Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…
passwortigentliche Sicherheitsrisiko in D haben wir noch gar nicht
> diskutiert. Das sind nicht die Geldautomaten der Banken, sonder die
> POS-terminals und das Lastschriftverfahren. Hier gilt wirklich die
> Abwägung zwischen Kosten und Nutzen bei der Wirtschaft und bei den
> Banken.
Das ist auch nochmal so ein Thema. Da machen die Händler lustig
Abbuchungen ohne genauer zu prüfen und die Banken kriegen den Hals
nicht voll genug so das die Händler online Prüfungen nicht zahlen
wollen/können.
Aber für mich kein Maestro-Problem sondern eher das Problem “Händler
nimmt meine Karte um automatisch seine Vorlage für die Lastschrift zu
füllen und mich dann um Unterschrift zu bitten”. Hab ich damit als
Kunde ein echtes Problem? Das die Unterschrift nicht von mir ist,
soll somit nicht mein Problem sein. Lachen kann ich in dem
Zusammenhang auch nur über die Amtshilfe der Polizei zu dem Thema die
gestohlene Kartennummern per E-Mail Verteiler an Unternehmen mailt
die damit ihre Datenbank mit nicht zu verwendenden Karten pflegt. Aua
aua aua.
August 31st, 2008 - Posted in Allgemein | | 0 Comments
Re: OT: Samba und NT-Domäne - Neuer E-Mail-Wurm kommt als Passwort-Kna…
>
> > Ich hätte da schon noch was… $
> > 
>
> Naja. Wie du das beschreibst ist das ja bei euch im Moment eher nicht
> der Fall.
Ich meinte auch mehr das $-Zeichen als Grund, das Geld halt.
Hier wird befürchtet, das es A vor allem Geld kostet und B
das es dann Probs mit MS gibt, von wegen Support-Unter-
stützung. Obwohl ich die oftmals auch nicht so toll fand…
Aber MS kommt halt schnell mit der Aussage: Ist etwas
an Fremdprodukten dabei, können wir keinen Support
leisten. Und davor fürchtet man sich vermute ich.
> > […] Intranet dagegen IIS, weil da wieder Berechtigungen
> > eine Rolle spielen.
>
> Berechtigungen?
Ja es gibt da wieder Berechtigungen, das bestimmte Teile des
Intranets wieder nur für bestimmte User zugänglich sind.
Tja und dann sind wir wieder bei ACLs und dem Zusammen-
spiel Linux und NT-Domäne…
> > […] Und dann ist es halt nicht klar, ob die
> > Zusammenarbeit mit der (restlichen) NT-Domäne funktioniert.
>
> Wie das mit Linux NT in einer Domäne aussieht weiß ich nicht. Linux
> only sollte kein Problem sein. Auch mit den Druckern…
Eben, ist hier auch nicht bekannt, weil keine Leute dafür da und
weil kein Bedarf da ist (so der Glaube ;-))
Ich denke, wenn hier intern mal so was wie der Nimda reinkommt
und sich z.B. über den IIS/das Intranet verbreitet, dann sieht die
Welt vielleicht wieder anders aus. Obwohl wahrscheinlich erst
wieder bis zum Umfallen gepatcht wird bevor man über
Alternativen nachdenkt 
> > Dann vielleicht noch bei meinen Mail-Gateways, da könnte
> > ich mir auch Linux vorstellen, während die Proxys wieder
> > wg. der Berechtigungen schwierig sind, hier hat nicht jeder
> > Internetzugang.
>
> Squid kann auch ACLs… inwiefern man die dann direkt an LDAP oder so
> hängen kann, weiß ich nicht.
Aber dazu müsste dann wieder LDAP im Netzwerk implementiert
sein, und ein Zusammenspiel mit der NT-Benutzerdatenbank
ist dann auch Voraussetzung um eine saubere Authentifizierung
zu ermöglichen.
Das alleine wäre wahrscheinlich schon ein Projekt für sich.
Wenn ich für die Authentifizierung gegenüber die NT-Domäne
eine Lösung hätte, dann könnte ich mir vorstellen, dass ich
da eine Chance hätte. Wobei ich dann noch einen Ersatz
für unseren Web-Content-Filter bräuchte…
> > Und jetzt Linux-Support, oder wie 
>
> Jo. Komisch nur, dass ich z.B. grad bei meinen Eltern kaum was machen
> muss *g*
Seltsam, seltsam woran das wohl liegen mag?
August 29th, 2008 - Posted in Allgemein | | 0 Comments
Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…
passwortlleicht einfach mal damit ANFANGEN? Mit dem Argument kann man
> > sonst sämtlichen technischen Fortschritt verhindern. Hätte man vor 5
> > Jahren mit Chipkarten angefangen und 5 Jahre Ãœbergangsfrist
> > eingeräumt dann wäre man heute fertig. Stattdessen wird das Problem
> > totgeschwiegen, einzelne Kunden in den finanziellen Ruin gestürzt und
> > der Rest außergerichtlich ruhiggestellt. Zum K****.
>
> Also ich habe seit über 5 Jahren meine Chipkarte, also wer hat nicht
> angefangen? Wenn mir also Magnetstreifen zu unsicher ist, mache ich
Der Chip hat aber nicht die Funktion des Magnetstreifen und er wurde
nicht aufgebracht mit der Vorgabe in 5 Jahren den Magnetstreifen
abzulösen. Womit der Magnetstreifen eben ewig weiter bleibt.
> ihn kaputt, kann dafür aber leider keine magnetstreifenbasierenden
> Dienste mehr nutzen… Wo ist das Problem?
Stellst Du Dich so dumm? Arbeitest Du bei einer Bank und versuchst
hier anderen weiszumachen der Magnetstreifen und eine 4-stellige PIN
seien state of the art? Schrott sind sie.
> An einem Geldautomaten, der nicht defekt war und nicht von einer
> ausländischen Bank stammt? Was ist kürzlich? 3 Jahre?
Die Kunden haben heimische Automaten verwendet, die Verbrecher (die
mit den Kartenleser, nicht die in den Banken) ausländische Automaten.
http://www.presseportal.de/polizeipresse/p_story.htx?nr=853475
August 28th, 2008 - Posted in Allgemein | | 0 Comments
Re: Firefix hat Masterpassword Funktion eingebaut - Ein Passwort für alles
> > Immer das gleiche dumme Zeug.
>
> Schade, dass Du ausfallend wirst.
Schade, daß Du so überempfindlich bist. Wenn ich etwas für dummes
Zeug halte, dann sage ich das halt. War schon immer so. Deal with it.
> > Es ist *nicht* sicherer, ein Passwort nur aus
> > Masterpasswort URL Userdaten zu erzeugen, als aus
> > Masterpasswort verschlüsseltes-Passwort.
>
> Wenn man sich das Verfahren anguckt dann doch. Was macht denn eine
> “normale Applikation”. Sie verschlüsselt Deine Dienstpassworte und
> speichert sie irgendwo, wo sie geklaut werden oder verloren gehen
> können.
Ja. Und?
> Frage : Was ist denn, wenn ich (wie auch bei den hier von den
> Jungs beschriebenen simplen Hash/Verschlüsselungsverfahren) das
> Masterpasswort ändere …. also den Schlüssel. Dann wären alle alten
> Passworte nicht mehr zugreifbar, weil mit dem alten Schlüssel
> verschlüsselt.
Ja. Und? Deshalb *ent*schlüsselt man sie mit dem alten Passwort und
*ver*schlüsselt sie dann mit dem neuen.
> PasswordSitter lösst dieses Problem durch einen durchdachten Einsatz
> von Hash- und Verschlüsselungsalgorithmus.
Boah. Das hättest Du nicht sagen sollen. Jetzt hab ich nochmal ins
PDF geguckt:
August 28th, 2008 - Posted in Allgemein | | 0 Comments
Danke für die Steilvorlage. - c’t magazin.tv: Wann ist ein Passwort wi…
passwortolchen geschichten ueber passwörter könnte ich immer in die
> tischkante beissen. machen die leute nur das, was man ihnen sagt?
> selber nachdenken unmoeglich?
Ich wollte schon lange mal loswerden, dass ich nicht verstehe, wieso
Leute auf die Idee kommen, dass man ihnen alles erklären müsste und
ihr Mind entsprechend konfigurieren. Ich meine, das geht doch so los:
Irgendwie bleiben die auf dem Zug hängen, dass ihnen dauernd gesagt
wird, was sie tun sollen bzw. was sie wollen sollen. Aber: Wer hat
ihnen eigentlich gesagt, dass sie überhaupt damit anfangen sollen?
Das waren sie selbst!
Das Dumme ist nur, dass das möglicherweise schon in früher Kindheit
passiert ist, und da ist der Mensch ja sehr fleischgesteuert. Und
diese großen Kinder rennen jetzt rum und schreien “Angst! Angst! Da
Gefahr! Da, daaaa, Gefahr!”, weil sie immer noch instinktgesteuert
sind, und darum ist die Lebensqualität auch SCHEIßegal, hauptsache,
die Terroristen bringen einen nicht um.
Das hier passt auch noch dazu:
http://www.heise.de/open/news/foren/go.shtml?read=1
August 27th, 2008 - Posted in Allgemein | | 0 Comments
Re: Firefix hat Masterpassword Funktion eingebaut - Ein Passwort für alles
> >es ja auch noch “Bookmark Backup” für den Firefox, damit
> > sichere ich “cert8.db”, “key3.db” und “signons.txt” auf eine andere
> > Festplatte und regelmässig auch noch auf USB-Stick.
>
> Das ist auch eine gute Idee, trotzdem hinterlegst Du damit Deine
> PAsswörter in einer physischen Form, sie können geklaut werden,
> verloren gehen, Dich also immer kompromittieren.
>
> Beim PasswortSitter passiert das eben nicht.
Ist es nicht eher beim Passwortsitter unsicherer? Dieser berechnet
das Passwort aus Master und Algorithmus. Der Algorithmus kann von
jedem anderen ebenfalls genutzt werden, ist also quasi public. Nur
das Masterpasswort ist geheim.
Beim Browser ist ebenfalls das Masterpasswort geheim, die
verschlüsselten Passwörter existieren aber zusätzlich nur auf meinem
Rechner. Da muss erstmal jemand rankommen. Wenn er da rankommt, dann
ist nur noch das Masterpasswort geheim, das bedeutet, _dann_ ist es
auf der selben Stufe wie Passwortsitter.
Der einzige Vorteil beim Sitter ist, dass er mobil ist, das Applet
kann auf jedem Rechner vorhanden sein und braucht keine lokalen
Daten.
August 26th, 2008 - Posted in Allgemein | | 1 Comments
Re: Eine zweite Methode - Schwachstelle in Sony-Ericssons Passwort…
passwortDie Antwortzeit bei Falscheingabe des Passworts von Code Memo ist
> > (wesentlich) grösser als bei Eingabe des richtigen Passworts. Daher
> > könnte man auch das Antwortzeitverhalten auswerten, anstatt auf
> > zulässige Codes zu prüfen.
>
> Es wird offenbar auch zwischen numerisch und alphanumerisch
> unterschieden und die Länge der Passworte wird auch preisgegeben. Das
> sind auch Informationen, die für eine Brute-Force-Attacke auf eines
> der eigentlichen Passwörter nützlich sein können.
Ja schon, aber niemand anders kommt hoffentlich auf die Idee, ein
4-stelliges numerisches Passwort mit unbegrenzter Versuchsanzahl zu
benutzen. D.h. eine Brute-Force-Attacke auf das MPW ist deutlich
einfacher als auf eines der geschützten Passwörter, zudem ist der
Schaden bei erfolgreichem Angriff beträchtlich höher. Daher ist es
tatsächlich wichtiger, das MPW zu schützen, deshalb der Aufwand mit
Zeichenset-Erkennung und Längeninvarianz (leider ist der Schutz eben
trotzdem noch löchrig).
August 26th, 2008 - Posted in Allgemein | | 0 Comments
Re: Eine zweite Methode - Schwachstelle in Sony-Ericssons Passwort…
> > Es wird offenbar auch zwischen numerisch und alphanumerisch
> > unterschieden und die Länge der Passworte wird auch preisgegeben. Das
> > sind auch Informationen, die für eine Brute-Force-Attacke auf eines
> > der eigentlichen Passwörter nützlich sein können.
>
> Ja schon, aber niemand anders kommt hoffentlich auf die Idee, ein
> 4-stelliges numerisches Passwort mit unbegrenzter Versuchsanzahl zu
> benutzen. D.h. eine Brute-Force-Attacke auf das MPW ist deutlich
> einfacher als auf eines der geschützten Passwörter, zudem ist der
> Schaden bei erfolgreichem Angriff beträchtlich höher.
Alles eine Frage des Szenarios. Ein Quadcore-Prozessor probiert pro
Sekunde ein paar mehr Passwörter durch als ein Handy. Wie lange die
10.000 Eingaben gedauert haben, steht da ja nicht. In der Zeit könnte
das Opfer sein Handy sicherlich vermissen und die Passwörter ändern.
Ein paar Hints hätte man unauffällig in wenigen Sekunden und man wäre
auch nicht darauf angewiesen, dass das Opfer sieben oder mehr
Passwörter gespeichert hat.
mfG KB
August 25th, 2008 - Posted in Allgemein | | 1 Comments
Re: Jaaaa! [ ] - Sag ich schon seit Ewigkeiten! - Ein Passwort für alles
passwort…aber leider bin ich mit meinen Hobby-Abendschul-Scripten nicht in
> > der Lage sowas auf die Beine zu stellen.
> Das ist doch nicht dein Ernst, oder?
> Im Grunde lässt es sich mit x-beliebiger Sprache realisiern,
> kompliziert wird’s halt das Drumherum, damits auch richtig bequem
> wird.
Eine Variable $passwort mit der Variable $_HOST zu verknüpfen bekomme
ich auch noch hin. Aber eben das Drumherum für automatisches Einfügen
nicht, ohne dies wäre so ein Programm für mich allerdings ziemlich
wertlos.
Hab aber erst nach meinen Beitrag Oktavians Posting zu
passwordmaker.org gelesen. Finde das Produkt bisher fast 100%ig
ausgereift, zumal es ziemlich ausgereifte Funktionen bezüglich der
Onlinepassworterstellung hat - die lässt sich nämlich auch auf dem
Smartphone verwenden.
Was fehlt wäre vielleicht eine Verknüpfung nicht mit der aktuell
besuchten URL, sondern des Ziels des Formulars, in welchem sich das
Passwortfeld befindet. Hilft z.B. bei eBay gegen nachgemachte
Loginfelder (für mich zwar egal weil ich drauf achte, aber man denke
an die weniger an der Thematik interessierten Mitnetzbürger…).
> MfG
Gruß
August 25th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort ist falsch … - Allgemein: Meinungen zu heise online
passwort, ZielWasserVermeider!
>
> > Diese Meldung bekam ich gerade *lange schon eingelogt*
> > als ich auf einen Beitrag antworten wollte.
> >
> > Erst nach einem Neuaufruf des zu beantwortenden Beitrags
> > und der beantworten dieses (gleicher Text) ging es wieder normal
> > weiter.
> >
> > > http://www.heise.de/extras/foren/go.shtml?read=1
August 24th, 2008 - Posted in Allgemein | | 0 Comments
