Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: "welkom01"

Dämliches Standardpasswort verursachte Megaloch in Niederlanden

Michael Nickles / 72 Antworten / Baumansicht Nickles

Eine recht dämliche hausgemachte Sicherheitslücke wurde beim niederländischen Internetanbieter KPN entdeckt. Der Benutzername der ADSL-Kunden war laut Bericht von Activepolitic sehr simpel zu erraten, weil er sich einfach aus dem Namen der Kunden, ihrer Postleitzahl und dem Straßennahmen zusammensetzte.

Garniert wurde das dann mit dem standardmäßigen Passwort "welkom01". Dieses Passwort hat KPN natürlich nur als Standardpasswort eingerichtet, die Kunden konnten das online bei ihren Einstellungen nach Belieben ändern.

Allerdings waren wohl geschätzt 140.000 Kunden zu faul dazu es zu ändern. Selbst Laien-Hacker hatten also exzellente Chancen, die Zugangsdaten von KPN-Kunden zu "knacken". Erfreulicherweise ist die Geschichte aber wohl noch mal gut ausgegangen und es ist kein Vorfall eines Missbrauchs bekannt geworden. So sagt es zumindest KPN.

Tatsächlich hätten Hacker problemlos auch die Bankkonten- und Kreditkartennummern der KPN-Kunden abgreifen können. Es bleibt also nur zu hoffen, dass diese Geschichte nicht noch ein schmutziges Nachspiel hat. Peinlich ist gewiss auch, dass KPN das mit dem billigen "welkom01"-Passwort laut Bericht von Telecompaper Jahre lang praktiziert hat.

Auch wurden die Kunden wohl auch nicht mit irgendeinem Mechanismus dazu gezwungen, ein anderes Passwort zu vergeben. Inzwischen gibt es eine Pressemitteilung von KPN. Darin wird mitgeteilt, dass 120.000 der 180.000 Kunden ihr Passwort nicht geändert hatten. Und jetzt nach Bekanntwerden der Sache, gibt es immer noch 20.000, die auf "welkom01" vertrauen.

Inzwischen werden wohl alle betroffenen Kunden dazu "gezwungen" ein eigenes Passwort zu vergeben.

Michael Nickles meint: Nein. Die Kunden waren nicht zu dumm. Die Arschkarte geht an KPN. Jeder ernstzunehmende Anbieter MUSS davon ausgehen, dass Kunden zu faul oder zu "dumm" zum Ändern von Passwörtern sind.

Und man muss die Menschen verstehen. Ich krieg schon immer das Kotzen, wenn irgendwelche Sicherheitsexperten (Trottel) "Tipps" zu "perfekten Passwörtern" geben. Das perfekte Passwort sollte möglicht lang und total verworren sein, Buchstaben, Ziffern und Sonderzeichen enthalten.

Perfekt wäre beispielsweise: "K65ö_ß=_rVli#4ü2". Natürlich darf man das perfekte Passwort auf keinen Fall irgendwo aufschreiben - man muss es im Kopf behalten. Und: für jede Webseite sollte man unbedingt ein eigenes dreckskompliziertes Passwort verwenden.

Selbst ein durchschnittlicher Mensch, muss inzwischen zig Passwörter und Codes im Kopf haben. Die Geheimzahl von der Bankkarte und die vom Handy sind da noch "Gimmicks". Und im Web muss man für fast jeden Dreck einen Account einrichten. Ja, es gibt schon lange "universelle" Login-Mechanismen. Aber davon leider zu viele und sie funktionieren auch jeweils nur mit bestimmten Webseiten. Irgendwas läuft da komplett schief.

bei Antwort benachrichtigen
mawe2 Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen
Selbst ein durchschnittlicher Mensch, muss inzwischen zig Passwörter und Codes im Kopf haben. ... Irgendwas läuft da komplett schief.

Du sprichst ein interessantes und sehr wichtiges Problem an, für das offensichtlich keinerlei Lösung in Sicht ist.

Während früher die eigene Unterschrift das universelle Legitimationsmerkmal war (das man ja auch nicht so leiht vergessen konnte), hat man jetzt zig Accounts mit zig verschiedenen Paßwörtern.

Was Du noch vergessen hast: Das Passwort sollte (bzw. muss) in bestimmten Konstellationen auch noch regelmäßig geändert werden. Das ist dann spätestens der Punkt, wo Sicherheitsaspekte in den Hintergrund treten und der Nutzer ein möglichst einfaches (und einfach zu variierendes) Passwort verwendet, damit er beim nächsten Login nicht vor verschlossener Tür steht.

Es wird Zeit, dass hier mal eine zuverlässige, praktikable Lösung erarbeitet wird. Ich denke mal, es wird auf irgendwelche biometrischen Verfahren hinauslaufen.

Gruß, mawe2

bei Antwort benachrichtigen
IRON67 mawe2 „Du sprichst ein interessantes und sehr wichtiges Problem an,...“
Optionen
Ich denke mal, es wird auf irgendwelche biometrischen Verfahren hinauslaufen.

Und du glaubst, das wird dann sicher genug sein? Weil man die softwareseitige Implementation nicht wird überlisten können oder weil Finger, Gesicht und Retina ja festgewachsen sind? HINT: Malware existiert. Messer existieren.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
mawe2 IRON67 „Und du glaubst, das wird dann sicher genug sein? Weil man...“
Optionen
Und du glaubst, das wird dann sicher genug sein?

Das weiß ich auch nicht. Wenigstens ist dies nicht von der Merkfähigkeit des Menschen abhängig. 

Malware existiert. Messer existieren.

Hm. Das sind ja pessimistische Aussichten... Dann bleiben wir doch lieber bei Passwörtern!

Gruß, mawe2

bei Antwort benachrichtigen
IRON67 Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen
Irgendwas läuft da komplett schief.

Ja. Das, was schief läuft, nennt sich allgemein Mensch bzw. konkreter Informtionsdefizit. Darauf läuft es immer hinaus.

Solche Passwortskandale bei Hardware gabs schon öfter.

Die Kunden waren nicht zu dumm. Die Arschkarte geht an KPN. Jeder ernstzunehmende Anbieter MUSS davon ausgehen, dass Kunden zu faul oder zu "dumm" zum Ändern von Passwörtern sind.

Sehr richtig. Man muss immer vom Schlimmsten ausgehen.

Zum Thema dreckskomplizierte Passwörter.

Zwei wesentliche Punkte, die gerne übersehen werden, sind das suboptimale Recycling, d.h. dasselbe dreckskomplizierte Passwort für viele Accounts/Logins usw. sowie das Unterlassen des regelmäßigen und häufigen WECHSELs des Passworts, weil das ja alles gegen das Urbedürfnis des modernen PC-Users - die Bequemlichkeit - verstieße.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
mawe2 IRON67 „Ja. Das, was schief läuft, nennt sich allgemein Mensch bzw....“
Optionen
weil das ja alles gegen das Urbedürfnis des modernen PC-Users - die Bequemlichkeit - verstieße.

Mit Bequemlichkeit hat das nichts zu tun. Das menschliche Gehirn ist einfach nicht in der Lage, sich eine größere Anzahl ständig wechselnder, hinreichend starker Passwörter sicher zu merken. Es kommt dann zwangsläufig zu Verwechslungen, Falscheingaben und den damit verbundenen Unannehmlichkeiten. Daher müssen die Nutzer auf Notlösungen ausweichen (z.B. gleiches Passwort für verschiedene Accounts), damit sie überhaupt ohne schriftliche Notizen die Thematik bewältigen können.

Insofern ist das aktuell praktizierte Verfahren langfristig untauglich.

Gruß, mawe2

bei Antwort benachrichtigen
IRON67 mawe2 „Mit Bequemlichkeit hat das nichts zu tun. Das menschliche...“
Optionen
Mit Bequemlichkeit hat das nichts zu tun. Das menschliche Gehirn ist einfach nicht in der Lage, ...hinreichend starker Passwörter sicher zu merken.

 Die immer wieder auftauchenden Meldungen über gehackte Accounts ergeben regelmäßig, dass viele User extrem einfache Passwörter verwenden und immer wieder dieselben. Das IST Bequemlichkeit.

Selbst etwas längere Passwörter werden angesichts der heutigen Rechnerpower mit GPU-Unterstützung und verteiltem Rechnen in Botnetzen zusehends unsicher.

Wer heute noch mit Passwörtern arbeitet, in denen echte Wörter oder Silben vertreten sind, geht ein unnötiges Risiko ein.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
mawe2 IRON67 „Die immer wieder auftauchenden Meldungen über gehackte...“
Optionen
Die immer wieder auftauchenden Meldungen über gehackte Accounts ergeben regelmäßig, dass viele User extrem einfache Passwörter verwenden und immer wieder dieselben. Das IST Bequemlichkeit.

Wenn jemand einen einzigen Account hat und dafür ein einfaches Passwort benutzt, ist das vielleicht Bequemlichkeit.

Wenn jemand hundert Accounts hat und für alle das gleiche (hochwertige) Passwort benutzt, ist das Notwendigkeit. Denn niemand kann sich hundert verschiedene, sichere Passwörter sicher merken und dann noch immer richtig anwenden.

Selbst etwas längere Passwörter werden angesichts der heutigen Rechnerpower mit GPU-Unterstützung und verteiltem Rechnen in Botnetzen zusehends unsicher.

Das bedeutet erst recht, dass das Prinzip der passwortgestützten Authentifizierung nicht mehr zeitgemäß ist und dass schnellstmöglich etwas anderes dafür gefunden werden muss.

Gruß, mawe2

bei Antwort benachrichtigen
robinx99 IRON67 „Die immer wieder auftauchenden Meldungen über gehackte...“
Optionen
Selbst etwas längere Passwörter werden angesichts der heutigen Rechnerpower mit GPU-Unterstützung und verteiltem Rechnen in Botnetzen zusehends unsicher. Wer heute noch mit Passwörtern arbeitet, in denen echte Wörter oder Silben vertreten sind, geht ein unnötiges Risiko ein.

Naja aber das ist ja auch wieder ein Streitpunkt

http://xkcd.com/936/

Lange Passwörter die echte Wörter enthalten können eigentlich auch wieder sicher sein. Klar es gibt ja auch immer wieder die Ratschläge soetwas zu nutzen "DWud7G" und Merken kann man es sich halt über den Satz "Der Wolf und die 7 Geißlein" wobei das Passwort die Anfangsbuchstaben nutzt. Wobei wenn da jemand etwas Kreativ wird und so etwas als Passwort verwendet "Der Wolf und die 8 Geister" dürfte es auch ein relativ sicheres Passwort sein, obwohl es alles Wörter sind die in einem Wörterbuch zu finden sind, so ist die Kombination doch eher unsinnig.

bei Antwort benachrichtigen
IRON67 robinx99 „Naja aber das ist ja auch wieder ein Streitpunkt...“
Optionen
obwohl es alles Wörter sind die in einem Wörterbuch zu finden sind

Wenn ich schreibe 

in denen echte Wörter oder Silben vertreten sind

meine ich natürlich das PW selbst und nicht die Anfangsbuchstaben der Wörter, aus denen es sich zusammensetzt. Das verlinkte Beispiel kenne ich.

http://blog.trendmicro.com/password-insecurity-revisited/

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
robinx99 IRON67 „Wenn ich schreibe meine ich natürlich das PW selbst und...“
Optionen

Ich meinte jetzt eigentlich wirklich den Kompletten Satz "Der Wolf und die 8 Geister" als Passwort zu verwenden dann sind es Wörter und nicht Anfangsbuchstaben. Wobei das ja dann schon in die Kategorie Passphrase fällt und nicht mehr ein einfaches Passwort ist. Jedenfalls ist es sehr unwahrscheinlich, dass solche Passwörter zurück gerechnet werden können. Wobei man natürlich auch zwischen wichtigen und unwichtigen Passwörtern unterscheiden sollte. Wenn ein Foren Passwort abhanden kommt ist es nicht so schlimm wie wenn ein Bank Passwort abhanden kommt.

Aber andererseits sieht man ja auch noch mal ab und an einen Shop bei dem man sich zusätzlich noch mit Kundennummer + Postleitzahl einloggen kann.

bei Antwort benachrichtigen
Olaf19 robinx99 „Ich meinte jetzt eigentlich wirklich den Kompletten Satz "Der...“
Optionen

Mir ist ehrlich gesagt kein Beispiel bekannt, wo man derart lange Passwörter verwenden darf. Nach 16 Zeichen ist doch zumeist Schluss, manchmal sogar nach 8.

Oder meine Sparda-Bank: fürs Online-Banking gibt es ausschließlich 6-stellige Passwörter, die obendrein nur aus Ziffern bestehen :-o

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
robinx99 Olaf19 „Mir ist ehrlich gesagt kein Beispiel bekannt, wo man derart...“
Optionen

Also das sind doch gerade mal 26 zeichen. Zumindest mein GMX Passwort hat 17 Zeichen.
Mein WPA Passwort hat 22 Zeichen. Über Google Mail konnte man lesen das dort wohl 100 Zeichen das Maximum sind.
Wobei natürlich die Frage bleibt wozu überhaupt die Beschränkung Passwörter solten doch eh als Hash abgespeichert und nehmen somit nicht mehr Platz weg. Und ja ich habe schon einmal getestet dass 7-Zip sehr langsam wird wenn dass Passwort sehr lang wird (10 mal den Text vom Erlkönig ins Passwortfeld gepastet)
Und ja ich weiss auch meine Bank ist was Passwörter angeht auch eine Katastrophe, aber zum Glück kann man mit dem Passwort nur schauen und nichts ausführen, dass benötigt ja immer noch einen TAN Generator
Wobei ich bei Passwörtern und Sonderzeichen mittlerweile auch vorsichtig bin, da ich immer versuche, dass ich die Selben tasten drücken muss egal ob ich jetzt Deutsches oder US Tastatur Layout habe.

bei Antwort benachrichtigen
Olaf19 robinx99 „Also das sind doch gerade mal 26 zeichen. Zumindest mein GMX...“
Optionen
Also das sind doch gerade mal 26 zeichen. Zumindest mein GMX Passwort hat 17 Zeichen. Mein WPA Passwort hat 22 Zeichen.

Eben :-) Das Passwort mit den 26 Zeichen passt da schon nicht mehr rein. GoogleMail ist da eher eine Ausnahme.

auch meine Bank ist was Passwörter angeht auch eine Katastrophe, aber zum Glück kann man mit dem Passwort nur schauen und nichts ausführen, dass benötigt ja immer noch einen TAN Generator

Aus diesem Grund habe auch ich immer großzügig darüber hinweggesehen, allerdings finde ich die Vorstellung wenig sympathisch, dass wildfremde Menschen sich meinen Kontostand und Kontobewegungen angucken könnten, und zwar ohne dass ich es merkte - paradoxerweise gerade weil sie mit dem Passwort keinen Schaden anrichten können.

Bei der Sparkasse habe ich ein wesentlich längeres Passwort, welches darüber hinaus auch Sonderzeichen zulässt.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
mawe2 Olaf19 „Eben :-) Das Passwort mit den 26 Zeichen passt da schon...“
Optionen
allerdings finde ich die Vorstellung wenig sympathisch, dass wildfremde Menschen sich meinen Kontostand und Kontobewegungen angucken könnten, und zwar ohne dass ich es merkte

Ich bekomme bei meiner Bank das Datum und die Uhrzeit meines letzten Logins angezeigt. Wenn ich darauf achte kann ich also erkennen, ob seit meinem letzten Login noch andere (ungebetene) Gäste anwesend waren.

Gruß, mawe2

bei Antwort benachrichtigen
Olaf19 mawe2 „Ich bekomme bei meiner Bank das Datum und die Uhrzeit meines...“
Optionen
Wenn ich darauf achte kann ich also erkennen, ob seit meinem letzten Login noch andere (ungebetene) Gäste anwesend waren.

Stimmt, das macht die Sparda auch so - gerade einmal nachgeschaut:
Ihre letzte Anmeldung: 07.07.2012 um 14:48 Uhr

...und das kommt hin, war vor einer guten halben Stunde mal da :-)
Steht klein und unscheinbar auf der Seite mit den Kontoumsätzen, kann man aber trotzdem kaum übersehen, wenn man sich dafür interessiert.

THX
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
robinx99 Olaf19 „Eben :-) Das Passwort mit den 26 Zeichen passt da schon...“
Optionen

doch passt rein (auch wenn meines kürzer ist) hab gerade mal in den HTML Quell Text von GMX geschaut und da steht bei passwort änderungen folgendes:
---
id="password_new" name="password_new" maxlength="128"
---
also bei GMX sind Maximal 128 Zeichen für ein Passwort erlaubt
Also es gibt da schon Dienste wo man auch Gute Passwörter nutzen kann ;)

bei Antwort benachrichtigen
gelöscht_206904 IRON67 „Ja. Das, was schief läuft, nennt sich allgemein Mensch bzw....“
Optionen

Das mit dem Passwortwechseln hab ich nie verstanden. Warum soll ein 2-3 Tage altes Passwort sicherer sein als ein älteres.

Wichtiger ist da ein sicheres, wenn einer versucht es zu knacken, soll es schon schwer sein. Ob das dann einen halben Tag alt ist, oder 5 Jahre, spielt doch keine Rolle.

bei Antwort benachrichtigen
IRON67 gelöscht_206904 „Das mit dem Passwortwechseln hab ich nie verstanden. Warum...“
Optionen
Warum soll ein 2-3 Tage altes Passwort sicherer sein als ein älteres.

Nicht das Passwort wird dadurch sicherer, sondern das Zeitfenster für unautorisierten Zugriff kleiner.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
gelöscht_206904 IRON67 „Nicht das Passwort wird dadurch sicherer, sondern das...“
Optionen

Das stimmt schon.

Aber wenn man nicht wirklich JEDEN Tag ALLE Passwörter ändert (und selbst dann noch... ), sollte das Zeitfenster für jeglichen Unfug durch Dritte groß genug sein.

Nicht ganz ernst nehmen: Lächelnd

Sprich: Man kann durch Passwortwechseln das Zeitfenster nie so klein halten, dass kein Mißbrauch möglich ist, es sei denn, man sitzt den ganzen Tag vorm PC und wechselt ständig die Passwörter. Das ergibt dann ein Zeitfenster von geschätzt 20 Minuten und man ist den ganzen Tag nur mit Passwortändern beschäftigt. Und selbst dann ergibt sich ein Zeitfenster von 20 Minuten, bis man wieder die neu Änderung durchgeführt hat -> unsicher! (Und wer übernimmt den Job nachts, oder wenn man arbeiten muss? Überrascht)

bei Antwort benachrichtigen
IRON67 gelöscht_206904 „Das stimmt schon. Aber wenn man nicht wirklich JEDEN Tag ALLE...“
Optionen
Aber wenn man nicht wirklich JEDEN Tag ALLE Passwörter ändert (und selbst dann noch... ), sollte das Zeitfenster für jeglichen Unfug durch Dritte groß genug sein.

Von täglichem Wechsel kann doch keine Rede sein. Das wäre absurd.

Es geht um folgendes Szenario (das ich recht oft erlebe):

Jemand fängt sich Malware ein bzw. wird durch Alarmmeldungen oder Fehlverhalten von Software auf Malware aufmerksam.

Erste Maßnahme - zusätzlich zum Neuaufsetzen des Rechners - ist immer das Ändern aller Passwörter von einem anderen PC/Gerät aus. Unterbleibt das, kann auch Wochen später mit einem wieder sauberen PC das Geschrei groß sein, wenn die Malware Logindaten ausspähen konnte, bevor der User aktiv wurde.

Variante 2:

Ein User ist nichtsahnend schon vor Monaten infiziert worden. Gehört es zu seinen Gepflogenheiten, Passwörter über ein Zweitgerät zu ändern, kann auch hier der Schaden begrenzt werden.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
gelöscht_206904 IRON67 „Von täglichem Wechsel kann doch keine Rede sein. Das wäre...“
Optionen

OK, seh ich ein, ein Restrisiko bleibt jedoch (für den Zeitraum zwischen den Änderungen).

bei Antwort benachrichtigen
Olaf19 IRON67 „Ja. Das, was schief läuft, nennt sich allgemein Mensch bzw....“
Optionen
Zwei wesentliche Punkte, die gerne übersehen werden, sind das suboptimale Recycling, d.h. dasselbe dreckskomplizierte Passwort für viele Accounts/Logins usw. sowie das Unterlassen des regelmäßigen und häufigen WECHSELs des Passworts, weil das ja alles gegen das Urbedürfnis des modernen PC-Users - die Bequemlichkeit - verstieße.

Kein Mensch ist in der Lage, sich für mehrere E-Mail-Adressen, ebay-, Amazon-, Nickles- und sonstige Accounts Dutzende Passwörter zu merken und immer wieder neue dazu.

Auch ich verwende mehrere Passwörter für jeweils(!) mehrere Accounts - und ändere diese auch nicht, und zwar aus genau dem Grund den Lütke schon genannt hat. Das Szenario, dass jemand mein Passwort knackt und damit heimlich Schindluder treibt, ohne dass ich es bemerke, ist mir zu theoretisch.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Ventox Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen

Ich nutze für jeden Zugang ein eigenes, möglichst langes und kompliziertes Passwort.
Merken muss ich mir keines davon.
Ich lasse es nämlich jedes mal mittels Hauptkennwort erstellen.
Bisher hatte ich damit kein Problem.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
mawe2 Ventox „Ich nutze für jeden Zugang ein eigenes, möglichst langes...“
Optionen

Und wie loggst Du Dich bei den jeweiligen Diensten ein, wenn Dir der Rechner, auf dem Dein Firefox installiert und auf dem die Passwörter gespeichert sind, abhanden gekommen ist?

Z.B. wenn ein Dieb Deinen Rechner hat und Du deswegen won einem anderen rechner aus die Passwörter ändern willst?

bei Antwort benachrichtigen
Ventox mawe2 „Und wie loggst Du Dich bei den jeweiligen Diensten ein, wenn...“
Optionen
Z.B. wenn ein Dieb Deinen Rechner hat und Du deswegen won einem anderen rechner aus die Passwörter ändern willst?

Warum sollte ich das tun?

Das Hauptkennwort befindet sich doch nicht in meinem Rechner.

Also kommt ein Dieb auch nicht an die verschiedenen Passwörter.

Außerdem weiß er gar nicht, welche Länge das jeweilige hat.

Er hätte dann die Qual der Wahl von 4 bis 26 stellig.

Wobei das Kürzeste meiner Passwörter natürlich achtstellig ist.

Wie hältst Du es übrigens mit deinen Passwörtern?
Vielleicht ist deine Methode ja besser als meine.
 
Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
mawe2 Ventox „Warum sollte ich das tun? Das Hauptkennwort befindet sich...“
Optionen
Warum sollte ich das tun?

Also jemand klaut (z.B.) Deinen Rechner. Dann müsstest Du doch von einem anderen Rechner aus auf Deine ganzen Accounts zugreifen. Wenn Du selbst die Kennwörter gar nicht kennst, kommst Du doch an diese Accounts gar nicht mehr ran. Oder habe ich jetzt einen Denkfehler?

Vielleicht ist deine Methode ja besser als meine.

Nein, das will ich nicht sagen.

Ich vermeide es aber grundsätzlich, Passwörter auf meinem lokalen Rechner zu speichern. Ein nicht gespeichertes Passwort kann von einem Angreifer nicht geknackt werden.

Ansonsten kenne ich die wichtigsten Passwörter, die ich oft brauche, auswendig. Unwichtigere Passwörter, die nur gelegentlich gebraucht werden, habe ich (ganz entgegen aller Ratschläge) auf Papier aufgeschrieben und sicher verwahrt.

Aber genau die immer größer werdende Zahl von Passwörtern, PINs, usw. nerven mich eben. Und nicht alle werden am PC benutzt. Z.B. die PINs für die diversen Kreditkarten usw. Da nützt mir das Passwort-Management meines Browsers gar nichts, wenn ich am Geldautomaten stehe. Und dreimal die falsche Nummer eingegeben provoziert neuen Ärger.

bei Antwort benachrichtigen
Ventox mawe2 „Also jemand klaut (z.B.) Deinen Rechner. Dann müsstest Du...“
Optionen
Wenn Du selbst die Kennwörter gar nicht kennst, kommst Du doch an diese Accounts gar nicht mehr ran. Oder habe ich jetzt einen Denkfehler?

Ich kaufe mir einen neuen Rechner, installiere dort den Firefox und das Add-on Password Hasher.

Schon habe ich meine Passwörter wieder.

Ich vermeide es aber grundsätzlich, Passwörter auf meinem lokalen Rechner zu speichern.

Ich auch.

Da nützt mir das Passwort-Management meines Browsers gar nichts, wenn ich am Geldautomaten stehe. Und dreimal die falsche Nummer eingegeben provoziert neuen Ärger.

Noch habe ich kein Problem damit, und ich bewundere meinen Vater, der mit 82 anscheinend auch noch kein Problem damit hat.

Mir wäre es allerdings auch recht, wenn es endlich eine sichere und bequeme Zugangsart ganz ohne Passwörter oder Pins geben würde.

Existieren tun solche ja schon, wobei ich eine Kombination aus Gesichts- und Irisscan bevorzugen würde.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
mawe2 Ventox „Ich kaufe mir einen neuen Rechner, installiere dort den...“
Optionen
Kombination aus Gesichts- und Irisscan

An sowas ähnliches dachte ich auch schon.


Aber IRON schrieb ja

Malware existiert. Messer existieren.

Da möchte ich die o.g. Verfahren gar nicht weiter durchdenken :-(

Ich kaufe mir einen neuen Rechner, installiere dort den Firefox und das Add-on Password Hasher. Schon habe ich meine Passwörter wieder.

Das heißt, Du hast diese Passwörter nicht lokal sondern irgendwoanders gespeichert? Sorry, ich kapiere das nicht ganz...

bei Antwort benachrichtigen
Ventox mawe2 „An sowas ähnliches dachte ich auch schon. Aber IRON schrieb...“
Optionen
Das heißt, Du hast diese Passwörter nicht lokal sondern irgendwoanders gespeichert? Sorry, ich kapiere das nicht ganz...

Dort wird es ganz gut erklärt:

http://www.pcwelt.de/downloads/Password-Hasher-575691.html

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
Olaf19 Ventox „Dort wird es ganz gut erklärt:...“
Optionen

Vielleicht liegt es an der fortgeschrittenen Uhrzeit, aber da bekomme ich spontan gerade keinen Sinn rein.

Was ein Hashwert ist weiß ich, und wie das Tool funktioniert, scheint recht simpel zu sein.

Was aber nun, wenn ein Täter mein Schlüsselwort errät? Dann hat er auf einen Schlag meine sämtlichen Passwörter...?

Da hier von Mantra die Rede ist, gehe ich einmal davon aus, dass es sich hier um etwas Reales handelt, also keine kryptische Folge scheinbar sinnloser Zeichen: http://de.wikipedia.org/wiki/Mantra

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Ventox Olaf19 „Vielleicht liegt es an der fortgeschrittenen Uhrzeit, aber da...“
Optionen
Was aber nun, wenn ein Täter mein Schlüsselwort errät? Dann hat er auf einen Schlag meine sämtlichen Passwörter...?

Er müsste dafür wissen, wo ich überall einen Zugang habe, und welche Länge das jeweilige Passwort hat.

Ohne diese Informationen nützt ihm auch mein Hauptpasswort nichts.

Was hältst Du denn davon, es mal selbst auszuprobieren?

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
mawe2 Ventox „Er müsste dafür wissen, wo ich überall einen Zugang habe,...“
Optionen
Er müsste dafür wissen, wo ich überall einen Zugang habe

Ok, das kann man aus diversen Informationen (auch aus eingegangen eMail) erkennen.

und welche Länge das jeweilige Passwort hat.

Musst Du die Passwort-Länge immer wieder neu eingeben? Das hieße dass Du Dir diese Länge selber merken musst, oder?

Was hältst Du denn davon, es mal selbst auszuprobieren?

Ich überlege schon, wie ich das "unschädlich" machen kann. Ich müsste ja dem Passwort-Hasher irgendeinen Account "zum Fraß vorwerfen", bei dem ich dann selbst keine Kontrolle mehr über das Passwort hätte. Irgendwann probiere ich das vielleicht mal.

bei Antwort benachrichtigen
Olaf19 Ventox „Er müsste dafür wissen, wo ich überall einen Zugang habe,...“
Optionen
Er müsste dafür wissen, wo ich überall einen Zugang habe, und welche Länge das jeweilige Passwort hat.

Amazon und ebay sind leicht zu erraten, Sparda-Bank und Sparkasse hatte ich an anderer Stelle erwähnt, GMX und Nickles ebenso - das sind schon sechs "Anlaufstellen".

Tut mir leid, aber da bleibe ich erst einmal skeptisch. Generell habe ich sowieso lieber selbst die Kontrolle, anstatt mich einer Software anzuvertrauen, die für mich etwas erledigt. Da ich ein sehr gutes Gedächtnis habe, kann ich mir auch kryptische Passwörter recht gut merken, so dass ich nicht einmal eins auf einen Zettel schreiben muss. Das hilft natürlich zusätzlich, um "allein klarzukommen".

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
mawe2 Ventox „Dort wird es ganz gut erklärt:...“
Optionen

Also das Programm speichert die einzelnen Passwörter gar nicht sondern erzeugt sie immer wieder neu? Habe ich das so richtig verstanden?

Trotzdem bist Du dann zu 100% von diesem Tool abhängig und kannst Dich nicht von einem anderen System aus einloggen, auf dem Dir dieser Passwort-Hasher nicht zur Verfügung steht.

Dazu kommt das von Olaf erwähnte Problem: Wenn jemand das eine Schlüsselwort erfährt, hat er Zugang zu allen Accounts (Generalschlüsselproblem).

Gruß, mawe2

bei Antwort benachrichtigen
Ventox mawe2 „Also das Programm speichert die einzelnen Passwörter gar...“
Optionen
Trotzdem bist Du dann zu 100% von diesem Tool abhängig und kannst Dich nicht von einem anderen System aus einloggen, auf dem Dir dieser Passwort-Hasher nicht zur Verfügung steht.

Wenn ich es mal brauchen sollte, mich von einem anderen Rechner, auf dem weder Firefox noch Password Hasher installiert ist, mich anmelden zu müssen, dann nehme ich einfach den USB-Stick mit Firefox Portable mit.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
mawe2 Ventox „Wenn ich es mal brauchen sollte, mich von einem anderen...“
Optionen

OK, das ist immer noch ein ganz gutes Mittel.

bei Antwort benachrichtigen
celsius Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen

Seit ein Account von mir mal gehackt wurde und ich zu der Zeit noch nur ein Passwort für alle Dienste hatte, habe ich meine eMail-Adresse geändert und alle für alle Dienste ein jeweils neues Passwort eingerichtet.

Dabei handelt es sich immer um eine mindestens zehn Zeichen lange Phrase, die durch zwei oder drei Ziffern abgeschlossen wird. Für jede Webseite denke ich mir einen verworrenen Begriff aus - der aber was mit der Webseite zu tun hat - und füge eben eine Zahl hinzu. Fertig ist das Passwort.

bei Antwort benachrichtigen
mi~we Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen

Nicht das erste mal, dass  KPN Probleme mit der Sicherheit hat:
http://www.cio.com/article/702935/Dutch_Police_Arrest_17_Year_Old_Suspected_of_Breaching_Hundreds_of_KPN_Servers
Lustig in dem Zusammenhang: in einem anderen Artikel war zu lesen
KPN stated that, in the wake of the data security breach, the company will hire a Chief Security Officer....
Viel getan hat der anscheinend nicht! Was nützen futuristische Cyber-Abwehr-Zentren, wenn an der Basis dermaßen geschlampt wird?

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
torsten40 Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen

Alternativ kann man sich auch mit dem neuen Ausweis online einloggen usw. Sofern die Website, die entsprechende Möglichkeit bitet, und die Onlinefunktion des ausweises nicht abgeschaltet wurde.

Also alternativen wurden schon geschaffen, nur will die keiner nutzen.

Freigeist
bei Antwort benachrichtigen
mawe2 torsten40 „Alternativ kann man sich auch mit dem neuen Ausweis online...“
Optionen
Also alternativen wurden schon geschaffen, nur will die keiner nutzen.

Wir meinen schon sichere Alternativen.

Was nützt es, die unsichere Passwortauthentifizierung durch eine unsichere Personalausweisauthentifizierung zu ersetzen?

Gruß, mawe2

bei Antwort benachrichtigen
torsten40 mawe2 „Wir meinen schon sichere Alternativen. Was nützt es, die...“
Optionen

Weiter oben steht, es gibt keinerlei alternativen, und diese Aussage ist im Grunde falsch! Obs sicher oder nicht sicher ist, ist völlig irrelevant.
Die Onlinefunktion ist eine, wenn auch unsichere, Alternative! 
Da ja gemeint wird, meine ich, es ginge aus meinem Text hervor.

Freigeist
bei Antwort benachrichtigen
mawe2 torsten40 „Weiter oben steht, es gibt keinerlei alternativen, und diese...“
Optionen
Obs sicher oder nicht sicher ist, ist völlig irrelevant.

Also für mich ist das keineswegs irrelevant!

Außerdem geht es hier um ein unsicheres Router-Passwort. Versuche mal, Deinem Router beizubringen, dass er Deinen Personalausweis akzeptiert...

Gruß, mawe2

bei Antwort benachrichtigen
torsten40 mawe2 „Also für mich ist das keineswegs irrelevant! Außerdem geht...“
Optionen

Es geht um Zugangsdaten zum Internetprovider, und nicht um ein unsicheres <cite>Router-Passwort</cite>
Naja wie auch immer ...

Freigeist
bei Antwort benachrichtigen
mawe2 torsten40 „Es geht um Zugangsdaten zum Internetprovider. Quasi die...“
Optionen

OK, hatte ich falsch verstanden.

Zumindest geht es bei der allgemeinen Passwortproblematik auch um Router-Passwörter u.ä., also nicht nur Passwörter für irgendwelche Internet-Dienste sondern weit darüber hinaus.

bei Antwort benachrichtigen
torsten40 mawe2 „OK, hatte ich falsch verstanden. Zumindest geht es bei der...“
Optionen

Ich weiss wohl was du mir sagen willst.

Mit dem Routerpw wollt ich dich nur einwenig ärgern ;) Gott vergelts

Freigeist
bei Antwort benachrichtigen
Olaf19 Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen

Ich habe für beide Seiten wenig Verständnis.

Als ich bei Hansenet Kunde wurde, bekam ich einen äußerst kryptischen Usernamen mit einem ebensolchen Passwort zugeteilt, beides für einen Außenstehenden absolut unerratbar, vor allem ohne jeden Bezug zu meinen realen Adressdaten. Es war mehr als offensichtlich, dass niemand außer mir dieses Login erhalten würde.

Bei "Willkommen_1" o.ä. Schöpfungen ist es doch wohl selbstverständlich, dass es sich hier um ein provisorisches Universal-Login handelt, d.h. jeder der das zugeteilt bekommt, kann sich in den Benutzeraccount jedes anderen Reinhacken, der ebenfalls frisch angemeldet ist. Muss man den Leuten das wirklich auch noch alles erklären?

KPN hätte trotzdem klar sein müssen, dass es Tunichtguts gibt, die das PW nicht ändern. Und mehr noch, selbst wenn der Kunde es "sofort" ändert - was heißt schon sofort? Ein bisschen Zeit vergeht bis dahin immer, und die könnte ein anderer theoretisch nutzen. Es ist so ein wenig wie mit dem Sasser-Wurm und den durchschnittlichen 52 Sekunden, die man ungeschützt im Netz verbringen konnte, bevor der Wurm zuschlug.

So gesehen ist das Vorgehen von KPN in jedem Fall nicht sauber gewesen.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
IRON67 Olaf19 „Ich habe für beide Seiten wenig Verständnis. Als ich bei...“
Optionen
Es war mehr als offensichtlich, dass niemand außer mir dieses Login erhalten würde.

Für den, der sich für sowas interessiert.

Muss man den Leuten das wirklich auch noch alles erklären?

Leider ja. Frag mal jemanden, der nicht zu deinen intelligenteren und PC-erfahrenen Bekannten gehört, was WPA2 ist.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Olaf19 IRON67 „Für den, der sich für sowas interessiert. Leider ja. Frag...“
Optionen
Frag mal jemanden, der nicht zu deinen intelligenteren und PC-erfahrenen Bekannten gehört, was WPA2 ist.

Ganz ehrlich: um das richtig befriedigend erklären zu können, müsste ich auch erst einmal in der Wikipedia nachlesen. Spontan würde ich sagen: Verschlüsselungssystem, so wie es bei WLANs genutzt wird, und zwar in der fortgeschrittenen Variante. Na, vielleicht genügt die Erklärung sogar für den "Hausgebrauch" ;-)

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
IRON67 Olaf19 „Ganz ehrlich: um das richtig befriedigend erklären zu...“
Optionen
müsste ich auch erst einmal in der Wikipedia nachlesen.

Et tu, brute! Zwinkernd 

Und beim Rest isset noch viel schlümma. Letztens las ich jemandem, der das für ein "Internetsicherheitsprogramm" hielt. Andere haben schon Probleme, den Desktophintergrund zu ändern oder wissen nicht, welche Auflösung ihr Monitor darstellt. Wenn du denen was von Routerpasswörtern erzählst, kriegen sie glasige Augen und verstehen Bahnhof.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Olaf19 IRON67 „Et tu, brute! Und beim Rest isset noch viel schlümma....“
Optionen
Et tu, brute!  

Nun ja - hätte durchaus schlimmer kommen können: http://de.wikipedia.org/wiki/WPA2

Und bei dem Kollegen, der etwas von "Internetsicherheitsprogramm" schrieb, würde ich sagen: das ist schon eine sehr ungenaue Umschreibung, aber die Tendenz stimmt auch hier. Wie gut man sich mit einer Sache auskennt, hängt letztlich auch davon ab, wie viel man damit zu tun hat, ob man sie überhaupt braucht. Ich hatte mit WLAN bislang noch gar nichts zu tun, andernfalls wäre die Motivation mich mit WPA / WPA2 zu beschäftigen, deutlich größer.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Fridi1 Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen

Ja, ganz toll, wenn man dann noch berücksichtigt. das KPN einer der Provider ist, der das Backboon der Bundewehr darstellt. dann man Prost.


bei Antwort benachrichtigen
the_mic Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen
Das perfekte Passwort sollte möglicht lang und total verworren sein, Buchstaben, Ziffern und Sonderzeichen enthalten.

Lang? Ja, auf jeden Fall. Verworren und komplex? Nein. Stichwort: CorrectHorseBatteryStaple" target="_blank" rel="nofollow">http://xkcd.com/936/">CorrectHorseBatteryStapleCool 

Natürlich darf man das perfekte Passwort auf keinen Fall irgendwo aufschreiben - man muss es im Kopf behalten.

Ich erlaube mir auch hier einen Einspruch. Aufschreiben ist durchaus legitim, nur halt auf Papier und das Blatt muss sicher verwahrt werden, so dass nicht jeder Besucher (sei er nun willkommen oder nicht) gleich drüberstolpert.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
Olaf19 the_mic „Lang? Ja, auf jeden Fall. Verworren und komplex? Nein....“
Optionen

Das verlinkte Comic ist interessant... klar, für einen Brute-Force-Algorithmus, der einfach Trilliarden Zeichenkombinationen durchtackert, ist es egal, ob da etwas Sinnvolles steht oder nur wirrer Zeichensalat. Die Idee hinter den komplexen Passwörtern ist aber, dass kein anderer Mensch sie erraten kann, und das halte ich schon für sinnvoll.

Weiterhin könnte man die Brute-Force-Algorithmen so optimieren, dass sie am Anfang lediglich die Kombinationen checken, die nur aus Buchstaben bestehen und erst später die Satz- und Sonderzeichen. Dann wäre das CorrectHorse... schon viel früher an der Reihe.

Was die Länge angeht - wie ich weiter oben schon schrieb, darauf hat man keinen Einfluss, wenn man großes Glück hat 16 Zeichen, oft sind es aber nur 8.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
connexione Michael Nickles „Dämliches Standardpasswort verursachte Megaloch in Niederlanden“
Optionen
Selbst ein durchschnittlicher Mensch, muss inzwischen zig Passwörter und Codes im Kopf haben. Die Geheimzahl von der Bankkarte und die vom Handy sind da noch "Gimmicks". Und im Web muss man für fast jeden Dreck einen Account einrichten. Ja, es gibt schon lange "universelle" Login-Mechanismen. Aber davon leider zu viele und sie funktionieren auch jeweils nur mit bestimmten Webseiten. Irgendwas läuft da komplett schief.

Nun, zu oft lassen sich passwords und besonders PINs gar nicht mehr aendern (auch bei Zugang zu so ganz unwichtigen Seiten), oder aber der Passwortterror besteht in: "Dieses Passwort muss 8-12-stellig sein, Gross- und Kleinbuchstaben enthalten und an Anfang und Ende eine Ziffer." Ja, da ist der Administrator aber fein raus, Hat er doch alles getan. Ich boykottiere es, wo es geht (es geht leider nicht immer).

Und was sind die Folgen dieses "Ueberbesorgtseins"? Die Systemadministratoren in unserem Betrieb meinen jeden zwingen zu muessen, seine Passwoerter alle sechs Wochen zu wechseln. Und dann sind dieses und alle Vorgaenger auch auf ewig ungueltig. Ergo: das aktuelle Passwort klebt auf allen Terminals mit wechselnden Benutzern.

Ich meine: wer sein Login nicht aendert, ist selbst schuld. Man sollte auch seinen Hausschluessel nicht auf die Fensterbank legen. Aber sogar ein selbstgewaehltes Passwort "tanteerna" ist viel, viel sicherer als das, was all die "Besorgten" uns bescheren.

bei Antwort benachrichtigen
Olaf19 connexione „Nun, zu oft lassen sich passwords und besonders PINs gar...“
Optionen
Die Systemadministratoren in unserem Betrieb meinen jeden zwingen zu muessen, seine Passwoerter alle sechs Wochen zu wechseln. Und dann sind dieses und alle Vorgaenger auch auf ewig ungueltig.

Bei uns alle 10 Wochen, und wieder verwenden darf man ein Passwort erst nach 2 Jahren.

Das eigentlich Ätzende daran ist, dass wir zwei Passwörter brauchen, eins für den Novell-Netzwerk-Login und eins für SAP. Das SAP-Passwort läuft aber schon nach 8 Wochen ab, so dass man die Passwörter nicht synchron wechseln kann, bzw. ich müsste dann mein Novell-Passwort vorzeitig wechseln.

Das Ganze ist insofern eine Farce, als mich niemand hindert, für beides das gleiche Passwort zu vergeben - da ist dann wieder Schluss mit den Restriktionen.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Xdata Olaf19 „Bei uns alle 10 Wochen, und wieder verwenden darf man ein...“
Optionen

"..das gleiche Paßwort zu vergeben.."

Erinnert an Windows ab NT4.
Da ist es auch möglich, wenn eine Paßwortänderung gefordert wird,
das gleiche Paßwort wie vorher zu nehmen.
Ist anscheinend auch als "sinnvolle Option" vorgesehen.

Man sollte bei der Paßwort Vergabe und Methode nicht den Kontext aus den Augen verlieren,
soll heißen es kommt immer auch auf die "Umgebung" an wo man welche Art oder Stärke verwendet.

Bei der Länge eines Paßwortes hab ich mich schon gefragt ob
-- ein zu langes
 nicht auch ein Angiffspunkt sein könnte..

Es muß ja irgendwo "verarbeitet" und auf Grund eines Vergleichs für echt und richtig erkannt werden.


Wenn ein Paßwort nach einer definierten Zeitspanne wiederverwendet werden kann, darf,
ist ja irgendwo im System eine Hinterlegung nötg?

Ein Paßwortwechsel, zumindest ein häufiger, hört sich erstmal selbst heikel an.*
Da muß geschaut werden ob und wo es wirklich nötig ist.
Und eine definierte Vorgehensweise vereinbart sein was der User beachten muß
- und was auf keinen Fall erlaubt ist.

* Wegen der hohen Komplexität könnte es zu bequemen Leichfertigkeiten kommen.

bei Antwort benachrichtigen
Olaf19 Xdata „"..das gleiche Paßwort zu vergeben.." Erinnert an Windows ab...“
Optionen
Erinnert an Windows ab NT4. Da ist es auch möglich, wenn eine Paßwortänderung gefordert wird, das gleiche Paßwort wie vorher zu nehmen. Ist anscheinend auch als "sinnvolle Option" vorgesehen.

Naja, Windows stellt es dem User frei, ob er sein Passwort ändern will bzw. ob er überhaupt(!) ein Administrator-Passwort angeben will. In einem großen Unternehmen legen die Sicherheitsadmins des IT-Bereichs die sog. Policy fest, nach denen Passwörter vergeben werden müssen, und wenn da ein Wechsel nach 6, 10 oder 13 Wochen gefordert ist, dann muss der eben erfolgen.

Wenn ein Paßwort nach einer definierten Zeitspanne wiederverwendet werden kann, darf, ist ja irgendwo im System eine Hinterlegung nötg?

Das habe ich mich auch schon oft gefragt, und das finde ich auch ein wenig heikel. Bislang kannte ich es so: selbst der oberste IT-Admin hat keine Möglichkeit, mein Passwort auszulesen. Er kann es zurücksetzen - z.B. auf 123456, um mir die Gelegenheit zu geben, ein neues zu vergeben, etwa wenn ich meins vergessen haben sollte. Eine Archivierung von Benutzerpasswörtern, wie sie in diesem Beispiel anscheinend stattfindet, erscheint mir fragwürdig.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Ventox connexione „Nun, zu oft lassen sich passwords und besonders PINs gar...“
Optionen
Ich meine: wer sein Login nicht aendert, ist selbst schuld. Man sollte auch seinen Hausschluessel nicht auf die Fensterbank legen.

Das erste, was ich in meiner neuen Wohnung gemacht hatte, war das Schloss der Wohnungstüre zu tauschen.

Den ursprünglichen Schlüssel und das dazugehörige Schloss vom Vormieter brauchte ich nur, damit ich überhaupt in die Wohnung komme.

Und so sehe ich es auch mit den Passwörtern für Zugänge im Internet.

Das vom Anbieter erhaltene Passwort brauche ich, um überhaupt rein zu kommen.

Als erstes wird dann ein neues Passwort erstellt.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
Fridi1 Ventox „Das erste, was ich in meiner neuen Wohnung gemacht hatte,...“
Optionen

Moin moin
Zumindest ist es eine gute Einstellung, wenn der Zugang nach 3maligem falschen Passwort für eine gewisse Zeit gesperrt wird. Das verhindert das Ausprobieren mit Automaten.

bei Antwort benachrichtigen
robinx99 Fridi1 „Moin moin Zumindest ist es eine gute Einstellung, wenn der...“
Optionen
Zumindest ist es eine gute Einstellung, wenn der Zugang nach 3maligem falschen Passwort für eine gewisse Zeit gesperrt wird. Das verhindert das Ausprobieren mit Automaten.

Naja das Sperren von Accounts, auch wenn es nur zeitweise ist, hat aber auch wieder Probleme. So kann jeder Depp andere Accounts sperren indem man einfach ein Paar Passwörter probiert. Klar verlangsamen macht durchaus Sinn nur eine Passwort Eingabe pro IP pro 10 Sekunden zu lassen, aber sperren von Accounts halte ich für Falsch, vor allem da der Benutzername ja häufig nicht Geheim ist.

bei Antwort benachrichtigen
Xdata robinx99 „Naja das Sperren von Accounts, auch wenn es nur zeitweise...“
Optionen

Nun, man könnte ja die Zahl der Fehlversuche auf einen praktischen Wert legen.
Mit 1000 Versuchen wird selbst ein recht schlechtes Paßwort von einem Automaten noch nicht erraten.
Den Depp hält es aber ab.

Anderswo kann man ja die Zahl der Fehlversuche kleiner halten, auf 9 oder etwas > .

bei Antwort benachrichtigen
Borlander Xdata „Nun, man könnte ja die Zahl der Fehlversuche auf einen...“
Optionen
Mit 1000 Versuchen wird selbst ein recht schlechtes Paßwort von einem Automaten noch nicht erraten.

Wenn Du einfach die Liste der 1000 beliebtesten Passwörtern durchgehst, dann hast Du vermutlich schon Zugriff auf 10% aller Accounts :-(

bei Antwort benachrichtigen
robinx99 Xdata „Nun, man könnte ja die Zahl der Fehlversuche auf einen...“
Optionen

Das Problem bleibt aber. Bestehen man kann nach wie vor Fremde Accounts sperren. Ob es jetzt 10 oder 1000 Fehlversuche sind. Bei Email Anbietern ist der Benutzername meistens identisch mit der Email Adresse also ist der nicht geheim und auch wenn ich dass Passwort nicht kenne brauche ich dann nur x Fehlversuche und der rechtmäßige Besitzer kommt auch nicht mehr rein.
Man kann den Ganzen Spass verlangsamen, z.B.: nur 10 Versuche pro Stunde pro IP. Aber da man die IP Adressen wechseln kann bzw. Botnetze Viele IP Adressen haben kann man da nicht wirklich einen Brauchbaren Schutz haben. Außer man sorgt auch noch dafür dass der Benutzername auch noch geheim ist. Also mehr wie verlangsamen klappt da meiner Meinung nach nicht. Aber selbst wenn es auf 1000 Versuche pro Stunde gesenkt wird dürfte ein gutes Passwort >8 Zeichen wohl Praktisch nicht Knackbar sein, wenn dass Passwort nicht in einem Wörterbuch zu finden ist.

bei Antwort benachrichtigen
Ventox robinx99 „Das Problem bleibt aber. Bestehen man kann nach wie vor...“
Optionen

Oder man schickt nach mehreren erfolglosen Anmeldeversuchen eine E-Mail an die zugehörige Adresse, über die der Besitzer das Konto wieder freischalten kann.
Für den Hacker sollte aber dann mindestens 24 Stunden kein weiterer Hackversuch mehr möglich sein.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
robinx99 Ventox „Oder man schickt nach mehreren erfolglosen Anmeldeversuchen...“
Optionen

Naja zumindest für Email Anbieter unpraktisch, da dort im Schlimmsten Fall gar keine andere Email Adresse hinterlegt ist. Klar man hat sich mit Namen und Adresse angemeldet, aber ein Brief der zur Freischaltung auffordert braucht doch etwas zu lange. Außerdem besteht noch die Gefahr dass sowas für Phishing Mails gehalten wird

bei Antwort benachrichtigen
Ventox robinx99 „Naja zumindest für Email Anbieter unpraktisch, da dort im...“
Optionen

Wieso Brief?
Eine Mail an die betreffende E-Mail Adresse, auf die der Hacker doch keinen Zugriff hat.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
robinx99 Ventox „Wieso Brief? Eine Mail an die betreffende E-Mail Adresse, auf...“
Optionen

Ja Moment es war davon die rede Konten zu sperren und du hast das Geschrieben "Oder man schickt nach mehreren erfolglosen Anmeldeversuchen eine E-Mail an die zugehörige Adresse, über die der Besitzer das Konto wieder freischalten kann."

Und wie soll das jetzt in Folgender Situation Funktionieren:

- Man hat ein Email Konto z.B.: bei GMX / Google oder was auch immer
- Der Böse Hacker versucht 1000 Falsche Passwörter das Konto Wird gesperrt
- Und wohin soll jetzt die Email genau gehen an das gesperrte Email Konto? Das kann ich doch dann auch nicht mehr abrufen, wenn es gesperrt wurde, klar der Böse Hacker kommt auch nicht ran, aber ich auch nicht.
- Die einzige Möglichkeit die ich jetzt sehe ist halt der Brief, weil man hat sich ja durchaus mit Namen + Adresse registriert, aber eben keine weiteren Email Adressen, irgendwie geht es ja auch nicht weil irgendetwas muss ja die Haupt Email Adresse sein.

bei Antwort benachrichtigen
Ventox robinx99 „Ja Moment es war davon die rede Konten zu sperren und du hast...“
Optionen

Stimmt, da ist was dran.
Da ich noch nie das Problem hatte, dass eines meiner E-Mail Konten oder sonstige Zugänge gehackt worden wären, habe ich nicht weit genug gedacht.
Vielleicht könnte man was über die IP-Adresse machen.
Also jede IP-Adresse, über die dreimal das falsche Kennwort eingegeben wurde, für 24 Stunden sperren.
Da ich es ja nicht war, und die Chance groß ist, das nicht gerade ich eine der gesperrten IPs zugewiesen bekomme, wäre das vielleicht eine Möglichkeit, einen Zugang vor Hackerangriffen besser zu schützen.
Aber, wie gesagt, ich hatte solche Probleme noch nie.
Vielleicht wäre es gar nicht mal so schlecht, wenn im Zuge der Umstellung auf IPv6 jeder seine eigene IP bekommt.
Dann könnten alle IPs gesperrt werden, die jemals einen meiner Zugänge hacken wollen.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
Xdata Ventox „Stimmt, da ist was dran. Da ich noch nie das Problem hatte,...“
Optionen

Man sieht, das Problem ist
im praktischen Betrieb oder Einsatz
viel komplizierter als man im Allgemeinen zuerst mal denkt.

Die "Einsatzorte" von Paßwörten sind ja auch äußerst verschieden.


Auf einem Uni Server wurde ein Eindringling erst entdeckt, als durch Zufall aufgefallen war:
Einige Accounts waren zu bestimmten Zeiten nicht erreichbar.
Einem Administrator war dies aufgefallen, weil es ganz unübliche Zeiten waren, wo die User den Server garnicht nutzten.

bei Antwort benachrichtigen
robinx99 Ventox „Stimmt, da ist was dran. Da ich noch nie das Problem hatte,...“
Optionen

Also gehackt wurde ich auch noch nicht, mein Email Passwort ist recht sicher und Linux ist auch nicht gerade sehr anfällig für Keylogger.
Aber bei GMX sehe ich schon teilweise wenn ich über das Webinterface einlogge x Fehlversuche seit dem Letzten einloggen (so zwischen 20-30). Ob da wirklich jemand versucht an den Email account zu kommen weiß ich nicht evtl. kann jemand auch nur seine eigene Email Adresse nicht schreiben und versucht sich ab und an mit meinem Account einzuloggen weil er sich bei seinem Benutzernamen (= Emailadresse) nicht schreiben kann. Ist mir ja bei der Bank auch schon passiert dass ich mich da bei der Kontonummer vertippt habe (Kontonummer + PIN zum einloggen) und wer weiß ob die andere Kontonummer auch existiert.


bei Antwort benachrichtigen
IRON67 robinx99 „Also gehackt wurde ich auch noch nicht, mein Email Passwort...“
Optionen
und Linux ist auch nicht gerade sehr anfällig für Keylogger.

Das hier könnte dich interessieren... 

Yesterday, our friends at F-Secure discovered malware on a compromised Colombian transport website that was capable of infecting Windows, Mac and Linux users.

 

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
robinx99 IRON67 „Das hier könnte dich interessieren...“
Optionen

Ich sage Relativ sicher nicht Perfekt sicher. Aber zumindest die Attacke wäre bei mir ins Leere gelaufen (Java Plugin im Browser deaktiviert). Davon abgesehen habe ich /tmp und /home mit noexec gemountet, das macht es schon mal etwas problematischer überhaupt irgendwo etwas ausführbares zu installieren, als Normaler User und "privilege escalation" erfordert auch meistens irgendwo Binarys auszuführen. Sicherlich ein Profi wird auch da eine Möglichkeit finden, aber einfache "Drive By Attacken" werden zu einem sehr Hohen Prozentsatz ins Leere laufen.

bei Antwort benachrichtigen