Re: Passwort ist falsch … - Allgemein: Meinungen zu heise online
passwortielWasserVermeider!
> Diese Meldung bekam ich gerade *lange schon eingelogt*
> als ich auf einen Beitrag antworten wollte.
>
> Erst nach einem Neuaufruf des zu beantwortenden Beitrags
> und der beantworten dieses (gleicher Text) ging es wieder normal
> weiter.
>
> > http://www.heise.de/extras/foren/go.shtml?read=1
August 23rd, 2008 - Posted in Allgemein | | 0 Comments
Frage an alle - Zugangssperren mittels BIOS-Passwort lei…
ihr alter 486er mit Win 3.1 abstuerzte (nichts ging mehr).
Ich sagte ihr, dass sie den Rechner einfach mit dem Reset-Knopf
neustarten solle. Nach dem Startvorgang wurde sie dann nach dem
Passwort gefragt (keine Ahnung, wozu sie eins hat). Komischerweise
konnte sie aber soviel auf der Tastatur rumtippen wie sie wollte, der
Rechner hat keine Eingaben mehr akzeptiert.
Ein- und Ausschalten half auch nichts.
Ich hab dann mal im Internet nachgeguckt, aber die im Newsticker zu
Tausenden vorhandenen Seiten zur Umgehung des Passwortschutzes habe ich
nicht gefunden. Gerade mal zwei Seiten.
Gut, der Tip mit der Batterie rausnehmen war natuerlich wieder
erwaehnt. Da meine Freundin aber keine Ahnung von Computern hat, konnte
ich ihr dazu wohl nicht raten.
Zu den Master-Passwoertern wurde geschrieben, dass es diese nur fuer
Award-Biosse gibt, aber nicht fuer Ami-Biosse.
Das hier im Forum erwaehnte “Kill-Cmos”-Programm konnte man sich auf
der Seite auch runterladen. Aber wie kann ich denn dieses Programm
einsetzen, wenn ich um den Passwortschutz nicht herumkomme ?!?!?
Dazu muesste ich den Rechner ja erstmal starten koennen. Ha, ha, ha !!!
Als ich dann eine halbe Stunde spaeter zurueckrief, lief der Rechner
auf mysterioese Weise wieder …..
August 23rd, 2008 - Posted in Allgemein | | 1 Comments
Re: Einiges macht mich stutzig … - Ein Passwort für alles
> Zu 4)
> Die Idee ist eigentlich eher neu. Bisher wurden die Passwörter immer
> mehr oder weniger verschlüsselt gespeichert. Hier wird ein Passwort
> algorithmisch nachvollziehbar aber nicht umkehrbar erzeugt.
aber genau hier hängt für mich der hammer warum die erfindung nur
mäßig sinn macht.
das ding benutzt servicename, benutzerkennung und masterpasswort um
daraus einen hash zu generieren. das hat den vorteil, dass mein
hinterlegtes passwort bei service X ziemlich robust ist. wenn der
passwortsitter dann auchnoch automatisch die passwörter ändert
resultiert daraus ein aus anwendersicht praktisch maximaler schutz
vor angriffen auf den service X. die schwachstelle ist halt dann der
passwortsitter.
beispiel webmail:
email-adresse (benutzerkennung) ist für jeden einsehbar, genauso wie
der service. bleibt mal wieder nur ein vom benutzer frei gewähltes
passwort. und damit sind wir wieder beim anfänglichen problem.
es bleibt der vorteil, dass man den leuten ein kryptisches 16 zeichen
passwort leichter schmackhaft machen kann, wenn man ihnen erklärt,
dass sie nurnoch dieses eine passwort brauchen.
dafür stützt man sich halt darauf, dass AES praktisch nicht zu
brechen ist …
August 18th, 2008 - Posted in Allgemein | | 0 Comments
Re: Einiges macht mich stutzig … - Ein Passwort für alles
passwort
> Die Passwörter werden aufgrund des Master-Passwortes, des
> Service-Namens und des Service-Logins (von dem Service, den Du nutzen
> willst…) generiert. Es werden KEINE Passwörter gespeichert. (Kann
> man ganz nett im Offline-Modus des Applets ausprobieren…)
> Das Passwort ist bei gleichem Service-Namen und Service-Login immer
> gleich. Wobei ich noch nicht weiß, wie das mit dem Ablauf des
> Passwortes funktioniert.
>
D.h., passwort=f(master-pw,service-name,service-login,X), wobei X die
im Artikel angedeuteten zusätzliche Parameter sind?
Folglich, bei (mehr oder weniger) bekannten Parametern und
Algorithmen sind die so “gesicherten” Passwörter so stark wie das
Master-Passwort, und wenn ich mir so manche Passwörter von
Arbeitskollegen so anschaue wird mir schon ein wenig schwindlig.
> Zu 4)
> Die Idee ist eigentlich eher neu. Bisher wurden die Passwörter immer
> mehr oder weniger verschlüsselt gespeichert. Hier wird ein Passwort
> algorithmisch nachvollziehbar aber nicht umkehrbar erzeugt.
Genau das macht mir Sorgen. Die generierten Passwörter sind dann nur
so sicher wie das Masterpasswort, und man braucht nichteinmal eine
Datei vom Rechner des Opfers zu holen und zu entschlüsseln.
Viel schlimmer, möglicherweise ist der Algorithmus sogar umkehrbar?
Kann man aus dem generierten Passwort vielleicht das Master-Passwort
ermitteln? Phischer würden sich riesig darüber freuen …
August 18th, 2008 - Posted in Allgemein | | 1 Comments
Re: Eine Lösung ! - c’t magazin.tv: Wann ist ein Passwort wi…
passwortichts für ungut, aber wenn der Client keine MAC-
Adresse hat, weiss der der Server an den die
Anforderung ging nicht wo er die IP-Adresse hin
schicken soll. Mit einem Tracer der IP-Pakete
Analysiert und Speichert kannst Du bei dir den
Verbindungs aufbau verfolgen. Gehört bei Unix-
System zum Boardwerkzeug.
Beispiel [Bearbeiten]
Hier wird die Herstellung einer PPP-Verbindung
am Beispiel PPPoE erklärt. Ein ähnlicher Ablauf
gilt auch für Modem- und ISDN-Verbindungen. Unterschiede
gibt es dort vor allem bei der Daten- und
IP-Header-Komprimierung, die bei DSL nicht möglich ist.
Zunächst eine kurze Erklärung zu den verwendeten Bildern:
Rot gekennzeichnet sind hier Empfänger (steht immer rechts)
und Sender (steht immer links). Empfänger und Sender
besitzen immer MAC-Adressen. Jedes Paket besitzt auch eine
ID (grün gekennzeichnet). Dadurch ist gewährleistet, dass zu
jeder Anfrage (Request) die richtige Antwort zugeordnet wird,
da das Frage- und Antwortspiel meist verschachtelt abläuft.
Als Client bezeichne ich hier den Rechner des Internetnutzers
und als PoP den Remote Access Server des ISP. PoP ist in unserem
Beispiel NortelNe_* und Client ist 3Com_*. Blau gekennzeichnet
ist das Options-Feld des PPP-Pakets. Dort werden Daten- und Optionen
eingetragen. Auf dieses Feld wird sich ausschließlich bezogen.
Gruss HDF
August 16th, 2008 - Posted in Allgemein | | 0 Comments
Re: Und wie ist das mit den Drivelock-Pws (Compaq) - Zugangssperren mittels BIOS-Passwort lei…
:
> Wie schaut es eigentlich mit den Drivelock Paßwörtern, zB
> in Compaq Notebooks aus. Die werden in der Firma in der ich
> z.Zt. jobbe eingesetzt, um die Festplatten vor unbefugten
> Zugriffen zu schützen.
Da erkundigst du dich am besten bei Compaq.
Wir haben das mal für IBMs ThinkPads abgeklärt (ist schon eine
ganze Weile her). Dort war kaum was zu machen: Wenn an das PW
vergass, konnte man die Platte schlicht und ergreifend in den
Müll werfen.
Der Schutz funktioniert dort so, dass der Controller auf der
Platte selber das PW überprüft und erst dann den Zugriff frei-
gibt. Zwar sind die Daten (wenn ich mich recht erinnere) selber
nicht verschlüsselt, aber man müsste schon einen kleinen HW
Umbau mit einem angepassten Controller machen um wieder an die
Daten zu kommen - nur die Platten in ein anderes Chassis ein-
bauen hätte auch nix genützt, da der IBM Controller die Platte
auch dort nicht freigegeben hätte.
Alain
August 12th, 2008 - Posted in Allgemein | | 0 Comments
Linux VDR oder Mythtv ? - c’t magazin.tv: Wann ist ein Passwort wi…
Linux VDR ist dann interessant, wenn eine sog. premium TV Karte, d.h.
mit hardware MPEG2 Decoder verwendet werden soll, dafür kann man dann
ein langsameres, also energiesparenderes Mainboard verwenden. Mythtv
macht die Decodierung über die Software, dafür wird dann eben ein
schnellerer PC gebraucht. Ich kann nicht sagen, ob die eine oder
andere Lösung besser ist, beide haben ihre Stärken und Schwächen. Für
einen groben Ãœberblick sind folgende Artikel ganz interessant:
http://de.wikipedia.org/wiki/Video_Disk_Recorder
http://de.wikipedia.org/wiki/MythTV
Für simultane MPEG4 De- und Encodierung bei MythTV ist ein Intel Core
Duo oder ein AMD64X2 sicher kein überflüssiger Luxus, für normales
Fernsehen und VDR Funktionen tut es bei Linux VDR auch ein 600MHz VIA
C3.
Was für Dich besser ist, hängt also ausschließlich davon ab, was Du
von Deinem VDR erwartest. An dieser Stelle haben die großen
Hersteller alle kläglich versagt, es gibt kein einziges Gerät zu
kaufen, das auch nur annährend die Funktionen bietet, die MythTV oder
LinuxVDR zu bieten haben. Die Dreambox ist da eine der Ausnahmen, die
stammt aber auch von einem kleineren Hersteller.
Sony, Panasonic, JVC etc.: AUFWACHEN !!!
August 12th, 2008 - Posted in Allgemein | | 0 Comments
Digitalrassismus? - Neuer E-Mail-Wurm kommt als Passwort-Kna…
> Mach deine Reklame woanders!
Oder ist es der Dame oder dem Herren so lieber:
Ich denke da besonders an eigenhändig auf Wacom (Japan), Pegasus
(Israel, www.pegatech.com), Interlinkelec (USA), Anoto (Schweden,
http://www.brandeins.de/magazin/vermischtes/artikel3.html)
geschriebene und
vierdimensional unfälschbar erfasste Passwörter oder PIN (Können die
nicht so ohne Weiteres! Sorry) mit Erfassung des Tipprhythmus`
(Tippdruck und Tippgeschwindigkeit mit Tipppausen). Sind die mit dem
im Bericht erwähnten Programm auch zu knacken?
Schaut um Gottes Willen nicht in www.hesy.de hinein; das ist nämlich
eine deutsche Erfindung und muss daher schon von vorneherein Schrott
sein! Und da sie von einem Einzelerfinder ist, der keinen 40
Millionen-PR-Etat hat, sollte man ruhig draufrumhacken!
Es grüßt alle die, die auf meine Frage ein objektive Antwort geben
können.
Vielleicht kann dann die Sicherheit etwas angehoben werden. Von
Maulaffen feilhalten geht das bestimmt NICHT. Sorry!
Merkste? Das Draufrumhacken wirkt schon; ich habe das manische
Gefühl, mich immer entschuldigen zu müssen. Wofür eigentlich? Das
Wacom, Interlink, Anoto, Pegasus mit meinen Argumenten hier in
Deutschland immer mehr Unterschriftenprüfer verkaufen?
Ren
August 10th, 2008 - Posted in Allgemein | | 0 Comments
Re: Kindergarten - Passwort-Cracker als Bezahldienst
passwortEin Mensch ist allerdings in der Lage, diesen Ausdruck korrekt zu
> interpretieren.
Das war argumentativer Selbstmord :-). Wenn der Ausdruck [a-z] von
Menschen zu interpretieren ist, dann ist das subjektiv und dann kann
Deine Interpretation auf keinen Fall die einzig richtige sein.
Im Gegenteil, dass [a-z] als [[:lower:]] zu interpretieren ist,
zwingt sich auf, denn:
- In der gesamten, für Menschen(!) geschriebenen,
Informatik-Literatur gibt es keine implizite Case-Insensitivität.
“[a-z]” matcht hier *immer* ausschließlich Kleinbuchstaben.
- In praktisch jeder Publikation (online oder gedruckt) zu Regulären
Ausdrücken taucht der Ausdruck “[a-zA-Z] ” auf, der mit Deiner
Interpretation keinen Sinn macht (bzw. bewusst redundant ist, was bei
Regulären Ausdrücken sehr ungewöhnlich wäre).
- RainbowCrack hat für NTLM Tabellen, die eindeutig zeigen dass sie
nicht Deine Ansicht vertreten
(http://www.rainbowcrack-online.com/?x=ntlm). Da gibt es nämlich
> Character set > mixalpha-numeric
> [abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789]
und
> Character set > loweralpha-numeric
> [abcdefghijklmnopqrstuvwxyz0123456789]
Diese Alphabete beschreiben ganz offensichtlich nicht dieselbe Menge
von Wörtern.
Der einzige kleine Ausweg, der Dir mit Deiner Argumentation bleibt,
wäre, dass der heise-Artikel überhaupt keine Regulären Ausdrücke
verwendet hat, sondern eine Pseudo-regex-Beschreibung des gemeinten
Alphabets. In diesem Fall müsstest Du allerdings erklären, warum die
Ausdrücke bewusst in einem anderen Zeichensatz und mit eckigen
Klammern notiert wurden.
August 10th, 2008 - Posted in Allgemein | | 0 Comments
Re: Kindergarten - Passwort-Cracker als Bezahldienst
passwortorgen!!!
> Was willst Du eigentlich dauernd mit Deiner man page? Da steht:
>
> > If case-independent matching is specified, the effect is much as if all
> > case distinctions had vanished from the alphabet.
>
> Welches Programm hat denn bitte case-insensitive als Default?
Bist Du eine Maschine? Also, ich nicht. Der Artikel wurde für
Menschen geschrieben, und er ist nicht direkt auf einem Computer
ausführbar. Aus diesem Grunde ist es müssig darüber nachzudenken,
welche Software denn per Default case-insensitive ist, da der
Ausdruck [a-z] im Artikel ja nicht für irgendein Programm dasteht.
Ein Mensch ist allerdings in der Lage, diesen Ausdruck korrekt zu
interpretieren. Weil der Mensch nämlich im Gegensatz zur Maschine zum
Denken fähig ist, ist er auch in der Lage, das Faktum, dass auf der
verlinkten Seite explizit von Gross- und Kleinbuchstaben die Rede
ist, zu verinnerlichen und daraus zu schliessen, dass [a-z] im
Artikel explizit case-insensitive gemeint ist. Weil dieses
zusätzliche Wissen für das korrekte Verständnis notwendig ist, wird
allerdings ein Teil der Leser - der Teil, der nicht gewillt ist, sich
mit dem Gelesenen zu beschäftigen - den Artikel missverstehen. Das
ist Dir passiert. Aber das kann natürlich jedem passieren.
August 8th, 2008 - Posted in Allgemein | | 0 Comments
