Re: Also ich erledige das immer … - Zugangssperren mittels BIOS-Passwort lei…
:
>
>
> indem ich die Batterie/ den Akku des Motherboards für nen Moment
> rausnehme - klappte bisher immer sehr zuverlässig - auch bei
> aktuellen
> Rechnern …
>
>
> Ciao,
>
>
> Sebastian
Da empfehle ich dir mal z.B. die ICL e450-Serie.
Das Paßwort bleibt selbst ohne Batterie und Strom im Rechner….
Mag sein daß man irgendwas kurzschließen kann zum PW-Rücksetzen, aber
Infos über die Boards sind rar und außerdem gibts bei fast jedem Modell
ein neues Layout.
Weiter Bösartigkeit:
Nach 3x falsch mußt du den Rechner ausmachen (Reset-Taster gibts nicht)
da der PC gesperrt wird.
Und am schönsten:
Nach einer größeren Anzahl Fehlversuche wird der ganze PC gesperrt 
Beim Einschalten kommt dann nur noch “PC Locked”
Den Rechner kannste dann nur noch in die Tonne schmeißen oder für viel
Geld einschicken.
ciao
Michael
Juli 30th, 2008 - Posted in Allgemein | | 0 Comments
Re: Bin dagegen - Passwort-Eingabe: Was guckst Du?
passworttelefax schrieb am 22. August 2007 14:10
> >
> > > [geldkarte…]
> >
> > Ich mag es nicht, wenn der letzte Rest Anonymität beim Einkaufen
> > verlorengeht Ich habe keine Kundenkarten und benutze nur im Notfall
> > bargeldloses Zahlen.
>
> Ich war bislang eigentlich der Auffassung, die Geldkarte würde keine
> personalisierten Transaktionsdaten bei den Banken erzeugen. Ist dem
> nicht so? Und wie sieht das dann bei White-Label-Geldkarten aus?
>
Jein.
Es wird ein Schattenkonto bei dem kontoführenden Institut geführt, so
daß die Bank auch “weiß”, wann das “übertragene Geld” aufgebraucht
ist.
Irgendwie muß das Geld, daß der Bäcker/Metzger/etc. zu bekommen hat
ja mit dem Institut dem man einen zinslosen Kredit gegeben hat
verrechnet werden. Da fallen einige Daten an, auch wenn z.B. die
Personenidentität vielleicht noch gar nicht dabeisteht.
Mit genügend Ressourcen sollten sich dann Rückschlüsse ziehen lassen.
Bei den “Blanko-Karten” können diese dann Anfangs zwar nicht direkt
einer Identität zugeordnet werden, aber mit genügend gesammelten
Informationen über das Kaufverhalten, sollte sich da auch ein Profil
anlegen lassen.
Gruß
lks
Juli 30th, 2008 - Posted in Allgemein | | 0 Comments
Passwort generieren - Verschlüsselung
Hallo!
Habe eine Frage bzgl. eines kleinen Passwortgenerators. Es soll ein
Passwort einer gegebenen Länge aus einer gegebenen Zeichenkette
generieren. Soll wie folgt aussehehen:
Len -> Länge des zu generierenden Passworts
LenZeichen -> Länge von Zeichen
Zeichen -> Zu verwendende Zeichenkette Aufbau:
“abc…zABC…Z0..9″
RandZahl -> Zufallszahl. Angenommen diese stammmt aus einem guten
Zufallsgenerator
Passwort -> Das Passwort
Das Password soll wie folgt generiert werden:
for(i = 0; i < Len; i )
Passwort[i] = Zeichen[RandZahl % LenZeichen];
RandZahl wird natürlich bei jedem Durchlauf neu generiert.
Nun die eigentliche Frage. Ist es für die Sicherheit von
entscheidener Bedeutung den String Zeichen zu mischen? Also es stehen
ja Klein-/Großbuchstaben und Zahlen wie oben beschrieben darin und
sollte dieser jetzt komplett - wieder mit einem Zufallsgenerator -
gemischt werden, so dass die einzelnen Zeichen in willkürlicher
Reihenfolge stehen?
P.S.: Der Passwortgenerator hat nicht den Anspruch dem höchsten
kryptografischen Anforderungen zu entsprechen, sollte allerdings
schon das Prädikat kryptografisch gut/”sinnvoll” verdienen. Das liegt
aber imho primär am Zufallsgenerator für RandZahl, der hier aber
nicht zu Diskussion steht.
Gruß CryptZer0
Juli 29th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort generieren - Verschlüsselung
passwort = 0; i < Len; i )
> Passwort[i] = Zeichen[RandZahl % LenZeichen];
>
> RandZahl wird natürlich bei jedem Durchlauf neu generiert.
Dann kennzeichne das doch einfach entsprechend als Funktionsaufruf:
for(i = 0; i < Len; i )
Passwort[i] = Zeichen[RandZahl() % LenZeichen];
> Nun die eigentliche Frage. Ist es für die Sicherheit von
> entscheidener Bedeutung den String Zeichen zu mischen?
Bei einem guten Zufallsgenerator: Nein. Denn dann bleiben prinzipiell
zwei Möglichkeiten:
1) Der gute Zufall bleibt gut. Es kann aber nicht zufälliger als
zufällig werden, heißt: Es wird nicht besser.
2) Der gute Zufall wird schlechter.
> P.S.: Der Passwortgenerator hat nicht den Anspruch dem höchsten
> kryptografischen Anforderungen zu entsprechen, sollte allerdings
> schon das Prädikat kryptografisch gut/”sinnvoll” verdienen.
Was genau soll das bedeuten?
> Das liegt
> aber imho primär am Zufallsgenerator für RandZahl, der hier aber
> nicht zu Diskussion steht.
Das wichtigste Element des Verfahrens, an dem die ganze Sicherheit
hängt, steht nicht zur Diskussion? Ohhhkeeehhh… 
Juli 27th, 2008 - Posted in Allgemein | | 0 Comments
Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
passwort schließlich kannst du ja wohl schlecht gegen Dich selbst
> aussagen, oder?
stimmt.
> Allerdings kannst Du davon ausgehen, daß Du den PC erst dann
> zurückbekommst, wenn alle Daten gelesen werden konnten (also Unschuld
> klar) und das wäre in diesem Fall wohl: NIE!
jain. Es wird ein Sektorabbild von den Platten gemacht. Danach kannst
Du i.d.R. Deinen Rechner wiederhaben, wenn er als solcher nicht mehr
der Beweissicherung dient. Deswegen bringts auch nix da einfach zu
löschen. Du müsstest schon sichere Löschverfahren anwenden und das
dauert leider zu lange.
> Daher hätte ich, sollte bei mir aus was immer für einem blöden Grund
> (z.B. versehentlicher Besuch einer illegalen Website) eine
> Durchsuchung stattfinden, größtes Interesse daran, mit den Ermittlern
> gut zu kooperieren und ihnen alles offen zu legen.
kooperieren ja, offen legen nein. Wie ich schon andersowo schrieb:
man sollte die verschlüsselte Partition gut verstecken. Sollte das
Versteck ausreichend sein und die Beamten können nix finden, dann
lassen sie Dir die Hardware vielleicht sogar da. Haben sie aber den
Auftrag auf jedenfall alles zu beschlagnahmen, dann nutzt alle
Kooperation eh nix. Du bist Deine HW bis auf weiteres los. Allerdings
kann man dann ständig nerven und nachfragen, ob sie jetzt endlich
ihre Untersuchungen gemacht haben und wann Du endlich Deine HW
wiederbekommst. Schliesslich kann es ja nicht angehen, dass Du
solange darauf verzeichten muss, wenn sie nix finden (schliesslich
bist Du Dir keiner Schuld bewusst).
> Verschlüsselt sind
> bei mir ohnehin nur einige Passwortnotizen zu Accounts von mittlerer
> Brisanz und ich gehe schon davon aus, das die Beamten diese nicht
> mißbrauchen, zumindest nicht, bevor ich die Passworte geändert
> habe… nein, dass nicht. Aber dann hast Du das Problem, wenn Du kein
dezentrales Backup hast, an all diese Infos zu kommen, solange Dein
Rechner beschlagnahmt ist.
Warum die Beamten also erst darauf stossen, dass da was verschlüsselt
ist? Wenn die spitz kriegen, dass Du Verschlüsselung verwendest, dann
werden sie sich zu recht fragen, ob da nicht noch viel mehr
verschlüsselt ist.
Bei mir liegen über die Platten verteilt nichtssagende Dateien
(dotfiles im home, CORE, SWAPFILE, knoppix.iso, etc.), die ich nach
Bedarf manuell via loopback mounten kann. Es gibt (ausser die
.bash_history) keinerlei Hinweise auf diese Files. Auch zwingt Dich
niemand die Partition /dev/hda8 in die /etc/fstab einzutragen.
Es gibt einige Möglichkeiten, sowas zu verstecken.
Entweder schaffst Du es, die Beamten davon zu überzeugen, dass
wirklich nix auf Deinem Rechner drauf ist, oder sie nehmen Deine
Hardware so oder so mit.
afaik.
Juli 25th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort? - Microsoft demonstriert Virtualisierungs-…
> Wie schützt denn ein Passwort einen Chip vor dem Ãœberschreiben?
In dem man den Zugriff nur aus der EFI/OF-Shell zuläßt, und der
NVRAM-Befehl muss das Passwort mit übergeben bei Änderungen am
Boothash. Ist das komplex genug, muss der Virus erst mal eine ganze
Weile versuchen..
Für das Booten von ausgewählten Devices (CD/DVD/Net) kann man die
Ãœberprüfung ja abschalten. Alles eine Frage des Willens der
(BIOS-)Hersteller.
> Das braucht mindestens (und auch höchstens, denn geheimzuhalten
> gibt es hier nichts) einen Schreibschutz, der vor der Abgabe der
> Kontrolle an den Bootloader vom OS eingeschaltet wird (ähnlich,
> wie Apple das bei den Powermacs mit dem OF-Flash hält) - und dann
> bräuchte es einen speziellen “Hose-runter” Modus für den Installer
> (z.B. indem die Firmware beim Boot prüft, ob in einem
> beschreibbaren Bereich ein privat-signiertes Update liegt), in
> dem die Signaturen gesetzt werden können. Der Rest ist dann ein
> “trusted (aber vom Besitzer des Computers)” Boot.
Naja, das Apple-OF-Passwort läßt sich nur mit Mühen reseten -
zumindest muss man ein für das OS oder einen Virus unzugängliches
Prozedere betreiben. Da muss der Virus schon auf den User
überspringen, um das zu umgehen..
Juli 25th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort? - Microsoft demonstriert Virtualisierungs-…
> Sich gegen ein derartiges Rootkit zu schützen, ist aber wesentlich
> einfacher: Das System bekommt nämlich einen geänderten Bootblock. In
> OpenFirmware/EFI wäre es kein großes Problem, den Bootblock vor
> Ausführung mit md5 zu prüfen. …
> Änderungen des NVRAM kann man mit einem Passwort sichern, das Rootkit
> hätte also keinen Zugriff auf das BIOS vor einem Reboot.
Wie schützt denn ein Passwort einen Chip vor dem Ãœberschreiben?
Das braucht mindestens (und auch höchstens, denn geheimzuhalten
gibt es hier nichts) einen Schreibschutz, der vor der Abgabe der
Kontrolle an den Bootloader vom OS eingeschaltet wird (ähnlich,
wie Apple das bei den Powermacs mit dem OF-Flash hält) - und dann
bräuchte es einen speziellen “Hose-runter” Modus für den Installer
(z.B. indem die Firmware beim Boot prüft, ob in einem
beschreibbaren Bereich ein privat-signiertes Update liegt), in
dem die Signaturen gesetzt werden können. Der Rest ist dann ein
“trusted (aber vom Besitzer des Computers)” Boot.
Rich
Juli 25th, 2008 - Posted in Allgemein | | 0 Comments
Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
passwortTypisch sind insbesondere solche Fälle, in denen die Verfahren gegen
> > (relativ geringe) Geldbußen eingestellt wurden, ohne das es zum
> > eigentlichen Urteil kommt.
>
> ist das dann eigentlich rechtens? Kann man da nicht auf Herausgabe
> der Hardware klagen? Schliesslich besteht kein Grund mehr, die HW
> einzubehalten?
Nicht ganz. In diesen Fällen gab es ja keinen echten Freispruch,
sondern das Verfahren wurde sozusagen mittendrin und unter Zahlung
einer Geldbuße ‘abgebrochen’. Wer sich auf sowas einläßt, hat wohl
wirklich Dreck am Stecken, sonst würde er ja kaum diesen Weg
annehmen.
> Ich mein, sonst kann ja jeder behaupten: Der hat illegales Zeugs auf
> dem Rechner. Bullerei kommt, beschlagnahmt und man sieht die Hardware
> trotz Unschuld nie wieder.
Wie gesagt, es geht um die Einstellung gegen Geldbuße. Auf sowas
würde ich mich auch nicht einlassen, sondern auf einem gültigen
Urteil bestehen aber oft sind die Leute wohl einfach so genervt, das
sie einfach nur ihre Ruhe haben wollen.
Ausserdem ist bei solchen UNtersuchungsverfahren auch jede Menge
Schikane dabei. Das geht ja soweit, das bei Durchsuchungen die
Beamten einem bis aufs Kloh folgen….
> Also dass das rechtens sein soll, kann ich
> mir beim besten Willen nicht vorstellen.
> Damit würde man ja ggf. auch Unschuldige bestrafen.
Die “Sicherstellung” gilt wie gesagt nicht als Strafe - obwohl sie
oft schlimmer ist als die eigentliche Strafe bzw. das Bußgeld.
> > Genau deshalb würde ich alles dransetzen, das die Jungs von der
> > Polizei alles zu sehen bekommen, was sie wollen, damit sie so schnell
> > wie möglioh ihren abschliessenden Bericht verfassen können!
>
> Die kriegen alles zu sehen, was sie wollen. Nur muss man sie ja nicht
> mit der Nase drauf stossen, dass da ggf. noch mehr ist, als sie
> vermuten. *g*
Ne das natürlich nicht, aber Ausgangspunkt der Diskussion waren ja
die “vergessenen” Paßworte und meine Antowrt war eben, wenn sie
wollen, dann entschlüssel ich ihnen eben die *.pgp-Dateien, in denen
meine Paßworte bei Ebay, Lieferant xyz oder auch Heiseforum stehen.
So Sachen wie Onlinebanking-PIN habe ich ohnehin nur im Kopf….
CU…
Andreas
Juli 25th, 2008 - Posted in Allgemein | | 0 Comments
Re: Ãœberweisung? - Passwort-Klau bei eBay-Kunden in den USA
passwort > Scherzkeks.
> > In den USA, dem modernsten Land seit… naja zumindest moderner
> als
> > Afghanistan, also in den USA gibts keine Ãœberweisungen.
>
> Wie, gibts nicht? Ich habe schon aus den USA Ueberweisungen
> erhalten.
> Wie heisst das noch, cable transmission oder so aehnlich.. das sind international wire transfers und haben mit unseren ueblichen
inlaendischen Ueberweisungen nur bedingt was zu tun.
Was wir in Deutschland als innlaendische Ueberweisung verstehen ist in
Amerika tatsaechlich grade erst am entstehen. Ebenso Internetbanking.
Das meiste laeuft immer noch mit Post-verschickten Checks ab.
Generell kann man getrost festhalten, dass das Bankenwesen in Amerika
dem Europaeischen (zumindest dem Deutschen) um Laengen hinterherhaengt.
Da gibt es noch jede Menge Leute, die wirklich einen Gehaltscheck per
Post bekommen. Dauerauftraege oder aehnliches ist hier auch alles in
Form von Checks via Post. Dh wenn du Miete bezahlst, kannst du das in
den wenigsten Faellen einfach ueberweisen. Du musst monatlich einen
Check an den Vermieter schicken.
Juli 24th, 2008 - Posted in Allgemein | | 1 Comments
Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
> Ah, wieder so ein toller Linux-User !
ja. btw: du plenkst!
> Du kennst also den gesamten Quelltext von Linux inkl. aller im Moment
> bei dir geladenen Module.
ich kenne die relevanten Teile. ja. Habe mir extra mal die Mühe
gemacht und die Sourcen begutachtet, weils mich interessiert hat. Und
ja, ich kann das Zeugs auch lesen und verstehen!
> Darüber hinaus den deines BIOS, deines
das ist gar nicht mehr aktiv, wenn das OS geladen wurde.
> HD-Kontrollers und was sonst noch so verbaut ist in deinem PC. Und da
lol. Der HDD-Controller hat damit ja wohl gar nix zu tun. Und wenn:
die Verschlüsselung erfolgt ja vom FS-Treiber. Der Controller kriegt
also NUR verschlüsselte Daten zu sehen.
> du ein unfehlbares Genie bist, welches eine Hintertür oder einen Bug
> niemals übersehen würde, bist du dir sicher, daß niemand auf deine
> (vermeintlich) verschlüsselten Daten zugreifen kann.
ich bin mir da zu mindest so sicher, wie ich sicher sein kann, dass
Du von der Materie absolut *gar keine* Ahnung hast und nur dumm
rumlaberst, nur damit Du auch mal was gesagt hast.
> Unwissenheit schützt vor Entschlüsselung nicht.
klar. Vorallem, wenn man sich auf Closed-Source verlässt.
afaik.
Juli 24th, 2008 - Posted in Allgemein | | 0 Comments
