, die nichts mit dem Datum zu
tun haben wird. Lassen wir uns überraschen, die Jungs sind gerade
gestern an den Start gegangen, und man muss nicht gleich alles
totmachen, nur weil es in der Startphase hier und da noch hakt. Tut
es sicher auch dort, keine Frage, mal sehen, wie schnell die diese
Dinge jetzt in den Griff bekommen.
>
> > Als Lösung jetzt kannst Du z.B. etwas von Deinen
> > Metadaten ändern, aus denen Dein Passwort erzeugt wird, z.B. die
> > Länge, den Dienstnamen oder Kombinationen davon.
>
> Das ist dann aber ein Nachteil gegenüber der
Juni 18th, 2008 - Posted in Allgemein | | 0 Comments
Re: Netzwerkfreigabe / Passwort Windows XP Pro - Netzwerkspeicher
passwortu bekommst diese meldung, da du mit deinem lokalen nutzer
browsing-rechte hat und die freigaben auf dem NAS angezeigt werden.
nun willst du als admin auf das NAS, und die zuständige SMB-software
meldet deinem rechner, dass es von deinem rechner schon eine
verbindung mit einem anderen namen gibt.
lösung(en):
möglichkeit 1:
gleich mit der freigabe verbidnen, ohne vorher über
“Netzwerkverbindung” nach der verbindung zu browsen.
ist die verbindung trotzdem schon vorhanden, kann sie in einem
dos.fenster mittesl
“net use \\’systemname’\ipc$ /d”
gelöscht werden.
(die anführungszeichen weglassen und ’systemname’ durch den namen des
betreffenen servers ersetzen. die genauen daten bekommt man durch
“net use” auf der kommandozeile raus)
möglichkeit 2:
nicht auf den namen, sondern die IP verbinden.
damit umgeht man die sperre des !_lokalen_! systems, dass eine
doppelte anmeldung mit uterschiedlichen benutzernamen nicht erlaubt.
wenn du mit \\ip-adr\freigabe dich verbindest, merkt dein _lokaler_
computer nichts davon und verbindet dich.
—
grund für diese meldung:
das lokale system will das remote bei der verwaltung der
berechtigungen entlasten, und verhindert so, dass sich von einem
computer zwei unterschiedliche kennungen, mit (eventuell)
unterschiedlichen berechtigungsstufen, auf ein remotes system
verbinden können.
Juni 18th, 2008 - Posted in Allgemein | | 0 Comments
