Passwort-Infos

Re: unendliche Geschichte - Passwort-Cracker als Bezahldienst

admin — Mon, 29 Sep 2008 21:07:37 +0000

passwort wieder los… Na gut, dann dreh ich die Rhethorik-Schraube
auch nochmal auf.
> Fall handelt der Artikel vom Angebot von RainbowCrack Online. Dort
> lässt sich nachlesen, dass das Angebot MD5-gehashte Passwörter mit 7
> Zeichen aus einem Zeichensatz von [a-zA-Z0-9] umfasst.
Was Du wohlwissend verschweigst ist, dass RainbowCrack auch den
Zeichensatz [a-z0-9] verwendet. Diese hätte natürlich keinerlei
Daseinsberechtigung, wenn, wie Du Dich verrant hast zu behaupten, das
dasselbe wäre wie [a-zA-Z0-9]. Selten war ein Argument so leicht und
unanfechtbar zu widerlegen.
> Damit ist die Interpretation nicht mehr subjektiv, denn
> sie lässt sich an bekannten Tatsachen verankern.
..die Du nur noch zur Kenntnis nehmen müsstest, um Deinen
hoffnungslosen Standpunkt aufzugeben.
> Rainbowcrack listet auch für MD5 mixalpha-numeric auf. Es
> wird dadurch klar, dass RainbowCrack Dein Dilemma nicht kennt
Im Gegenteil. Rainbowcrack (und der Rest der Welt) unterscheidet im
Gegensatz sehr deutlich zwischen [a-z] und [a-zA-Z], wie ein
einfacher Blick auf meinen Link (2 Posts höher) beweist. Warum sollte
Rainbowcrack überhaupt unterschiedliche Alphabete namens “loweralpha”
und “mixalpha” verwenden, wenn es eh dasselbe ist. Meinst Du, dieses
Unternehmen berechnet überflüssige Tabellen mit 9 Monaten CPU-Zeit?
> es ist mir unverständlich, wie Du angesichts des
> Zeichensatzes
> [abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789]
> weiter behaupten kannst, das RainbowCrack-Angebot beziehe sich nur
> auf Kleinbuchstaben.
Netter Versuch, aber das habe ich nie getan. Du hingegegen bestehst
peinlicherweise darauf, zu behaupten.
[abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789]
sei dasselbe wie
[abcdefghijklmnopqrstuvwxyz0123456789]
obwohl jedem bei einem Blick auf die deutliche Unterscheidung, die
RainbowCrack zwischen diesen Alphabeten macht, das Gegenteil beweist.
> Richtig, diejenige Interpretation, die mit der Realität
> übereinstimmt, ist die richtige.
Insofern wird es höchste Zeit, dass Du die Realität auch zur Kenntnis
nimmst. Das ist auch außerhalb von formalen Sprachen im wirklichen
Leben von großer Bedeutung, wirklich!

Re: anleitung zum passwort bauen: - Passwortklau auf eBay und Co.

admin — Sun, 28 Sep 2008 07:02:57 +0000

> 1. man sollte wissen was eine hexadezimalzahl ist (erklärt einem
> jeder ;-))
>
> 2. man nimmt ein einfach zu merkendes wort in der gefordeten länge
> (im WLAN bei 128-bit-verschlüsselung sind das z.b. 26 buchstaben)
>
> man tauscht nach einem festen muster die buchstaben >f gegen zahlen
> von 1 bis 9 aus.
>
> 3. man hat ein passwort generiert, das relativ sicher sein sollte und
> das man vor allem wieder herleiten kann (also nirgens aufschreiben
> muss)
>
> ein beispiel:
>
> fussballeuropameisterschaf t
> f112ba23e3445a5e667e7889af
>
das ist schon ganz gut, und wenn man dann noch alle zwei oder drei
zeichen die shifttaste verwendet hat man auch ein passwort mit
sonderzeichen, also aus
> fussballeuropameisterschaf
wird dann erst
> f112ba23e3445a5e667e7889af
und nach der shifttaste dann
> f1!2Ba”3E3$4%a%e

Erster April ?, oder Habe ich was verpass(wd)t ? - Ein Passwort für alles

admin — Sat, 27 Sep 2008 04:03:21 +0000

passworter war ja die letzten Woche eher wechselhaft — dem einen
oder der anderen mag es schon ein bisschen wie im April vorgekommen
sein. Aber in Wirklichkeit haben wir doch immer noch September,
richtig?
Ich verstehe auch nach laengerem Ueberlegen nicht, was an dieser
Loesung so toll und sicher sein soll, dass sie mit diesem Aufwand
angepriesen wird, und das SIT seinen gut klingenden Namen dafuer
hergibt.
https://www2.passwordsitter.com/about.php
http://www.passwortsitter.com/
Soweit ich es bisher verstanden habe, genuegt mir der Loginname und
das “Master Password” einer Person, und ich komme an alle im
PasswordSitter verwalteten accounts (”Dienste”) heran, und bekomme
sie bequemerweise auch noch alle schoen saeuberlich aufgelistet. Wie
super-stark die eigentlichen Dienst href=”http://www.pro-it-support.de/?p=40″>passworte sind, spielt doch in
diesem Zusammenhang ueberhaupt gar keine Rolle mehr!
Was genau habe ich vepasst?!
Darueberhinaus ist es mit dem im derzeitigen Manual
https://www2.passwordsitter.com/manual_d.pdf
beschriebenen Prozess zum Aendern des Masterpasswords (was ja
loesungsimmanent die Aenderung aller Dienst-Passworte bedingt!)
unbequem und fehlertraechtig, das Masterpasswort zu aendern. (Andreas
Mayer hat eben schon darauf hingewiesen (”Vorsicht!”)
Genau dieses aber muesste man ziemlich hauefig tun, um hier halbwegs
Sicherheit reinzukriegen.
Was ich aber nach wie vor am allerwenigsten verstehe, ist, was die
angepriesene Generierung “starker” Passwoerter fuer die einzelnen
“Dienste” in diesem Ansatz ueberhaupt fuer einen Nutzen hat!
Nochmal: was habe ich verpasst?
Gruesse
seeg

Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…

admin — Fri, 26 Sep 2008 21:03:50 +0000

passwortDas eigentliche Sicherheitsrisiko in D haben wir noch gar nicht
> > diskutiert. Das sind nicht die Geldautomaten der Banken, sonder die
> > POS-terminals und das Lastschriftverfahren. Hier gilt wirklich die
> > Abwägung zwischen Kosten und Nutzen bei der Wirtschaft und bei den
> > Banken.
>
> Das ist auch nochmal so ein Thema. Da machen die Händler lustig
> Abbuchungen ohne genauer zu prüfen und die Banken kriegen den Hals
> nicht voll genug so das die Händler online Prüfungen nicht zahlen
> wollen/können.
>
> Aber für mich kein Maestro-Problem sondern eher das Problem “Händler
> nimmt meine Karte um automatisch seine Vorlage für die Lastschrift zu
> füllen und mich dann um Unterschrift zu bitten”. Hab ich damit als
> Kunde ein echtes Problem? Das die Unterschrift nicht von mir ist,
> soll somit nicht mein Problem sein. Lachen kann ich in dem
> Zusammenhang auch nur über die Amtshilfe der Polizei zu dem Thema die
> gestohlene Kartennummern per E-Mail Verteiler an Unternehmen mailt
> die damit ihre Datenbank mit nicht zu verwendenden Karten pflegt. Aua
> aua aua.
Deine Antwort ist etwas am Thema vorbei. Es geht doch um die
Sicherheit der Karte und nicht um die Zahlungsgarantie eines
bargeldlosen Bezahlverfahren. Was Nimran sicher meinte, dass die
Händlerterminals genauso gegen Ausspähversuche gerüstet werden
müssen, aber das liegt eben nicht in der Macht der Banken…

Mein Verfahren: Einfach zu merken und sicher :-) - Ein Passwort für alles

admin — Fri, 26 Sep 2008 06:08:27 +0000

passwort folgendes Verfahren:
ich habe 3 ‘Masterpasswörter’, Begriffe die ich mir einfach merken
kann, und eine Zahl. Der ein oder andere Begriff ist mit bestimmten
Bereichen/Identitäten verknüpft oder je nach vertrauenswürdigkeit der
Webseiten.
Z.B. klaue und 99
Das ist alles was ich mir merken muss. Wenn ich mich z.B. in einem
Forum für Skateboard anmelde, ist mein Passwort klaue99skate
Im Online Rennspiel ist es klaue99race oder klaue99rennen
Beim Computer z.B. klaue99pc
usw…
Wohlgemerkt sind das Beispiele. Ich habe das noch verveinert für
mich… man kann z.B. den zweiten Begriff rückwärts schreiben (etaks
anstatt skate) oder zwischen die zahl und den Begriff oder auch
mittendrin! Die resultierenden Passwörter sind immer schön lang (je
nach Masterhref=”http://www.datenschutzbeauftragter-online.de/outlook-passwort-nicht-sicher/”>passwort und Zahl) dementsprechend stark und man kann sie
kaum vergessen. Und auch wenn, dann probier ich einfach durch:
Passwort für ein Nissan-Forum? klaue99nissan oder klaue99car oder
klaue99tuning etc., schnell findet man sein richtiges.
Taucht auch in keinem Wörterbuch auch… und wenn man kreativ ist und
sich das Verfahren noch abändert (wo und wie man die Wörter mixt)
hilft es auch einem Bösewicht nicht die ‘Masterpasswörter’ zu haben
solange er von einem selbst nicht das Verfahren kennt Ich muss wohl kaum anmerken dass ich es noch etwas anders mach und
natürlich klaue nicht eins meiner ‘Masterwörter’ ist.
Gruß
Michael
(Einen Strich durch die Rechnung machen natürlich Seiten die die
Passwortlänge begrenzen x.x. Banken die nur fünfstellige Zahlen
erlauben (ARGH, wie kann sich sowas sicher nennen?), da ist man aufs
altmodische einzel-Passwort-merken angewiesen)

Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…

admin — Fri, 26 Sep 2008 00:02:16 +0000

>
> > Deine Antwort ist etwas am Thema vorbei. Es geht doch um die
> > Sicherheit der Karte und nicht um die Zahlungsgarantie eines
> > bargeldlosen Bezahlverfahren. Was Nimran sicher meinte, dass die
> > Händlerterminals genauso gegen Ausspähversuche gerüstet werden
> > müssen, aber das liegt eben nicht in der Macht der Banken…
>
> Sagen wir mal so, meine Antwort bezog sich auf den zweiten Teil mit
> der wilden Lastschriftabbucherei. Du beziehst Dich wohl auf den
> ersten Teil mit den POS Terminals. Da muss man in der Tat auch was
> tun um genauso sicher zu sein.
Und das ist doch das eigentlich Problem. Die Bank hat keinen direkten
Einfluß auf weitergehende Funktionen der Karte, außer sie
abzuschalten. Macht Bank A das, jammern die Kunden und rennen zu Bank
B… Machen es alle Banken, sind 75% der POS-Terminals nutzlos und
die Händler/Kunden jammern. Man kann es eben nicht übers Knie
brechen, so lange weitergehende Funktionen nicht ausreichend
chipbasierend verbreitet sind. Das nicht auf den Magnetstreifen
verzichtet wird liegt also nicht an den bankeigenen Angeboten, die
können zum Großteil schon auf den Magnetstreifen verzichten.

Re: dank Java!??` - Neuer E-Mail-Wurm kommt als Passwort-Kna…

admin — Wed, 24 Sep 2008 19:05:36 +0000

der/”>passwortDas ist richtig, ich kann mich da einreihen. Ich nutze seit Jahren IE
> > ( zur Zeit 6.irgendwas ) und outlook und hatte bisher ( trotz
> > intensiver Mail und Internetnutzung ) noch nie einen Virus.
> > Vielleicht fehlts einfach an der Aufklärung.
>
>
> Hahaha Scherzbold…
>
> Wieviel E-mails bekommst Du den so 1-2? Pro Jahr?
> Wenn Du an seiner Supportline E-Mail hängst, und zwischen 1200 und
> 1800 E-Mails pro Tag bekommst, die dann auf 10 DAUs verteilt werden,
> da hast Du bei Outlook garantiert 1-2-mal pro Tag einen Daten-GAU auf
> den betreffenden Rechnern, weil der Admin die Info
> Q98563364211258412533 von M$ noch nicht gelesen hat wo drin steht,
> das bei “Irgendwas” in der E-Mail das System versaut wird…
Naja, 5-10 Mails pro Tag sinds schon ( davon mind. 3 Spam-Mails ).
Ich rede hier ja auch nur für die Privatpersonen ( wobei ich mich
nicht für einen DAU halte, aber wohl näher am DAU bin als am Fachmann
). Wer als Unternehmen mit der Anzahl von Mails die Du genannt hast
umgehen muss und dann Systeme nutzt, die so anfällig sind, ist selbst
am GAU schuld.
Welche Supporthotline bekommt denn 1200 bis 1800 Mails pro Tag ?
Oly

Re: dank Java!??` - Neuer E-Mail-Wurm kommt als Passwort-Kna…

admin — Wed, 24 Sep 2008 11:03:11 +0000

>
> > Der Tag wird kommen, da erwischts auch Linux User! Weil die grösste
> > Fehlerquelle sitzt halt immer noch VOR dem Bildschirm. Dabei geht
> > dann zwar (wahrscheinlich) nicht das gesamte System den Bach runter,
> > aber mal ehrlich:
>
> > viel schlimmer ist doch der persönliche Datenverlust, der dadurch
> > entstehen kann.
>
> > Bin gespannt auf die erste ausführbare Datei, die dank JAVA und
> > vorausschauender Programmierung auf den meisten Systemen (MAC, Win,
> > UNIX) Schaden anrichten wird.

Re: dank Java!??` - Neuer E-Mail-Wurm kommt als Passwort-Kna…

admin — Tue, 23 Sep 2008 23:02:23 +0000

in-name-ist-lose-ich-will-mich-hier-einloggen/”>passwortKennst Du eine andere plattformübergreifende Sprache?
Eine Menge. Perl, PHP, Python, so ziemlich jede Skriptsprache, Cobol,
Smalltalk…
die Liste ist endlos.
> > Vielleicht C
> > Quellcode? “Nach dem Abspeichern der Attachments führen Sie bitte
> > unter Windows folgendes durch: … Und unter Linux: …” Weshalb
> > eignet sich Java denn hierfür nicht?
Java eignet sich dafür so gut oder schlecht wie jede andere
Programmiersprache auch. Das ändert am Ergebnis überhaupt nix.
> Ich glaube, es ging dabei um die sog. “Sandbox” in der die
> JAVA-Geschichten laufen sollen, allerdings gibt es einige “Lücken”,
> die es einem Programm erlauben auf Teile außerhalb der Sandkiste
> zuzugreifen, was und wie kann ich nicht sagen, kümmert mich auch
> nicht, denn JAVA ist eh aus.
Lücken gibt es nur in einzelnen Implementierungen einzelner VM’s, und
wenn da eine bekannt wird gibts dafür Patches. Abgesehen davon ist
Java derzeit im Bereich kaufmännischer Serveranwendungen das am
häufigsten eingesetzte Werkzeug für Neuentwicklungen.

Re: RTFM! - Schwachstelle durch festes Passwort in O…

admin — Tue, 23 Sep 2008 17:02:56 +0000

>
> > Es gibt beim MS SQL-Server kein Konto “sa”, das mit einem
> > Nullpasswort existiert, ohne dass des User das will und 1. bei der
> > Installation EXPLIZIT und 2. gegen eine ausdrückliche WARNUNG so
> > konfiguriert.
>
> Gilt nicht für alle SQL-Server:
> http://www.securityspace.com/de/smysecure/catid.html?id=10673
>
> Ist zwar schon eine Weile her, war aber eine Einfallsmöglichkeit für
> einige Würmer.
Sag mal, hast du mein Post gelesen und verstanden? Sicher gibt es
Leute, die ihren SQL-Server mit “sa” und einem Nullpasswort
konfigurieren, allerdings ist das eindeutig ein Anwenderfehler. Man
muss bei der Installation EXPLIZIT das Nullpasswort auswählen und
einen SICHERHEITSWARNUNGN wegklicken.
Nur weil es die Möglichkeit gibt, z.B. bei Entwicklungsrechnern sehr
angenehm, ist es noch lange keine STANDARDEINSTELLUNG die AUTOMATISCH
und ohne Nuterinteraktion bei der Installation angelegt werden kann.
OX -> Standard-Account wird ohne Nutzerinteraktion angelegt
SQL -> “sa” mit Nullpasswort wird nur durch explitize
Nutzerinteraktion angelegt.
Unterschied erkannt?