Re: RTFM! - Schwachstelle durch festes Passwort in O…
passwortDas ist keine Schwachstelle, da in vielen Anleitungen (z.B. [1])
> > schon darauf hingewiesen wird, die vorgebenen “secret”-Paßwörter
> > auszutauschen!
> >
> > Typischer Fall von PEBCAK und Leseschwäche …
>
> Nein - das ist ein großer Designfehler. So ein Benutzer hat nicht per
> default gesetzt zu werden. Erst wenn der User dies verlangt - und nur
> auf explizite Nachfrage.
Ein Designfehler ist es erst, wenn es nicht dokumentiert wäre. In
diesem Fall ist es eher ein “Feature”.
> Was würdest du davon halten, wenn z.B. sich bei jedem neu
> installierten WinXP ein Benutzer test:test per rdp einloggen kann?
Wenn es dokumentiert ist, wie etwa beim SQL-Server, wo ein Konto “sa”
existiert, das mit einem Nullpasswort ausgestattet ist und es eine
Anleitung dazu gibt, dieses zu Ändern, wäre es für mich kein Problem.
Wie gesagt, die Möglichkeit bei der Installation ein Nullpasswort
bzw. einfaches Passwort zu vergeben existiert bei jedem Serverdienst.
Damit wäre für jede Installation eines beliebigen Dienstes
prinzipiell eine Schwachstelle vorprogrammiert.
Bis denne,
label.
Bis denne,
labeel.
> Keep smiling
> yanosz
September 22nd, 2008 - Posted in Allgemein | | 0 Comments
Re: RTFM! - Schwachstelle durch festes Passwort in O…
passwortsind wir einer Meinung. Es ist ja auch gut, wenn hier die eigene
> OS-Ãœberzeugung mit Verve vetreten wird. Dummerweise geht dabei eine
> sachliche Argumentation o unter.
Sachlich diskutieren und Heiseforum beißt sich eben. Vor allem, wenn
es um OS vs. CS geht. Bei manchen, nicht so populären News, kann man
hervorrangend diskutieren und Probleme gelöst bekommen. Aber sobald
ein Trollmagnet (Mit Troll mein ich beide Lager, siehe unten)
gepostet wird, hat man eben einen schweren Stand mit einer
“Hybridmeinung”.
Ich habe auch schon bei einer Diskussion mit einem Bekannten
kapituliert, der partout nicht einsehen wollte, dass Mac OS X
sicherer sei, als sein geliebtes Windows. Manche Leute sind eben
geblendet ohne Ende. Die gibt es aber in beiden Lagern.
> Komisch, die Open-Source vs. MS
> Diskussion erinnert mich manchmal an eine “Diskusson” unter
> Fußballfans :))
Jepp. Aber Fußball ist wieder so ein Thema, da bist Du hier (fast)
allein, bei den ganzen WM hassern!
MfG
Bob!
September 19th, 2008 - Posted in Allgemein | | 0 Comments
Re: RTFM! - Schwachstelle durch festes Passwort in O…
passwortehe ich dich richtig und du benutzt “Open Source” gerade als
> Entschuldigung für das nich zuende gedachte Skript?
Nein, nicht im geringsten.
> Wenn Open Source den Anspruch hat, besser oder gleichwertig als
> komerzielle Software zu sein, dann muss sie sich auch an den selben
> Maßstäben messen lassen.
Richtig! Das sehe ich genauso, nur die Reaktion, auf solche “Fehler”
scheinen bei OS und MS differenziert bewertet zu werden, wie Du ja
auch schreibst. Bei OS heißts, man solle die Anleitung lesen, bei MS
ist es halt die verkorkste Sicherheitspolitik und -architektur und
überhaupt ist ja MS scheiße.
> Bei Vorteile stolz “Open Source” zu sagen, bei Nachteilen aber
> entschuldigend “Na ja, Open source” - das kann es ja wohl nicht sein.
> Oder hab ich dich mißverstanden?
Ich glaube Du hast mich missverstanden. Nicht alles was MS macht, ist
schlecht. Und nicht alles, was OS ist ist automatisch gut. Das ist
meine Meinung. Und dieser Einstellung kann ich ganz gut leben.
September 19th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort gesichert ablegen - Verschlüsselung
> Die Frage ist halt: WOVOR willst Du das Passwort schützen?
Na, vor unbefugter Benutzung natuerlich
> Wenn es nur darum geht daß andere Benutzer nicht rankommen
> regelt man das über die Rechte im Dateisystem oder der
> Registry — “zur Not” legt man für das Programm einen
> eigenen User an.
Die gaengige Arbeitshypothese ist, dass das Dateisystem keinen
wirklichen Schutz bietet. Vulgo, es ist anzunehmen, dass es durch
einen Bug entweder des OS selbst oder einer privilegierten Software
moeglich ist, jede beliebige Datei (einschliesslich der
Verzeichnisse) zu lesen oder zu aendern. Ob das tatsaechlich so ist
oder nicht, spielt keine Rolle; es wird regelmaessig ueber
Schwachstellen berichtet, die ebendies fuer unprivilegierte Benutzer
zulassen.
Das gilt natuerlich auch fuer die Plaintexte an sich.
Daraus folgt: Wenn der Server vertrauenswuerdig genug ist, um die
eigentlichen Daten zu bevorraten, und die Daten nur fuer den Versand
verschluesselt werden muessen, dann kannst Du den Schluessel ohne
weiteres auch in einer Datei ablegen.
Sollte der Server nicht ganz so vertrauenswuerdig sein, und die Daten
muessen auch verschluesselt gespeichert werden, dann musst Du auf
spezielle Harware zur Verschluesselung zurueckgreifen, die z.B. per
USB angeschlossen wird (sowas gibt’s auch zu kaufen, soweit ich
weiss).
Den Schluessel obskur in der Anwendung unterzubringen ist prinzipiell
Mist und hilft nur gegen inkompetente Angreifer.
September 16th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort gesichert ablegen - Verschlüsselung
Die Frage ist halt: WOVOR willst Du das Passwort schützen?
Wenn es nur darum geht daß andere Benutzer nicht rankommen
regelt man das über die Rechte im Dateisystem oder der
Registry — “zur Not” legt man für das Programm einen
eigenen User an.
Gegen geklaute Rechner hilft es das Passwort auf einer
remote gemounteten Platte abzulegen — wird der
Rechner gestohlen ist das Passwort ebenfalls weg.
Wenn die Gefahr besteht daß ein Eindringling von
außen auf den Rechner gelangt und in Ruhe nach
weiteren lokalen Schwachstellen suchen kann um
schließlich an den Account des Programms ranzukommen
dann könnte man das Passwort beim Programmstart abfragen
(Auslesen aus laufenden Prozessen ist schon recht heftig);
dann kann die Applikation aber z.B. nach einem Stromausfall
nicht mehr automatisch neu starten.
[ Das ist übrigens die Methode mit der mein neuer Server
die Platten verschlüsselt; da muß man sich dann z.B. mit
ssh einloggen um das System fertigzubooten ]
Hardcodiert in der Software wäre auch eine Möglichkeit;
fällt aber letztendlich in diesselbe Kategorie wie mit
einer externen Datei oder in der Registry: wenn sich
ein Angreifer Zugang zu dem Account verschaffen kann
dann kommt er an das Passwort — wenn er will bzw.
überhaupt davon weiß (ein 0815-Angreifer kriegt davon
nix mit, erst recht wenn der Account nicht mit komischen
Sachen a’la “Super high security account” als Name
auffällt 
Gegenüber dem Passwort in Datei/Registry ist die *.exe
in der Praxis ein bißchen sicherer weil man eben schon
gezielt eine Weile dran arbeiten muß. Bei Schlüsseln oder
anderen Informationen die nach Möglichkeit “geheim” bleiben
sollten und die aus echtem Text bestehen setze ich idR
noch eine Verschleierung drüber — da reicht XOR mit
irgendwas, Hauptsache man sieht es im binary nicht mehr
als String so daß man tatsächlich mit dem Debugger ranmuß.
Wie gesagt, am WICHTIGSTEN ist es sich erstmal
die Angriffsszenarien zu überlegen gegen die man
gewappnet sein will. Man braucht keinen Panzer
hinstellen wenn man das Schnitzel vor dem Hund
des Nachbarn schützen will.
Christian
September 16th, 2008 - Posted in Allgemein | | 0 Comments
Re: Einfacher Weg für unknackbare Passworte - c’t magazin.tv: Wann ist ein Passwort wi…
Zugegeben, eine Macke hat mein System: Es läuft nur unter Windows . .
.
Ich mache jetzt keine Werbung für meine Lösung (nein, ich habe sie
auch nicht selbst entwickelt): Es gibt eine (sicher auch mehrere)
Software, die von einem USB-Stick aus gestartet wird und nicht auf
dem Zielrechner installiert werden muss (ein Executable und das
war’s).
Einmal eingesteckt verbindet sich das Ding mit Firefox (kleines
Zusatz-Plugin nötig) oder, wenn gewünscht auch mit dem IE. Es wird
dann eine Zusatzleiste eingeblendet, die mir das Ausfüllen der
entsprechenden Felder anbietet und ein Menü, aus dem ich die
Startseite mit dem Login auswählen kann. Die Felder werden
automatisch ausgefüllt und der Loginbutton wird auch “gedrückt”.
Alle Passworte sind 3DES verschlüsselt (auch andere Algos möglich)
auf dem Stick abgelegt, sollte ich ihn also verlieren, ist nur ein
Stück Hardware weg, aber meine Passworte sollten noch solange sicher
sein, bis jemand den 3DES geknackt hat.
Es können Zufallspassworte generiert werden und eine Ausfüllhilfe für
Webseiten ist ebenfalls integriert.
Ich weiss nicht, wie ich jemals ohne das Teil auskommen konnte
Klaus
September 15th, 2008 - Posted in Allgemein | | 0 Comments
Mal philosophisch..? - Passwort-Manager von Firefox erleichtert…
Mal unabhängig vom konkreten Fall (Firefox, Passwort-Eingabe:
Komfort!), von der Kategorie (Datensicherheit), von dieser Welt
(Computer, Internet), m.a.W. “überall”:
Jeder (JEDER!) Vorteil bringt immer auch Nachteil - sozusagen
systemtheoretisch.
Das war auch schon die Kernbotschaft hier. Weiterlesen nur bei
Interesse. 
Relevanz hier? Mal sehen…
Guter Glauben, Bequemlichkeit, alle legitimen oder auch illegitimen
Bedürfnisse, Wünsche, die durch irgendein Angebot befriedigt,
Probleme, die gelöst, Lösungen, die verbessert werden können… haben
auch Nachteile: ebenso banal wie unvermeidlich.
Wir wollen das nur zu gerne vergessen:
Die Naiven, die in die Hände klatschen und jedes Versprechen
unbesehen annehmen, die Gutgläubigen, die Vertrauen ohne wirklichen
Grund entgegenbringen; selbst die Kritischen, die bereit sind eigenen
Aufwand zu investieren, um eine bewußte Abwägung und Entscheidung zu
treffen - für oder gegen einen “Fortschritt”, alle sind, mehr oder
weniger, gefährdet.
Aber natürlich sind Letztere die “Erwachseneren”, die “mündigen
Verbraucher” z.B.; sie minimieren Risiken (ohne deswegen prinzipiell
geschützt zu sein). Trotzdem machen sie es “am besten”.
Vertrauen ist gut - gesundes Mißtrauen ist besser.
Was wir dabei auch noch gerne vergessen (Relevanz in anderem Sinn):
Brauchen wir dieses “Feature” und jenen “Gimmick” wirklich?? (Mit der
Frage können wir einer Menge von Nachteilen entgehen, wenn wir
merken, daß wir viele “Vorteile” gar nicht wirklich brauchen Zurück zum Konkreten…
Man kann seine Passwörter und sonstigen Informationen mit ein bißchen
mehr Unbequemlichkeit viel besser verwalten und verbergen:
Man nehme (nicht nur dafür) etwa Truecrypt, ein sehr gutes und
kostenloses Verschlüsselungsprogramm, man lege eine kleine Datei als
“Tresor” (mit guter Passphrase) an, man verwende das in allen
Einzelfällen, manuell ggf. halbautomatisch. Man bleibe also bewußt
bei etwas weniger Komfort und damit auf der sicheren Seite.
Es ist wie beim Backup: Die einen hatten noch nie einen Datenverlust,
die anderen machen Backups. Schlimmer ist hier nur: Die Betroffenen
merken es oftmals gar nicht, oder zu spät, wenn ein Schaden
eingetreten ist.
Zum Firefox (den ich auch und gerne verwende): Brauchen wir wirklich
einen Passwort-Manager? Braucht dieser Browser wirklich so ein
Feature???
–Ok. und jetzt kann mir vielleicht jemand kommen mit dem berühmten
Satz: “Si tacuisses…” - Hättest Du geschwiegen, wärest Du ein
Philosoph geblieben!
(Dann bittschön mit konkreter Begründung
September 15th, 2008 - Posted in Allgemein | | 1 Comments
Re: Klarstellung - Passwort-Manager von Firefox erleichtert…
passwort nur in einem einzigen Forum registriert?
> > Benutzt Du keine einzige Website, die ein Login erfordert?
>
> Doch, es sind so einige. Und ich hab die Passwörter im Kopf.
> Letztendlich ist es schon so, daß man sich nen ganzen Sack voller
> Passwörter merken muss. Dennoch: Es gibt Zettel und Stift, da kann
> man sich für diverse Sachen auch diverse Passwörter aufschreiben.
>
Genau da liegt das Problem: jeder fordert ein Login, keine Seite
sagt, wie die UserID denn zumindest vom System her aussieht (ein
Hint: “Ihre Mail-Adresse” würde meist schon reichen) und jeder legt
eigene, ersponnene Regeln für die Passwörter auf:
- mal nur Ziffern
- 6-8 Zeichen
- >8 Zeichen
- >8 Zeichen, eine Ziffer an der 2.-7. Stelle aber nicht am Anfang
- mindestens ein Sonderzeichen
- vom System generiert und nicht änderbar
- …
Alles Bullshit. Das führt gerade dazu, dass man Passwortmanager nutzt
oder PW aufschreibt.
Aber bei mir ist es der Palm mit einem Tresor, in dem die PW stehen.
Und der hat keine Internetverbindung
September 13th, 2008 - Posted in Allgemein | | 0 Comments
Re: Mein Verfahren: Einfach zu merken und sicher :-) - Ein Passwort für alles
> Ich habe folgendes Verfahren:
>
> ich habe 3 ‘Masterpasswörter’, Begriffe die ich mir einfach merken
> kann, und eine Zahl. Der ein oder andere Begriff ist mit bestimmten
> Bereichen/Identitäten verknüpft oder je nach vertrauenswürdigkeit der
> Webseiten.
>
[…]
> (Einen Strich durch die Rechnung machen natürlich Seiten die die
> Passwortlänge begrenzen x.x. Banken die nur fünfstellige Zahlen
> erlauben (ARGH, wie kann sich sowas sicher nennen?), da ist man aufs
> altmodische einzel-Passwort-merken angewiesen)
Das einfachste ist es nach wie vor kurze Sätze zu verwenden und
jeweils die Anfangsbuchstaben zu nehmen.
Etwa:
Mein Kind Ist 1987 Geboren Und Heute 9 Jahre Alt:
mki1guh9ja
Braucht man mehrere Passwörter: Aufschreiben und bei Nichtgebrauch im
Tresor verschwinden lassen.
Für irgendwelche Foren usw. bei denen man kein “fail Safe” Passwort
braucht kann man standardmäßige Passwörter benutzen:
Ich Melde Mich Jetzt Gleich Bei Heise An:
immjgbheisea
Ich Melde Mich Jetzt Gleich Bei der Uni An:
immjgbdunia
Bei Banken usw:
Wenn übers Internet, dann wird das Passwort notiert und landet mit
den TANs zusammen (und was man sonst noch braucht) nicht in der
Schreibtischschublade sondern im gut gesichertern Tresor, da ist das
Zeugs auch noch brandgeschützt.
Kostet z.B. 5000 Euro für einen Brandgeschützen (DIS120) und
Einbruchssicheren (VdS3) kleinen Tresor, den man dann etwa in einer
Wand bzw. in einem Betonklotz unklaubar einbauen lassen oder im Boden
einbetonieren kann. Da drinnen sind dann auch die digitalen
Unterlagen Brandgeschützt, selbst zwei Stunden volle Hitze eines
Zimmerbrandes (um die 1000
September 13th, 2008 - Posted in Allgemein | | 0 Comments
Re: hotmail: passwort = name des haustiers - Umsätze mit Fingerabdruck-Chips explodie…
passwortmarc schrieb am 12. August 2002 20:31
> >
> > > Hotmail schlaegt momentan uebrigens vor, den Namen des
> > > Haustiers zu benutzen.
> >
> > Das ist ein Witz, oder?
>
> finde ich nicht mal sooo blöd (bin kein hotlami-user). andere wissen
> das meist nicht, und einem selber fällt’s im halbsuff vermutlich noch
> ein.
Nun mal überlegen, wieviel Haustierspitznamen es gibt…
Schätzungsweise ist mit 100 Namen 90% der Haustiere benannt, und die
restlichen 10% können meinetwegen einzigartig sein.
Dann hast wenn du nen fremden Account hacken willst immerhin ne
chance von fast 90%, wenn du die 100 häufigsten Namen auspobierst.
Das nenn ich Sicherheit, denn DU bist natürlich bei den 10% weil
Deinen Haustiernamen natürlich Niemand erraten kann.
>
> dumm nur, wenn man keins hat. aber vielleicht nimmt man dann eins aus
> der vergangenheit oder halt einen fantasienamen.
Oder sich n’ Kindergedicht vornehmen, auswendig lernen, die
Anfangsbuchstaben nehmen und diese wiederum mit einem Geburtsdatum
vonnem Verwandten verschlüsseln, da gibts weit Möglichkeiten als mit
Namen von irgendwas.
September 13th, 2008 - Posted in Allgemein | | 0 Comments
