Passwortänderung...
Kim Huebel
Admin: bitte das neue Passwort hier eingeben. Mind. 3 Stellen anders als
das alte, mind 6 Zeichen lang, höchstens 8 Zeichen lang, mind. 1 Zahl
oder Sonderzeichen drin und mind. 2 Buchstaben.
Student: kann ich das alte Passwort nehmen?
Admin: es heisst doch _neues_ Passwort.. was unterscheidet also ein
neues von einem alten? Sie müssen ein _neues_ nehmen...
*Fehlermeldung*
Admin: zu lang, maximal 8 Zeichen.
*Fehlermeldung*
Admin: zu kurz, mind. 6 Zeichen.
*Fehlermeldung*
Admin: Mindestens 1 Zahl oder Sonderzeichen und mind. 2 Buchstaben.
*Fehlermeldung*
Admin: Passwort darf nicht die Kennung sein.
... nach ettlichen anderen Fehlermeldungen hat Student schließlich sein
neues Passwort gebastelt.
Student: wie lange ist das nun gültig?
Admin: ein halbes Jahr.
Student: so kurz nur?
Admin: ja... sie dürfen aber auch schon früher das Passwort ändern.
Student: ah... auch jetzt gleich schon?
Admin: nein.. erst nach XX Tagen wieder.
...
Und sowas auf Freitag Nachmittag...
regards, Kim
--
Glaubt Chiap Zap kein Wort - groups.google.de weiss warum!
--------------------------------------------------------------------
Realnamen in der From:-Zeile sowie gültige Emailadressen erhöhen die
Chance gelesen zu werden und sinnvolle Antworten zu erhalten!
Holger Marzen
>
> Admin: zu lang, maximal 8 Zeichen.
>
> *Fehlermeldung*
>
> Admin: zu kurz, mind. 6 Zeichen.
>
> *Fehlermeldung*
>
> Admin: Mindestens 1 Zahl oder Sonderzeichen und mind. 2 Buchstaben.
>
> *Fehlermeldung*
>
> Admin: Passwort darf nicht die Kennung sein.
>
> ... nach ettlichen anderen Fehlermeldungen hat Student schließlich sein
> neues Passwort gebastelt.
>
> Student: wie lange ist das nun gültig?
>
> Admin: ein halbes Jahr.
>
> Student: so kurz nur?
>
> Admin: ja... sie dürfen aber auch schon früher das Passwort ändern.
>
> Student: ah... auch jetzt gleich schon?
>
> Admin: nein.. erst nach XX Tagen wieder.
Dies ist einer der wenigen legitimen Gründe, das System zu hacken und
mit root-Rechten die /etc/shadow oder das Pendant dazu passend zu
biegen. Denn irgendwo hört die Sicherheit auf und die Verarschung faengt
an.
Weniger Arbeit ist natuerlich moep_01 im Januar, 02_moep im Februar usw.
Florian Anwander
> [...Student-password-policy-story...]
Am Rechenzentrum der Uni Muenchen durfte ich mal eine grandiose Loesung des
Problems erleben:
Student [nach aehnlichem account trouble]: "Muss das so kompliziert sein?"
Admin: "Tja, es gibt auch den vereinfachten Universalzugang"
Student: "Oh, wie geht das?"
Admin: "Sie nehmen den Account 'Student' mit Passwort 'Student', der gilt
fuer alle gleichermassen."
Student: "Hat das irgendwelche Nachteile?"
Admin: "Noe, die anderen, mit denen Sie sich den Zugang teilen, haben auch
kein Problem damit..."
Auf meine Nachfrage meinte der Admin, dass sie diesen Account irgendwann
aus lauter Frust eingerichtet haben und dass sich tatsaechlich ca 30
Stundenten gluecklich und zufrieden diesen Account teilen - incl. Mail.
Florian
Kim Huebel
> Dies ist einer der wenigen legitimen Gründe, das System zu hacken und
> mit root-Rechten die /etc/shadow oder das Pendant dazu passend zu
> biegen. Denn irgendwo hört die Sicherheit auf und die Verarschung faengt
> an.
Mich tat nur verwundern, wie interessiert mir dieser Student meiner
Präambel lauschte um dann nach und nach exakt die Dinge zu tun, die ich
vorher gesagt habe, die er _nicht_ tun sollte *g*.
Dieser Fall tritt leider in letzter Zeit immer häufiger auf, weshalb ich
wohl dazu übergehe, mir die Präambel zu sparen, die Leute machen lasse
und dann die Fehler erkläre (machen muss ich es eh, die hören ja einfach
nicht zu :-)
> Weniger Arbeit ist natuerlich moep_01 im Januar, 02_moep im Februar usw.
Nun. Die Regeln sind (gottseidank) nicht von mir, sondern vom zentralen RZ.
Andreas Krennmair
> begin electrogrammati illius Kim Huebel
>
> >Admin: zu lang, maximal 8 Zeichen.
>
Du sitzt Fehlinformationen auf.
Juergen P. Meier
> Eben live erlebt bei einer Passwortänderung:
[Student und "Admin"]
Falsch. Das kann kein Admin gewesen sein.
Zu meinen Zeiten waere das so gegangen:
Admin: denk dir ein passwort aus, das unseren Richtlinien entspricht.
Student: [Dumme Frage oder dummer kommentar]
Admin: Wie war nochmal deine Kennung?
Student: [Kennung]
Admin: [Monitor so herumdrehend, das der Student draufschauen kann]
[in einer Shell:]
# rm -rf /home/[Kennung]
Admin: So, jetzt kannst du dir einen neuen account inklusive neuem
Passwort holen. Es war mir eine Freude behilflich zu sein.
Und wenn man an diesem Tag ganz besonders gut gelaunt ist, kann man
ja den Restore vom Backup anschmeissen.
Juer'SPAM? kein problem: # rm -rf /var/mail'gen
--
Juergen P. Meier - "This World is about to be Destroyed!"
Unix is user friendly, it just happens to be very particular
about who it makes friends with.
Juergen P. Meier
Dann lass mich mal Raten: Solaris?
Juergen
Erhard Schwenk
> Eben live erlebt bei einer Passwortänderung:
> Admin: bitte das neue Passwort hier eingeben. Mind. 3 Stellen anders als
> das alte, mind 6 Zeichen lang, höchstens 8 Zeichen lang, mind. 1 Zahl
> oder Sonderzeichen drin und mind. 2 Buchstaben.
>
> Student: kann ich das alte Passwort nehmen?
>
> Admin: es heisst doch _neues_ Passwort.. was unterscheidet also ein
> neues von einem alten? Sie müssen ein _neues_ nehmen...
Korrekt so.
> *Fehlermeldung*
>
> Admin: zu lang, maximal 8 Zeichen.
Das allerdings zeugt von veralteten Systemen. Man sollte immer wieder
mal checken, ob man die Grenze nicht wenigstens auf 15-20 Zeichen
erhöhen kann.
> *Fehlermeldung*
>
> Admin: zu kurz, mind. 6 Zeichen.
Korrekt so.
> *Fehlermeldung*
>
> Admin: Mindestens 1 Zahl oder Sonderzeichen und mind. 2 Buchstaben.
Korrekt so.
> *Fehlermeldung*
>
> Admin: Passwort darf nicht die Kennung sein.
Wär ja auch noch schöner.
> ... nach ettlichen anderen Fehlermeldungen hat Student schließlich sein
> neues Passwort gebastelt.
Warum sind die Leute bloß immer so phantasielos?
Man nehme einen dummen Spruch. Sagen wir mal "Hätt ich heut morgen bloß
mal Linux installiert", von jedem Wort den dritten Buchstaben und
garniere das... sagen wir mit dem Geburtsdatum (von mir aus der 15.08.)
und abwechselnder Groß-/Kleinschreibung.
Und schon hat man ein mehr als brauchbares Paßwort:
ThUrOlNs!5=8
Und merken kann man sich das auch noch einigermaßen.
> Student: wie lange ist das nun gültig?
>
> Admin: ein halbes Jahr.
Zu lange. Hier im Haus 30 Tage (nein, die Regelung kommt nicht von mir).
> Admin: ja... sie dürfen aber auch schon früher das Passwort ändern.
>
> Student: ah... auch jetzt gleich schon?
>
> Admin: nein.. erst nach XX Tagen wieder.
Das ist allerdings auch so ne Begrenzung, deren Sinn sich mir persönlich
entzieht.
--
Erhard Schwenk
Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de
K-ITX Webhosting - http://webhosting.k-itx.net
Erhard Schwenk
> Holger Marzen wrote:
>> Dies ist einer der wenigen legitimen Gründe, das System zu hacken und
>> mit root-Rechten die /etc/shadow oder das Pendant dazu passend zu
>> biegen. Denn irgendwo hört die Sicherheit auf und die Verarschung faengt
>> an.
> Mich tat nur verwundern, wie interessiert mir dieser Student meiner
> Präambel lauschte um dann nach und nach exakt die Dinge zu tun, die ich
> vorher gesagt habe, die er _nicht_ tun sollte *g*.
> Dieser Fall tritt leider in letzter Zeit immer häufiger auf, weshalb ich
> wohl dazu übergehe, mir die Präambel zu sparen, die Leute machen lasse
> und dann die Fehler erkläre (machen muss ich es eh, die hören ja einfach
> nicht zu :-)
Geht einfacher. Nach jedem Fehler gibts erst Hilfe, wenn er die Präambel
3x abgeschrieben hat. Handschriftlich. Vor Ort.
Wenn die Leute sich dämlich anstellen wie Erstkläßler, wollen sie
offensichtlich auch wie solche behandelt werden. Und wehe, es geht einer
aufs Klo, ohne zu fragen.
Till Potinius
> Das ist allerdings auch so ne Begrenzung, deren Sinn sich mir persönlich
> entzieht.
Macht schon Sinn. Sonst ändert irgendein Depp[1] sein PW 15mal am Tag,
nur um einen Tag später dann nicht mehr zu wissen, welches PW er als
letztes hatte.
MFG, Till
Fußnoten:
=========
[1] Um nicht DAU zu schreiben
--
Bin im Moment nur am Wochenende zu Hause, daher
verzögern sich Antworten meinerseits etwas.
Erhard Schwenk
> Erhard Schwenk schrieb folgendes:
>>Das ist allerdings auch so ne Begrenzung, deren Sinn sich mir persönlich
>>entzieht.
> Macht schon Sinn. Sonst ändert irgendein Depp[1] sein PW 15mal am Tag,
> nur um einen Tag später dann nicht mehr zu wissen, welches PW er als
> letztes hatte.
Ja, und? Dann hat er eben den Antrag in 17-facher Ausfertigung
auszufüllen und von James Bond, dem Bundeskanzler und dem Dalai Lama
unterschrieben persönlich incl. Personalausweis vorbeizubringen, damit
man das Passwort zurücksetzen kann. Ohne Beglaubigung geht das natürlich
nicht, da könnte ja jeder kommen und erbitten, daß man irgendein
Passwort zurücksetzt.
Man muß da nur die organisatorischen Hürden hoch genug machen, dann
vergessen $LUSER ihr Passwort im Leben ganz genau ein mal.
Ach ja, falls $LUSER mit aufgeschriebenem Passwort erwischt wird, ist
natürlich der 30-fache Papierkrieg inclusive Security-Nachschulung und
mehrwöchiger Quarantäne für den Account fällig :-)
Nils Kassube
> Und merken kann man sich das auch noch einigermaßen.
Wieviele PINs und Paßwörter kannst Du Dir eigentlich merken?
Erhard Schwenk
Derzeit so 8 oder 9, die für 30-50 Accounts taugen. Sortiert nach
Sicherheitsstufen gibts jeweils ein anderes.
Till Potinius
> Erhard Schwenk <esch...@fto.de> writes:
>
>> Und merken kann man sich das auch noch einigermaßen.
>
> Wieviele PINs und Paßwörter kannst Du Dir eigentlich merken?
Bei fortlaufender Nummerierung unendlich viele.
Ich für meinen Teil nutze im Moment nur 4 verschiedene
alphanumerische, und das fast[1] ohne Probleme. Dazu kommt noch
Handy-Pin[2] und die letzten 3 Bank-Pins. Allerdings habe ich bei
Zahlen auch ein fast photografisches Gedächtnis.
MFG, Till
Fußnoten:
=========
[1] Wenn ich ein PW längere Zeit nicht nutze, kommt es schon mal vor,
dass ich erst eines der anderen 3 eingebe
[2] die aktuelle und die alte
Gerrit Heitsch
> Und schon hat man ein mehr als brauchbares Paßwort:
> ThUrOlNs!5=8
>
> Und merken kann man sich das auch noch einigermaßen.
Echt? Da muss man aber ein ziemlich verbogenes Hirn haben
um sich das merken zu koennen...
>
> > Student: wie lange ist das nun gültig?
> >
> > Admin: ein halbes Jahr.
>
> Zu lange. Hier im Haus 30 Tage (nein, die Regelung kommt nicht von mir).
Solche Fristen produzieren Passwoerter wie 'geheim!1', 'geheim!2',
'geheim!3' usw. Sehr sinnvoll...
Gerrit
Erhard Schwenk
Wird nix, die letzten 4 werden verglichen und es müssen sich mehr als 4
Zeichen unterscheiden.
Gerrit Heitsch
>
>> > Solche Fristen produzieren Passwoerter wie 'geheim!1', 'geheim!2',
> > 'geheim!3' usw. Sehr sinnvoll...
>
> Wird nix, die letzten 4 werden verglichen und es müssen sich mehr als 4
> Zeichen unterscheiden.
Ach, du bewahrst die letzten 4 Passwoerter im Klartext auf?
Oder wie darf ich das verstehen?
Gerrit
Erhard Schwenk
Noe, es scheint da irgendeinen Hash-Algo zu geben, der abhängig von der
Zahl der abweichenden Buchstaben auch bei abweichender Reihenfolge einen
anderen Wert errechnet. Es muß dabei eine Mindestabweichung erreicht werden.
Till Potinius
>> Wird nix, die letzten 4 werden verglichen und es müssen sich mehr als 4
>> Zeichen unterscheiden.
>
> Ach, du bewahrst die letzten 4 Passwoerter im Klartext auf?
> Oder wie darf ich das verstehen?
Kann man doch machen. In der Regel muss man zum ändern des PWs erst
einmal das alte eingeben. Bei dieser Abfrage das alte PW zu speichern
ist nicht so unmöglich.
MFG, Till
Carsten Krueger
>Das allerdings zeugt von veralteten Systemen. Man sollte immer wieder
>mal checken, ob man die Grenze nicht wenigstens auf 15-20 Zeichen
>erhöhen kann.
Exakt.
>> Admin: Mindestens 1 Zahl oder Sonderzeichen und mind. 2 Buchstaben.
>
>Korrekt so.
Nein, das ist Userverarschung wenn man beliebig lange oder sagen wir
wenigstens Passwörter mit mehr als 12 Zeichen wählen kann.
Gruß Carsten
--
http://learn.to/quote - richtig zitieren
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://oe-faq.de/ - http://www.oe-tools.de.vu/ - OE im Usenet
http://www.spamgourmet.com/ - Emailadresse(n) gegen Spam
Claus Färber
> Man nehme einen dummen Spruch. Sagen wir mal "Hätt ich heut morgen bloß
> mal Linux installiert", von jedem Wort den dritten Buchstaben und
> garniere das... sagen wir mit dem Geburtsdatum (von mir aus der 15.08.)
> und abwechselnder Groß-/Kleinschreibung.
Viel zu umständlich. ``dd if=/dev/random count=6 bs=1 2>/dev/null |
recode ../base64'' tut's auch.
Claus
--
http://www.faerber.muc.de -- http://www.bayern-gewinnt.de/
Erhard Schwenk
> Erhard Schwenk <esch...@fto.de> schrieb/wrote:
>
>>Man nehme einen dummen Spruch. Sagen wir mal "Hätt ich heut morgen bloß
>>mal Linux installiert", von jedem Wort den dritten Buchstaben und
>>garniere das... sagen wir mit dem Geburtsdatum (von mir aus der 15.08.)
>>und abwechselnder Groß-/Kleinschreibung.
>
>
> Viel zu umständlich. ``dd if=/dev/random count=6 bs=1 2>/dev/null |
> recode ../base64'' tut's auch.
Noe, das kann sich keiner merken.
Einen Spruch und das zugehörige Verfahren *können* sich die meisten
Leute merken, wenn sie nur wollen.
Und wer so grundlegende Dinge schon nicht will, sollte IMHO umgehend aus
dem betrieblichen Umfeld entfernt werden.
Erhard Schwenk
> Nein, das ist Userverarschung wenn man beliebig lange oder sagen wir
> wenigstens Passwörter mit mehr als 12 Zeichen wählen kann.
NAK. 26^n oder 52^n ist deutlich weniger als (ca. 90)^n
Ralph J.Mayer
>
>>> Wird nix, die letzten 4 werden verglichen und es müssen sich mehr als 4
>>> Zeichen unterscheiden.
>>
>> Ach, du bewahrst die letzten 4 Passwoerter im Klartext auf?
>> Oder wie darf ich das verstehen?
>
> Kann man doch machen. In der Regel muss man zum ändern des PWs erst
> einmal das alte eingeben. Bei dieser Abfrage das alte PW zu speichern
> ist nicht so unmöglich.
"das alte PW" aber nicht noch die Drei davor. Nächster Versuch.
rm
Andreas Henicke
> Und schon hat man ein mehr als brauchbares Paßwort:
> ThUrOlNs!5=8
> Und merken kann man sich das auch noch einigermaßen.
Du bist krank. Oder Admin.
Gruss, Andreas.
--
Any sufficiently advanced technology is indistinguishable from magic.
- Arthur C. Clarke
Claus Färber
> Claus Färber wrote:
>> Viel zu umständlich. ``dd if=/dev/random count=6 bs=1 2>/dev/null |
>> recode ../base64'' tut's auch.
> Noe, das kann sich keiner merken.
He! Nicht beleidigend werden. *Ich* kann mir solche Passwörter merken.
(Zwar nicht unbegrenzt viele, aber immerhin ausreiched.)
Urs [Ayahuasca] Traenkner
> Erhard Schwenk <esch...@fto.de> wrote:
>> Und schon hat man ein mehr als brauchbares Paßwort:
>> ThUrOlNs!5=8
>> Und merken kann man sich das auch noch einigermaßen.
> Du bist krank. Oder Admin.
"Du hast schwarze Hautfarbe. Oder bist Neger."
Gruss Ur"hehe"s...
--
Er kam, SARS und siechte.
Adrian Knoth / IRC...
Sebastian Luettich
> Kim Huebel wrote:
>> Admin: ja... sie dürfen aber auch schon früher das Passwort ändern.
>>
>> Student: ah... auch jetzt gleich schon?
>>
>> Admin: nein.. erst nach XX Tagen wieder.
> Das ist allerdings auch so ne Begrenzung, deren Sinn sich mir persönlich
> entzieht.
Häh? Innert 2 Minuten wäre ansonsten wieder das ursprüngliche Passwort
reaktiviert. Dann braucht man auch gar keine Policy.
Sebastian
--
So if a fire mek I bun/ And if a blood mek I run/ Rasta deh pon top/ Can't you
see? So you can't predict the flop/ Gotta lightning, thunder, brimstone an fire/
Lightning, thunder, brimstone an fire/ Oh ya, fire, oh ya/ Kill, cramp an
paralyse/ All weak-heart conception/ Wipe dem out of creation, yeah! - RNM
Till Potinius
>> Kann man doch machen. In der Regel muss man zum ändern des PWs erst
>> einmal das alte eingeben. Bei dieser Abfrage das alte PW zu speichern
>> ist nicht so unmöglich.
>
> "das alte PW" aber nicht noch die Drei davor. Nächster Versuch.
Es gibt so Dinger, die nennen sich Dateien, da kann man Daten
reinschreiben. Die bleiben da ganz lange. Da passen sogar die 100 PWs
vorher rein.
Ralf Döblitz
[...]
>> Admin: nein.. erst nach XX Tagen wieder.
>
> Das ist allerdings auch so ne Begrenzung, deren Sinn sich mir persönlich
> entzieht.
Meinst du das ernst? Bei restriktiven Regeln für die Bildung des
Passwords neigen die minimal phantasievollen Luser dazu, bei Aufforderng
mal eben ein temporäres Password zu basteln und dieses danach sofort
wieder gegen das alte auszutauschen. Ohne minage ist maxage nicht
besonders sinnvoll, man müßte mindestens die letzten 2-4 Passwords
speichern um Wiederholung zu vermeiden - minage ist da einfacher.
Da haben es meine Luser viel einfacher: wenn ich der Meinung bin, es
müßte mal wieder neue Passwords geben (z.B. weil jemand so blöd war,
seins auf öffentlich zugänglichen Windoof-Kisten zu speichern) dann wird
apg angeworfen und jeder bekommt von mir eins zugeteilt. Beim dritten
Mal ist das neue PW beim Chef abzuholen.
Ralf
--
Ralf Döblitz * Schapenstraße 6 * 38104 Braunschweig * Germany
Phone: +49-531-2361223 Fax: +49-531-2361224 mailto:doeb...@doeblitz.net
Homepage: http://www.escape.de/users/selene/
Mit UTF-8 kann man gleichzeitig äöüßÄÖÜæœłø¼½¾¤¹²³¢€£¥¶§¬÷×±©®™¡¿ verwenden.
Stefan Froehlich
>> Student: ah... auch jetzt gleich schon?
>> Admin: nein.. erst nach XX Tagen wieder.
> Das ist allerdings auch so ne Begrenzung, deren Sinn sich mir
> persönlich entzieht.
Stell Dir einfach vor, Du moechtest lieber _ein_ Passwort haben, das
(de facto) nie ablaeuft. Die restliche Vorgehensweise sollte dann
hinreichend trivial sein.
Servus,
Stefan
Martin Hermanowski
Andreas Henicke wrote:
> Erhard Schwenk <esch...@fto.de> wrote:
>
>> Und schon hat man ein mehr als brauchbares Paßwort:
>> ThUrOlNs!5=8
>> Und merken kann man sich das auch noch einigermaßen.
>
> Du bist krank. Oder Admin.
Oder?
Außerdem ist das Passwort doch wirklich einfach.
LLAP, Mar<dd if=/dev/urandom bs=1 count=9|mimencode>tin
Alexander Schreiber
>Ralph J.Mayer schrieb folgendes:
>
>>> Kann man doch machen. In der Regel muss man zum ändern des PWs erst
>>> einmal das alte eingeben. Bei dieser Abfrage das alte PW zu speichern
>>> ist nicht so unmöglich.
>>
>> "das alte PW" aber nicht noch die Drei davor. Nächster Versuch.
>
>Es gibt so Dinger, die nennen sich Dateien, da kann man Daten
>reinschreiben. Die bleiben da ganz lange. Da passen sogar die 100 PWs
>vorher rein.
Wer Passworte anderer Leute im Klartext speichert (z.B. als Teil
eines Authentisierungssystems), der gehoert aufs Rad geflochten,
in siedendes Oel getaucht, die Zunge ausgerissen, die Augen
ausgestochen, die Haende abgehackt und hinter Pferden durch die Stadt
geschleift. Danach sollte man ihm wirklich wehtun.
Und ja, ich kenne leider zuviele "unheimlich wichtige" oder "ganz toll
sichere" Anwendungen, welche User/Password Kombinationen zur
Authentisierung ihrer User entweder im Klartext oder in reversibel
verschluesselter Form (gern mit festem Schluessel) speichern.
Ist ja nicht so, als ob es nicht seit Jahrzehnten Systeme gaebe, die
dafuer Einwegfunktionen nutzen ...
Man liest sich,
Alex.
--
"Opportunity is missed by most people because it is dressed in overalls and
looks like work." -- Thomas A. Edison
Gerrit Heitsch
>
> Ralph J.Mayer schrieb folgendes:
>
> >> Kann man doch machen. In der Regel muss man zum ändern des PWs erst
> >> einmal das alte eingeben. Bei dieser Abfrage das alte PW zu speichern
> >> ist nicht so unmöglich.
> >
> > "das alte PW" aber nicht noch die Drei davor. Nächster Versuch.
>
> Es gibt so Dinger, die nennen sich Dateien, da kann man Daten
> reinschreiben. Die bleiben da ganz lange. Da passen sogar die 100 PWs
> vorher rein.
Du sollst keine Passwoerter im Klartext speichern, egal ob alt
oder aktuell.
Des weiteren, je restriktiver die Politik, desto wahrscheinlicher,
dass der User es sich irgendwo aufschreibt weil er sich nicht alle
paar Wochen ein neues Passwort merken kann. Der User will seinen
Job machen, das Merken von Passwoertern ist da stoerend. Wird
es zu stoerend findet er eine Umgehungsmoeglichkeit. Erschwerend
fuer das Merken von sinnfreien Zeichenkombinationen ist, dass
ein User das Password meist nur einmal taeglich braucht, morgens
wenn er sich anmeldet.
Die Idee mit den 4 letzten Passwoertern ist, sobald bekannt,
einfach zu umgehen und du kannst davon ausgehen, dass es
passiert:
<password1>
<password2>
<password3>
<password4>
<password5>
(so gewaehlt, dass sie akzeptiert werden und ab da werden sie
zyklisch verwendet).
Gerrit
Roger Schwentker
> Du bist krank. Oder Admin.
Das "Oder" bitte ich exklusiv zu verstehen.
Gruß
Roger Schwentker
rschw...@regioconnect.net
--
Döner for one. [TV-Empfehlung in "Was guckst Du"]
Roger Schwentker
> Einen Spruch und das zugehörige Verfahren *können* sich die meisten
> Leute merken, wenn sie nur wollen.
Sie *können* sich das Kennwort auch auf einen Zettel schreiben
und unter die Tastatur kleben, wenn sie hinreichend unwillig
sind.
Liebe Kolleginnen und Kollegen, seien wir ehrlich! Für Luser
gibt es nur zwei Lösungen außer sozialverträglich zu sterben:
Chipkarten und/oder biometrische Verfahren.
Mein Problem ist aber, daß irgendwann auch ich sowas vor die
Nase gesetzt bekomme, wenn ich vorher die Luser damit abge-
fertigt habe. _DAS_ ist das ärgerliche.
Gerrit Heitsch
>
> Liebe Kolleginnen und Kollegen, seien wir ehrlich! Für Luser
> gibt es nur zwei Lösungen außer sozialverträglich zu sterben:
> Chipkarten
Nein, die kann man verlieren und dann ist erst recht die
Hoelle los bis der Verlust gemeldet wird. Oder die Karte
gibt den Geist auf wenn es besonders laestig ist (Hardware
tut sowas).
> und/oder biometrische Verfahren.
Besser nicht. Sobald einer rausbekommt, wie man das
ueberlistet hat der User bzw. du ein Problem. Einen
Fingerabdruck kann man nicht aendern. Fingerabdruecke
hinterlaesst man ueberall, es ist nur eine Frage des
Aufwandes daraus etwas zu machen, was der Scanner
akzeptiert.
Gerrit
Bodo Eggert
> Die Idee mit den 4 letzten Passwoertern ist, sobald bekannt,
> einfach zu umgehen und du kannst davon ausgehen, dass es
> passiert:
>
> <password1>
[...]
> <password5>
>
> (so gewaehlt, dass sie akzeptiert werden und ab da werden sie
> zyklisch verwendet).
Der Nebeneffekt ist, daß auch bei gutwilligen Usern _nur_ diese PWs
verwendet werden und Fehleingaben, weil häufig, nicht auffallen.
Ein erspähtes Passwort verschafft also nicht nur sofort Zugriff auf
$DIENST, sondern im Laufe von 5 Monaten Zugriff auf _jeden_ Dienst.
--
Dumme Fragen zum Tage
Gibt es in einer Teefabrik Kaffeepausen?
Niels S. Richthof
>> und/oder biometrische Verfahren.
>
>Besser nicht. Sobald einer rausbekommt, wie man das
>ueberlistet hat der User bzw. du ein Problem.
Einige User haben schon rausfinden müssen, daß der passende Finger
durch $BÖSER_BUBE abgeschnitten werden kann.
Dann lieber Paßwort, damit es keine Probleme beim Nasebohren geben
kann.
cu
Niels
--
Ich frage mich in letzter Zeit häufiger, woher Scott Adams weiss, wie
es bei uns in der Firma zugeht.
Th. Wallutis in d.a.s.r.
[ ni...@richthof.de | http://www.richthof.de/niels | PGP -> Homepage ]
Carsten Krueger
>NAK. 26^n oder 52^n ist deutlich weniger als (ca. 90)^n
Ja und?
Übrigens ca. 90 ist unrealistisch. Exotische Sonderzeichen sind keine
gute Idee. Space und Satzzeichen sind allermeist genug.
Brigitte Altmeyer
Kim Huebel wrote:
> Holger Marzen wrote:
>
> Mich tat nur verwundern, wie interessiert mir dieser Student meiner
> Präambel lauschte um dann nach und nach exakt die Dinge zu tun, die ich
> vorher gesagt habe, die er _nicht_ tun sollte *g*.
works as desingn^wexpected.
Oder etwa nicht?
> Dieser Fall tritt leider in letzter Zeit immer häufiger auf, weshalb ich
> wohl dazu übergehe, mir die Präambel zu sparen, die Leute machen lasse
> und dann die Fehler erkläre (machen muss ich es eh, die hören ja einfach
> nicht zu :-)
Und was ließ Dich an diesem sonnigen Freitag von dieser goldenen Regel
abweichen? Mut zum Risiko oder echte Hoffnung?
ciao
Brigitte
--
Dies ist keine Signatur.
Brigitte Altmeyer
Erhard Schwenk wrote:
> Kim Huebel wrote:
>> Holger Marzen wrote:
> Geht einfacher. Nach jedem Fehler gibts erst Hilfe, wenn er die Präambel
> 3x abgeschrieben hat. Handschriftlich. Vor Ort.
>
> Wenn die Leute sich dämlich anstellen wie Erstkläßler, wollen sie
> offensichtlich auch wie solche behandelt werden. Und wehe, es geht einer
> aufs Klo, ohne zu fragen.
Kommentarlos das Sparschwein hinstellen. Leicht verständlich und effektiv.
Und jeder hat was davon *g*
ciao
Brigitte
Die genau dies seit Jahren vorhat und nur von mäkeligen Chefs davon
abgehalten wird.
Sonst wäre sie auch schon lange bei Karibik-recovery
Rico Gloeckner
> Einige User haben schon rausfinden müssen, daß der passende Finger
> durch $BÖSER_BUBE abgeschnitten werden kann.
... der dann kuenstlich durchblutet werden muss?
Weitaus effektiver scheint die Methode eines Latex-Fingerabdrucks zu
sein, bei ausreichender Duennheit wird zwar der Fingerabdruck vom
Latex-Abzug benutzt, aber die erforderliche Waerme (?) kommt vom echten
Finger.
Zu schade, dass ich erst was davon mitbekommen habe, als das Camp schon
vorbei war. (Auf dem Camp wurde die Methode ohne Waerme demonstriert)
"Positiver" Nebeneffekt: Das Opfer bemerkt in den meisten Faellen
nichtmal, dass jemand in seine Accounts eindringen kann.
(Ein Fingerabdruck von einer Flasche ziehen und davon einen
Latex-Abdruck machen ist deutlich unauffaelliger als jemandem den Finger
abzuschneiden.)
Marc Haber
>Kim Huebel wrote:
>> Admin: nein.. erst nach XX Tagen wieder.
>
>Das ist allerdings auch so ne Begrenzung, deren Sinn sich mir persönlich
>entzieht.
Altes Passwort war "grzlbrmpf". Passwort expired. $LUSER ändert es auf
"zrmblm", und gleich wieder zurück zu "grzlbrmpf".
Ergebnis? "Ich kann mein altes Passwort ja doch behalten"
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Marc Haber
>Viel zu umständlich. ``dd if=/dev/random count=6 bs=1 2>/dev/null |
>recode ../base64'' tut's auch.
Man apg.
Erhard Schwenk
> Erhard Schwenk <esch...@fto.de> wrote:
>>NAK. 26^n oder 52^n ist deutlich weniger als (ca. 90)^n
> Ja und?
Was ist wohl der Sinn eines Passwortes?
> Übrigens ca. 90 ist unrealistisch. Exotische Sonderzeichen sind keine
> gute Idee. Space und Satzzeichen sind allermeist genug.
26 Buchstaben. Groß und Klein --> 52. Dazu 3 Umlaute x2 und das ß. Macht
59. Dann 10 Ziffern. Sind wir bei 69. 10 Sonderzeichen liegen über den
Zifferntasten, weitere 14 unmittelbar auf der Tastatur bewuem erreichbar
(,;.:-_<>*+#'^°), dazu Leerzeichen, die Sonderzeichen auf dem
Ziffernblock und mit alt-gr erreichbare Zeichen (@|\€{[]}).
Die kann man bis auf evtl. das € alle problemlos benutzen.
Andersrum: der ASCII-Zeichensatz kennt 127 Zeichen, davon 32
Steuerzeichen - der Rest ist ohne Weiteres benutzbar. Von Zeichen über
128 mal nicht gesprochen (ok, die Umlaute und das ß gehören dazu).
Gerrit Heitsch
>
>
> "Positiver" Nebeneffekt: Das Opfer bemerkt in den meisten Faellen
> nichtmal, dass jemand in seine Accounts eindringen kann.
> (Ein Fingerabdruck von einer Flasche ziehen und davon einen
> Latex-Abdruck machen ist deutlich unauffaelliger als jemandem den Finger
> abzuschneiden.)
Noch besser... Das Opfer wird Probleme haben zu erklaeren warum
trotz '100% sicherer Biometrik' jemand an sein Bankkonto
rankonnte. Das duerfte noch schwerer sein als mit der
PIN-Problematik. Wobei man eine PIN neu vergeben kann,
einen Fingerabdruck nicht.
Gerrit
Alexander Schreiber
>Carsten Krueger wrote:
>> Erhard Schwenk <esch...@fto.de> wrote:
>
>>>NAK. 26^n oder 52^n ist deutlich weniger als (ca. 90)^n
>> Ja und?
>
>Was ist wohl der Sinn eines Passwortes?
>
>> Übrigens ca. 90 ist unrealistisch. Exotische Sonderzeichen sind keine
>> gute Idee. Space und Satzzeichen sind allermeist genug.
>
>26 Buchstaben. Groß und Klein --> 52. Dazu 3 Umlaute x2 und das ß. Macht
>59. Dann 10 Ziffern. Sind wir bei 69. 10 Sonderzeichen liegen über den
>Zifferntasten, weitere 14 unmittelbar auf der Tastatur bewuem erreichbar
>(,;.:-_<>*+#'^°), dazu Leerzeichen, die Sonderzeichen auf dem
>Ziffernblock und mit alt-gr erreichbare Zeichen (@|\€{[]}).
>
>Die kann man bis auf evtl. das € alle problemlos benutzen.
Sonderzeichen sind bis auf Ausnahmen ggf. eine boese Falle.
man keymap
>Andersrum: der ASCII-Zeichensatz kennt 127 Zeichen, davon 32
>Steuerzeichen - der Rest ist ohne Weiteres benutzbar. Von Zeichen über
>128 mal nicht gesprochen (ok, die Umlaute und das ß gehören dazu).
Bitte immer daran denken, das nicht alle Tastaturen und insbesondere
Keymaps der Welt identisch sind. Passworte mit z.B. deutschen
Sonderzeichen sind prima, wenn man z.B. von einer US-Tastatur aus
einloggen muss ...
Bodo Eggert
[Fingerabdruckscanner]
> Weitaus effektiver scheint die Methode eines Latex-Fingerabdrucks zu
Das kenne ich mit Gelatine.
Oder auch: Fingerabdruck ausdrucken, Tesafilm drüber und anlecken.
--
Dumme Fragen zum Tage
Gibt's ein anderes Wort für Synonym?
Dietz Proepper
> Niels S Richthof wrote:
>> Einige User haben schon rausfinden müssen, daß der passende Finger
>> durch $BÖSER_BUBE abgeschnitten werden kann.
>
> ... der dann kuenstlich durchblutet werden muss?
500ml Blut, Blutpumpe, O2/CO2-Tauscher. Kostenpunkt < ? 5000.
Oder (billig), 5l Blut, Blutpumpe und Abfallbeutel.
Dietz
Dietz Proepper
> Carsten Krueger wrote:
>
>> Nein, das ist Userverarschung wenn man beliebig lange oder sagen wir
>> wenigstens Passwörter mit mehr als 12 Zeichen wählen kann.
>
> NAK. 26^n oder 52^n ist deutlich weniger als (ca. 90)^n
Ist das hier jetzt der Kindergarten oder was?!
Aber es ist ein schöner Sonntag Morgen, ich will mich _nicht_ aufregen.
Daher
<explain mode="11. Klasse">Frage: für welche n1, n2 E N+ ist 26^n1 >= 90^n2?
Antwort: 26^n1 >= 90^n2. Aufgrund der Vorbedingung spricht wenig gegen ein
<=> log(26^n1) >= log(90^n1). Hieraus gewinnen wir eine etwas vereinfachte
Formulierung: n1 log(26) >= n2 log(90). Wie man nun unschwer erkennen kann
gilt n1 >= n2 log(90)/log(26). Damit erhalten wir die richtige Antwort: mit
der ca. 1.4 fache Passwortlänge wird unser Passwort, basierend auf a-z
genauso sicher wie eines mit gaaanz viel krass geheimen Sonderzeichen.
</explain>
Den eigentlich überzeugendsten Vorteil eines Passworts, auf {a-z, A-Z, 0-9}*
aufgebaut, muß ich hoffentlich nicht erwähnen.
Dietz
Marc Haber
>Wer Passworte anderer Leute im Klartext speichert (z.B. als Teil
>eines Authentisierungssystems), der gehoert aufs Rad geflochten,
>in siedendes Oel getaucht, die Zunge ausgerissen, die Augen
>ausgestochen, die Haende abgehackt und hinter Pferden durch die Stadt
>geschleift. Danach sollte man ihm wirklich wehtun.
Sowohl Radiator als auch IIRC FreeRadius können es nicht anders. Die
Kollegen empfinden das übrigens als durchaus recovery.
Marc Haber
>Da haben es meine Luser viel einfacher: wenn ich der Meinung bin, es
>müßte mal wieder neue Passwords geben (z.B. weil jemand so blöd war,
>seins auf öffentlich zugänglichen Windoof-Kisten zu speichern) dann wird
>apg angeworfen und jeder bekommt von mir eins zugeteilt. Beim dritten
>Mal ist das neue PW beim Chef abzuholen.
Was machst Du, wenn das Problem der Chef _ist_?
Btdt, die Geschäftsführer in meiner noch-Firma sind die einzigen
Mitarbeiter, deren POP3-Postfächer auf dem Kundenserver liegen, damit
sie ihre Mail unverschlüsselt von ihrem Konkurrenzzugang abholen
können.
Ja, ein VPN-Zugang ins Officenetz ist eingerichtet und funktioniert.
Wird nur nicht benutzt.
Dietz Proepper
> Erhard Schwenk <esch...@fto.de> wrote:
>> Einen Spruch und das zugehörige Verfahren *können* sich die meisten
>> Leute merken, wenn sie nur wollen.
>
> Sie *können* sich das Kennwort auch auf einen Zettel schreiben
> und unter die Tastatur kleben, wenn sie hinreichend unwillig
> sind.
Weswegen sollte dies einen kümmern? Wenn man's zufällig mitbekommt gibt's
ein Schlachtfest. Aber, außer bei den obligatorischen Betriebsbegehungen
macht man sich doch nicht den Aufwand.
> Liebe Kolleginnen und Kollegen, seien wir ehrlich! Für Luser
> gibt es nur zwei Lösungen außer sozialverträglich zu sterben:
> Chipkarten und/oder biometrische Verfahren.
Die dritte Variante - beim Erhalt neuer Luser vor ihren Augen eine (1)
rituelle Tötung nach dem Blutkanon zelebrieren. Sie dann darauf hinweisen
daß man sowas nicht gerne tue, irgendwer den Job aber machen müsse. Hat
bisher *immer* funktioniert. Bzw. terminiert nach sehr wenig Iterationen.
> Mein Problem ist aber, daß irgendwann auch ich sowas vor die
> Nase gesetzt bekomme, wenn ich vorher die Luser damit abge-
> fertigt habe. _DAS_ ist das ärgerliche.
Naja. Für Leute welche im Buch Der Mächtigen Passwörter nicht bis zum
Kapitel "0 und 1 - die Quelle aller Macht." gekommen sind dünkt mir dies
eine angemessene Bestrafung...
Ach, wie ist das Leben schön wenn man Luserhüten nur nebenbei macht und
damit nur bei Leuten welche verstanden haben daß hierbei ein gutgeschärftes
(L)ART (incl. der Erlaubnis, es freizügig zu verwenden;) sehr hilfreich
ist.
Dietz
Dietz Proepper
> Andreas Henicke <hen...@t-online.de> wrote:
>> Du bist krank. Oder Admin.
>
> Das "Oder" bitte ich exklusiv zu verstehen.
"Admin" ist, genauso wie "Coder", keine Berufsbezeichnung sondern eine
Diagnose.
Dietz Proepper
> Da haben es meine Luser viel einfacher: wenn ich der Meinung bin, es
> müßte mal wieder neue Passwords geben (z.B. weil jemand so blöd war,
> seins auf öffentlich zugänglichen Windoof-Kisten zu speichern) dann wird
> apg angeworfen und jeder bekommt von mir eins zugeteilt. Beim dritten
> Mal ist das neue PW beim Chef abzuholen.
Viel Spaß wenn Du bei derartigen Verfahren einem Deiner Luser mal
irgendetwas beweisen möchtest.
Dietz
Holger Marzen
> Erhard Schwenk wrote:
>
>> Kim Huebel wrote:
>>> Holger Marzen wrote:
>
>> Geht einfacher. Nach jedem Fehler gibts erst Hilfe, wenn er die Präambel
>> 3x abgeschrieben hat. Handschriftlich. Vor Ort.
>>
>> Wenn die Leute sich dämlich anstellen wie Erstkläßler, wollen sie
>> offensichtlich auch wie solche behandelt werden. Und wehe, es geht einer
>> aufs Klo, ohne zu fragen.
>
> Kommentarlos das Sparschwein hinstellen. Leicht verständlich und effektiv.
> Und jeder hat was davon *g*
Vor allem der Rechtsanwalt, der vom Student über Papis
Rechtsschutzversicherung auf die Uni gehetzt wird.
Holger Marzen
> Till Potinius <Till_P...@ngi.de> wrote:
>>Ralph J.Mayer schrieb folgendes:
>>
>>>> Kann man doch machen. In der Regel muss man zum ändern des PWs erst
>>>> einmal das alte eingeben. Bei dieser Abfrage das alte PW zu speichern
>>>> ist nicht so unmöglich.
>>>
>>> "das alte PW" aber nicht noch die Drei davor. Nächster Versuch.
>>
>>Es gibt so Dinger, die nennen sich Dateien, da kann man Daten
>>reinschreiben. Die bleiben da ganz lange. Da passen sogar die 100 PWs
>>vorher rein.
>
> Wer Passworte anderer Leute im Klartext speichert (z.B. als Teil
> eines Authentisierungssystems), der gehoert aufs Rad geflochten,
> in siedendes Oel getaucht, die Zunge ausgerissen, die Augen
> ausgestochen, die Haende abgehackt und hinter Pferden durch die Stadt
> geschleift. Danach sollte man ihm wirklich wehtun.
Bevor man den Idioten gelartet hat, der die Leute bei ihrem Passwort
mehr als ein Minimum gegängelt hat. Alles was sich nicht algorithmisch
merken und sich nicht in monatlichem Rhythmus ändern lässt, ist für die
Tonne. Ein annehmbares Beispiel ist murx_01, 02_murx, murx_03 für
Januar, Februar. März. Wer es komplizierter macht, ist direkt dafür
verantwortlich, dass die Leute sich die Kennwörter auf einem
Schmierzettel oder in einem Kennwortmerkprogramm (dessen Masterpasswort
ganz anderen Regeln gehorcht, mämlich nie geändert wird) hinterlegen.
Dass immer irgendwelche realitätsfremde Spinner meinen, sie müssten "in
Security" machen. Unglaublich. Das sind die BWLer der IT. Murxen ohne zu
verstehen.
Holger Marzen
> Ralph J.Mayer schrieb folgendes:
>
>>> Kann man doch machen. In der Regel muss man zum ändern des PWs erst
>>> einmal das alte eingeben. Bei dieser Abfrage das alte PW zu speichern
>>> ist nicht so unmöglich.
>>
>> "das alte PW" aber nicht noch die Drei davor. Nächster Versuch.
>
> Es gibt so Dinger, die nennen sich Dateien, da kann man Daten
> reinschreiben. Die bleiben da ganz lange. Da passen sogar die 100 PWs
> vorher rein.
Und auf Papierzettel auch.
Gerrit Heitsch
>
> a...@usenet.thangorodrim.de (Alexander Schreiber) wrote:
> >Wer Passworte anderer Leute im Klartext speichert (z.B. als Teil
> >eines Authentisierungssystems), der gehoert aufs Rad geflochten,
> >in siedendes Oel getaucht, die Zunge ausgerissen, die Augen
> >ausgestochen, die Haende abgehackt und hinter Pferden durch die Stadt
> >geschleift. Danach sollte man ihm wirklich wehtun.
>
> Sowohl Radiator als auch IIRC FreeRadius können es nicht anders. Die
> Kollegen empfinden das übrigens als durchaus recovery.
Zeit fuer einen Wechsel der Software?
Natuerlich ist es schoen fuer einen Admin wenn er im Klartext
nachschlagen kann. Nur ist es moeglich, dass das, unbemerkt
von ihm, auch andere tun.
Gerrit
Jonathan Sauer
> Rico Gloeckner <m...@daheim.ukeer.de> wrote:
>
> [Fingerabdruckscanner]
>
> > Weitaus effektiver scheint die Methode eines Latex-Fingerabdrucks zu
>
> Das kenne ich mit Gelatine.
Siehe auch <http://www.counterpane.com/crypto-gram-0205.html#5> und die
dort aufgeführten Links.
Gruß, Jonathan
Holger Marzen
> Till Potinius <Till_P...@ngi.de> wrote:
>>Ralph J.Mayer schrieb folgendes:
>>
>>>> Kann man doch machen. In der Regel muss man zum ändern des PWs erst
>>>> einmal das alte eingeben. Bei dieser Abfrage das alte PW zu speichern
>>>> ist nicht so unmöglich.
>>>
>>> "das alte PW" aber nicht noch die Drei davor. Nächster Versuch.
>>
>>Es gibt so Dinger, die nennen sich Dateien, da kann man Daten
>>reinschreiben. Die bleiben da ganz lange. Da passen sogar die 100 PWs
>>vorher rein.
>
> Wer Passworte anderer Leute im Klartext speichert (z.B. als Teil
> eines Authentisierungssystems), der gehoert aufs Rad geflochten,
> in siedendes Oel getaucht, die Zunge ausgerissen, die Augen
> ausgestochen, die Haende abgehackt und hinter Pferden durch die Stadt
> geschleift. Danach sollte man ihm wirklich wehtun.
Bevor man den Idioten gelartet hat, der die Leute bei ihrem Passwort
mehr als ein Minimum gegängelt hat. Alles was sich nicht algorithmisch
merken und sich nicht in monatlichem Rhythmus ändern lässt, ist für die
Tonne. Ein annehmbares Beispiel ist murx_01, 02_murx, murx_03 für
Januar, Februar. März. Wer es komplizierter macht, ist direkt dafür
verantwortlich, dass die Leute sich die Kennwörter auf einem
Schmierzettel oder in einem Kennwortmerkprogramm (dessen Masterpasswort
ganz anderen Regeln gehorcht, nämlich nie geändert wird) hinterlegen.
Severin Glaeser
> Vor allem der Rechtsanwalt, der vom Student ueber Papis
> Rechtsschutzversicherung auf die Uni gehetzt wird.
Mit welcher Begruendung? Benachteiligung geistig Minderbemittelter?
Wenn Sohnemann zu bloed ist die Regeln zu akzeptieren/ mit den Regeln
nicht klarkommt kann er sich immernoch ne andere Uni suchen.
-Severin Glaeser-
Uwe Ohse
>Zeit fuer einen Wechsel der Software?
Du möchtest einen Moment darüber nachdenken, warum die Passwörter
unverschlüsselt auf der Platte liegen.
>Natuerlich ist es schoen fuer einen Admin wenn er im Klartext
>nachschlagen kann. Nur ist es moeglich, dass das, unbemerkt
>von ihm, auch andere tun.
Du möchtest Dir etwas Ahnung anlesen.
Gruß, Uwe
Holger Marzen
Nö. Geldforderung für eine bereits bezahlte (direkt oder per
Sozialbeitrag) Leistung. Als Student ist man zwar per definitionem der
Bittsteller, der sich alles gefallen lassen muss, aber bei direkten
Geldforderungen ist das Maß mehr als überschritten.
Erhard Schwenk
> Bevor man den Idioten gelartet hat, der die Leute bei ihrem Passwort
> mehr als ein Minimum gegängelt hat. Alles was sich nicht algorithmisch
> merken und sich nicht in monatlichem Rhythmus ändern lässt, ist für die
> Tonne. Ein annehmbares Beispiel ist murx_01, 02_murx, murx_03 für
> Januar, Februar. März.
Der Vorschlag ist von jedem Skriptkiddy innerhalb ziemlich kurzer Zeit
mit popeliger Cracklib zu knacken, man braucht dazu lediglich eine
geringfügig intelligentere lexikalische Attacke als bloßes Durchprobieren.
Noch unbrauchbarer wirds unter der Annahme, daß ein älteres Passwort
bereits kompromittiert ist. Die Annahme, daß ein Passwort nach einer
bestimmten Zeit als kompromittiert anzusehen ist, ist ja wohl unstrittig
der Grund für den Wechsel.
Unter dieser Annahme kann man in diesem Fall das Passwort genausogut
gleich ganz weglassen.
> Wer es komplizierter macht, ist direkt dafür
> verantwortlich, dass die Leute sich die Kennwörter auf einem
> Schmierzettel oder in einem Kennwortmerkprogramm (dessen Masterpasswort
> ganz anderen Regeln gehorcht, nämlich nie geändert wird) hinterlegen.
Nein. Dafür sind diese Leute verantwortlich. Und werden entsprechend
geLARTet, wenn sie dabei erwischt werden oder gar deshalb Schäden
entstehen. Die ausgegebenen Richtlinien sind klar, eindeutig und
unmißverständlich, jeder hat sie unterschrieben. Wer sie nicht erfüllen
kann, hat den falschen Arbeitsplatz und muß sich eben da hinversetzen
lassen, wo diese Anforderung nicht gestellt wird.
Alle "das ist zu kompliziert"-Rufern seien mal daran erinnert, darüber
nachzudenken, wozu Passwörter eigentlich da sind.
Inwiefern können Trivial-Passwörter wie die oben genannten diesen Zweck
erfüllen, wenn man die Software, selbige innert kürzester Zeit zu
knacken, schon mit jeder Linux-Distribution runterladen kann?
Also entweder wir brauchen ein Passwort, um ein ganz bestimmtes Ziel zu
erreichen. Dann muß dieses Passwort so aussehen, daß es das Ziel auch
erreicht. Oder wir brauchen keines, dann sollten wir die
Zugangssicherung gleich ganz weglassen und uns und den Angreifern den
ohnehin sinnlosen Aufwand sparen.
Severin Glaeser
>> Mit welcher Begruendung? Benachteiligung geistig Minderbemittelter?
>> Wenn Sohnemann zu bloed ist die Regeln zu akzeptieren/ mit den Regeln
>> nicht klarkommt kann er sich immernoch ne andere Uni suchen.
> Noe. Geldforderung fuer eine bereits bezahlte (direkt oder per
> Sozialbeitrag) Leistung. Als Student ist man zwar per definitionem der
> Bittsteller, der sich alles gefallen lassen muss, aber bei direkten
> Geldforderungen ist das Mass mehr als ueberschritten.
Bitte? Weil der Depp nicht das fucking manual readen will, muss man
einen Mitarbeiter abstellen. Der erhebt dann fuer seine Leistung (das
erkaeren wie es geht) eine Verwaltungspauschale.
-Severin Glaeser-
Gerrit Heitsch
>
> Holger Marzen wrote:
>
> > Wer es komplizierter macht, ist direkt dafür
> > verantwortlich, dass die Leute sich die Kennwörter auf einem
> > Schmierzettel oder in einem Kennwortmerkprogramm (dessen Masterpasswort
> > ganz anderen Regeln gehorcht, nämlich nie geändert wird) hinterlegen.
>
> Nein. Dafür sind diese Leute verantwortlich. Und werden entsprechend
> geLARTet, wenn sie dabei erwischt werden oder gar deshalb Schäden
> entstehen. Die ausgegebenen Richtlinien sind klar, eindeutig und
> unmißverständlich, jeder hat sie unterschrieben. Wer sie nicht erfüllen
> kann, hat den falschen Arbeitsplatz und muß sich eben da hinversetzen
> lassen, wo diese Anforderung nicht gestellt wird.
Du vergisst mal wieder eines: Die Aufgabe des Users ist es nicht
sich Passwoerter wie 'ow?3_qL$x' zu merken sondern seinen Job zu
machen. Wenn du ihn dann auch noch alle 30 Tage ein neues solches
Passwort verpasst, wird es sich die Mehrzahl aufschreiben, das
kann ich dir garantieren. Wo dieser Zettel dann gelagert wird ist
individuell verschieden. Teilweise wird es im PDA zu finden
sein.
Du bist Admin, dein Job ist es die Systeme am Laufen zu halten
damit die Benutzer ihren Job machen koennen. Schliesslich sind
sie es, mit denen das Unternehmen Geld verdient von dem unter
anderem du bezahlt wirst.
> Inwiefern können Trivial-Passwörter wie die oben genannten diesen Zweck
> erfüllen, wenn man die Software, selbige innert kürzester Zeit zu
> knacken, schon mit jeder Linux-Distribution runterladen kann?
Bei euch liegen die Hashes fuer jeden zugreifbar auf den Platten
damit sie auch jeder runterladen und zuhause durch den Cracker
laufen lassen kann? Interessant...
Gerrit
Holger Marzen
> Holger Marzen wrote:
>
>
>> Bevor man den Idioten gelartet hat, der die Leute bei ihrem Passwort
>> mehr als ein Minimum gegängelt hat. Alles was sich nicht algorithmisch
>> merken und sich nicht in monatlichem Rhythmus ändern lässt, ist für die
>> Tonne. Ein annehmbares Beispiel ist murx_01, 02_murx, murx_03 für
>> Januar, Februar. März.
>
> Der Vorschlag ist von jedem Skriptkiddy innerhalb ziemlich kurzer Zeit
> mit popeliger Cracklib zu knacken, man braucht dazu lediglich eine
> geringfügig intelligentere lexikalische Attacke als bloßes Durchprobieren.
Gute Systeme sperren nach einer bestimmten Anzahl von Fehlversuchen den
User und lassen nicht einfach so eine Umgehung des normalen Logins zu
Crackzwecken zu. Da ist 02_murx oder le-03-na schon ein hinreichend
gutes Kennwort. Admins sollten besser an ihren Kisten ansetzen anstatt
die User mit "tollen" Passwörtern zu nerven.
Andreas Krennmair
> Gute Systeme sperren nach einer bestimmten Anzahl von Fehlversuchen den
> User und lassen nicht einfach so eine Umgehung des normalen Logins zu
> Crackzwecken zu.
Nein, damit kann man toll Denial of Service machen.
mfg, ak
Alexander Schreiber
Nur sind eben solche Passwoerter ein gefundenes Fressen fuer jedes auch
nur halbwegs seinen Zweck erfuellende Crackprogramm. Man sollte auf
sicheren Passwoertern bestehen, den Leuten aber auch erklaeren, wie man
sowas baut und sich _merkt_. Meine Standardlitanei dazu ging immer in
die Richtung: "Keine Namen oder Worte, die im Woerterbuch stehen,
einfach nur Wort + Zahl oder so ist genau schlecht. Am einfachsten
irgendeinen Spruch mit 6 .. 8 Worten merken, davon die z.B. die
Anfangsbuchstaben, am Ende ein Sonderzeichen, z.B. Punkt oder
Ausrufezeichen." Manchmal merken sich die Leute sowas und produzieren
dann z.B.
"DvPkimm!" == "Dieses verdammte Passwort kann ich mir merken!"
Wer unbedingt den Namen seiner Katze als Passwort verwenden will, dem
kann man das mit technischen Mitteln auch nicht abgewoehnen, da kann man
nur versuchen, die Leute einigermassen auf brauchbare Merkhilfen zu
dressieren.
Wobei man die Leute auch durchaus mit technischen Mittel unterstuetzen
kann, z.B. Systemen die ganze Saetze als Passwort akzeptieren und nicht
nur N Zeichen mit N = ziemlich klein.
>Dass immer irgendwelche realitätsfremde Spinner meinen, sie müssten "in
>Security" machen. Unglaublich. Das sind die BWLer der IT. Murxen ohne zu
>verstehen.
Einfach nur strikte Regeln aufstellen bringt nichts - man muss
vernuenftige Regeln aufstellen und es den Leuten moeglichst einfach
machen, sie zu befolgen. Ja, darunter faellt auch, das man halt eine
kurze "Wie baue ich ein sicheres Passwort, das ich mir trotzdem gut
merken kann"-Schulung abhaelt.
Erhard Schwenk
> * On Sun, 24 Aug 2003 12:33:04 +0200, Erhard Schwenk wrote:
>>Holger Marzen wrote:
>>>Bevor man den Idioten gelartet hat, der die Leute bei ihrem Passwort
>>>mehr als ein Minimum gegängelt hat. Alles was sich nicht algorithmisch
>>>merken und sich nicht in monatlichem Rhythmus ändern lässt, ist für die
>>>Tonne. Ein annehmbares Beispiel ist murx_01, 02_murx, murx_03 für
>>>Januar, Februar. März.
>>Der Vorschlag ist von jedem Skriptkiddy innerhalb ziemlich kurzer Zeit
>>mit popeliger Cracklib zu knacken, man braucht dazu lediglich eine
>>geringfügig intelligentere lexikalische Attacke als bloßes Durchprobieren.
> Gute Systeme sperren nach einer bestimmten Anzahl von Fehlversuchen den
> User und lassen nicht einfach so eine Umgehung des normalen Logins zu
> Crackzwecken zu.
BTDT. Ergebnis: Einladung zum DoS gleich mit eingebaut. Soll man nicht
gleich noch "please login with <shutdown> and no Password to shut down
System" auf den Login-Screen schreiben?
Holger Marzen
Man muss die UserIDs ja nicht öffentlich machen. Im RACF (MVS, OS/390,
z/OS) ist die Sperrung nach X Fehlversuchen (oft nur 3) durchaus üblich.
In ganz "normalen" Rechenzentren. Da muss man nicht mal zu
Banken-Rechenzentren gehen.
Holger Marzen
> Holger Marzen <hol...@marzen.de> wrote:
>>
>>Bevor man den Idioten gelartet hat, der die Leute bei ihrem Passwort
>>mehr als ein Minimum gegängelt hat. Alles was sich nicht algorithmisch
>>merken und sich nicht in monatlichem Rhythmus ändern lässt, ist für die
>>Tonne. Ein annehmbares Beispiel ist murx_01, 02_murx, murx_03 für
>>Januar, Februar. März. Wer es komplizierter macht, ist direkt dafür
>>verantwortlich, dass die Leute sich die Kennwörter auf einem
>>Schmierzettel oder in einem Kennwortmerkprogramm (dessen Masterpasswort
>>ganz anderen Regeln gehorcht, nämlich nie geändert wird) hinterlegen.
>
> Nur sind eben solche Passwoerter ein gefundenes Fressen fuer jedes auch
> nur halbwegs seinen Zweck erfuellende Crackprogramm. Man sollte auf
Wer lässt denn Luser an gespeicherte Passörter ran?
Erhard Schwenk
> Erhard Schwenk wrote:
>
>>Holger Marzen wrote:
>>
>> > Wer es komplizierter macht, ist direkt dafür
>>
>>>verantwortlich, dass die Leute sich die Kennwörter auf einem
>>>Schmierzettel oder in einem Kennwortmerkprogramm (dessen Masterpasswort
>>>ganz anderen Regeln gehorcht, nämlich nie geändert wird) hinterlegen.
>>
>>Nein. Dafür sind diese Leute verantwortlich. Und werden entsprechend
>>geLARTet, wenn sie dabei erwischt werden oder gar deshalb Schäden
>>entstehen. Die ausgegebenen Richtlinien sind klar, eindeutig und
>>unmißverständlich, jeder hat sie unterschrieben. Wer sie nicht erfüllen
>>kann, hat den falschen Arbeitsplatz und muß sich eben da hinversetzen
>>lassen, wo diese Anforderung nicht gestellt wird.
>
>
> Du vergisst mal wieder eines: Die Aufgabe des Users ist es nicht
> sich Passwoerter wie 'ow?3_qL$x' zu merken sondern seinen Job zu
> machen.
Das Merken solcher Passwörter gehört zu diesem Job dazu. Unzweifelhaft.
Zugriffssicherheit ohne diese Anforderung ist nicht realisierbar. $LUSER
ist - gesetzlich oder aus betrieblicher Notwendigkeit - verpflichtet,
die ihm anvertrauten Daten und Funktionen vertraulich zu behandeln. Das
IST Job des Users. Sicher hat er auch noch was anderes zu tun, aber das
gehört einfach dazu. Punkt.
> Wenn du ihn dann auch noch alle 30 Tage ein neues solches
> Passwort verpasst, wird es sich die Mehrzahl aufschreiben, das
> kann ich dir garantieren.
Und die Mehrzahl hat Recht? Noe. Abgesehen davon siehe oben - wer beim
Aufschreiben erwischt wird -> maximaler LART. 2-3 Exempel statuieren,
dann ist Ruhe. Wer nur durch Schmerzen lernen will, soll diesen Wunsch
erfüllt bekommen, da bin ich nicht so. Ebenso müssen Leute, die sich wie
im Kindergarten benehmen (*wuäääh* ich will mir aber kein sicheres
Passwort merken) auch so behandelt werden.
> Wo dieser Zettel dann gelagert wird ist
> individuell verschieden. Teilweise wird es im PDA zu finden
> sein.
Auch da sind Stichprobenkontrollen möglich. Beispielsweise durch
unangemeldetes auftauchen "Guten Tag, Security-Check, bitte melden Sie
sich doch mal eben kurz am System an". Zückt $LUSER dann Zettel oder
PDA, hat er sehr wahrscheinlich bereits verloren.
> Du bist Admin, dein Job ist es die Systeme am Laufen zu halten
> damit die Benutzer ihren Job machen koennen.
Richtig. Das ist aber nur möglich *wenn* die Benutzer ihren Job machen.
Korrekter Umgang mit korrekten Passwörtern gehört unzweifelhaft dazu.
Ein Automechaniker ist schließlich auch dafür verantwortlich, daß die
Gasflasche vom Schweißgerät nicht die Werkstatt in die Luft sprengt.
Deshalb gibt es dafür Sicherheitsvorschriften. So wie in der EDV auch.
Die Tatsache, daß manche dieser Sicherheitsvorschriften unbequem sind,
ist keine auch noch so geringe Rechtfertigung gegen dere Umgehung. Im
Gegenteil, wenn einer damit kommt, ist das nicht mehr fahrlässiges
Fehlverhalten, sondern als vorsätzliches.
> Schliesslich sind sie es, mit denen das Unternehmen Geld
> verdient von dem unter anderem du bezahlt wirst.
Das bringt mir nichts, wenn sie mit schlechten Passwörtern dafür sorgen,
daß das Unternehmen dieses Geld gleich wieder durch Angriffe verliert.
Dann werde ich genausowenig bezahlt, im Gegenteil, in diesem Fall wird
man zu mir kommen und fragen, wie sowas passieren konnte.
>>Inwiefern können Trivial-Passwörter wie die oben genannten diesen Zweck
>>erfüllen, wenn man die Software, selbige innert kürzester Zeit zu
>>knacken, schon mit jeder Linux-Distribution runterladen kann?
> Bei euch liegen die Hashes fuer jeden zugreifbar auf den Platten
> damit sie auch jeder runterladen und zuhause durch den Cracker
> laufen lassen kann? Interessant...
Das ist dazu nicht zwingend erforderlich. Es ist allerdings z.B.
durchaus nicht undenkbar, daß ein Angreifer tatsächlich Zugriff auf
diese Hashes erlangt, z.B. weil er in bestimmten Bereichen
Administrationsfunktion hat. Derlei Fälle sind gar nicht so selten.
Heinz-Juergen 'Tom' Keller
> "DvPkimm!" == "Dieses verdammte Passwort kann ich mir merken!"
Erinnert mich an folgende Geschichte:
Vor einigen Jahren war ein Freund mal Admin bei $LANDESAMT in NRW.
Zu seinem Entsetzen mußte er feststellen, daß alle Maschinen der Behörde
(WIN und SCO) das gleiche Admin- bzw. Rootpassword hatten.
Dieses lautete "Wdd" für "Wir dürfen das".
"Das kann man sich wenigsten merken.", war die Begründung.
Ja, das wurde dann doch geändert.
hjk
Alexander Schreiber
Jo, ein bestimmtes $UNIX hat, wenn es als "trusted system" laeuft, auch
eine solche Sperre fuer den root-Account drin. Nach AFAIR 3
Fehlversuchen, sich als root anzumelden wird der root-Account gesperrt.
Wieder freischalten nur nach login ueber serielle Konsole. Ganz tolle
"security defaults".
Gerrit Heitsch
>
> Gerrit Heitsch wrote:
> >
> >
> > Du vergisst mal wieder eines: Die Aufgabe des Users ist es nicht
> > sich Passwoerter wie 'ow?3_qL$x' zu merken sondern seinen Job zu
> > machen.
>
> Das Merken solcher Passwörter gehört zu diesem Job dazu. Unzweifelhaft.
> Zugriffssicherheit ohne diese Anforderung ist nicht realisierbar.
Ist sie mit dieser Anforderung auch nicht. man social_engineering
Du kannst es nur recht schwer machen, aber nicht unmoeglich.
Das Ziel ist es dabei es schwer aber nicht zu laestig zu machen.
> > Wenn du ihn dann auch noch alle 30 Tage ein neues solches
> > Passwort verpasst, wird es sich die Mehrzahl aufschreiben, das
> > kann ich dir garantieren.
>
> Und die Mehrzahl hat Recht? Noe.
Wer spricht hier von Recht? Ich spreche von der Realitaet. Die hat
mit Recht nicht unbedingt was zu tun.
> Abgesehen davon siehe oben - wer beim
> Aufschreiben erwischt wird -> maximaler LART.
Aha... Der User soll also sein neues Password eintippen,
wobei das moeglichst kompliziert sein soll und es sich
dabei gleich merken, so dass er es auch morgen frueh noch
weiss? Kleiner Optimist? Du brauchst deine Passworte dauernd,
der User meist nur einmal taeglich.
> 2-3 Exempel statuieren, dann ist Ruhe.
Scheinbar Ruhe... Ist so wie damals als diverse Manager voller
Ueberzeugung sagten, dass bei ihnen in der Firma kein LINUX
verwendet wuerde waehrend im Datacenter diverse NT-Server
schon lange nach Linux migriert worden waren. Die Aussage
'bei uns haelt sich jeder an die Password Policy' ist aehnlich
zu bewerten.
> (*wuäääh* ich will mir aber kein sicheres
> Passwort merken) auch so behandelt werden.
Wollen ist eine Sache, koennen eine andere. Nicht jeder kann
sich sinnfreie Zeichenkombinationen gleich gut merken. Ich
bekomm das einigermassen hin, ich kenne aber Leute die das
einfach nicht hinbekommen.
> Auch da sind Stichprobenkontrollen möglich. Beispielsweise durch
> unangemeldetes auftauchen "Guten Tag, Security-Check, bitte melden Sie
> sich doch mal eben kurz am System an".
Korrekten Verhalten in diesem Moment:
- Wer sind Sie? Wer ist ihr Chef? Da rufe ich erstmal an ob
Sie das ueberhaupt duerfen.
(Nach Klaerung)
- Umdrehen und wegschauen, Password beim Eintippen mitlesen
gibts nicht.
Muesste eigentlich ganz in deinem Interesse sein, siehe
'social_engineering' weiter oben.
> Zückt $LUSER dann Zettel oder
> PDA, hat er sehr wahrscheinlich bereits verloren.
Da du nicht mitlesen darfst was der User tippt kannst du
das gar nicht mitbekommen.
> > Bei euch liegen die Hashes fuer jeden zugreifbar auf den Platten
> > damit sie auch jeder runterladen und zuhause durch den Cracker
> > laufen lassen kann? Interessant...
>
> Das ist dazu nicht zwingend erforderlich. Es ist allerdings z.B.
> durchaus nicht undenkbar, daß ein Angreifer tatsächlich Zugriff auf
> diese Hashes erlangt, z.B. weil er in bestimmten Bereichen
> Administrationsfunktion hat. Derlei Fälle sind gar nicht so selten.
In dem Falle hast du schon so gut wie verloren da der Angreifer
dann auf dem System root ist und wahrscheinlich mehr gemacht hat
als sich nur eine Kopie der Hashes zu ziehen. Z.B. sich einen
eigenen Account mit root-Rechten besorgt und/oder ein paar
Hintertueren eingebaut hat.
Gerrit
Christopher Eineke
> Und die Mehrzahl hat Recht?
Demokratie ist Scheisse wenn man in der Minderheit ist.
Gruesse,
--
Christopher Eineke
Sebastian Posner
>> Dies ist einer der wenigen legitimen Gründe, das System zu hacken und
>> mit root-Rechten die /etc/shadow oder das Pendant dazu passend zu
>> biegen. Denn irgendwo hört die Sicherheit auf und die Verarschung faengt
>> an.
>
> Mich tat nur verwundern, wie interessiert mir dieser Student meiner
> Präambel lauschte um dann nach und nach exakt die Dinge zu tun, die ich
> vorher gesagt habe, die er _nicht_ tun sollte *g*.
>
> Dieser Fall tritt leider in letzter Zeit immer häufiger auf, weshalb ich
> wohl dazu übergehe, mir die Präambel zu sparen, die Leute machen lasse
> und dann die Fehler erkläre (machen muss ich es eh, die hören ja einfach
> nicht zu :-)
"Regeln zur Passwortänderung:
[Blablablapasswortbildungsregeln]
- Nach dem dritten Fehlversuch wird der Account für einen Monat gesperrt."
Sebastian
--
"Ja der weiße Mann aus Texas / Brät den Teufel heut am Spieß,
Und alle, die ein anderes Lied singen / grillt der Mann im Fegefeuer mit"
Fink feat. Peter Lohmeyer / Bagdad Blues ( Der weiße Mann aus Texas)
Christian Peper
> Erhard Schwenk <esch...@fto.de> schrieb/wrote:
>> Claus Färber wrote:
>>> Viel zu umständlich. ``dd if=/dev/random count=6 bs=1 2>/dev/null |
>>> recode ../base64'' tut's auch.
>> Noe, das kann sich keiner merken.
> He! Nicht beleidigend werden. *Ich* kann mir solche Passwörter merken.
> (Zwar nicht unbegrenzt viele, aber immerhin ausreiched.)
Solange man es regelmässig benutzt kann man sich das sicherlich merken. Ich
musste aber schonmal an eine Kiste ran, die für ein halbes Jahr stillstand.
Da war das Passwort dann so sicher, dass es niemand mehr wusste.
el TruBlu
--
John Hammond: All major theme parks have delays. When they opened Disneyland
in 1956, nothing worked.
Ian Malcolm: Yeah, but John, if the Pirates of the Caribbean breaks down, the
pirates don't eat the tourists.
Alexander Schreiber
Jedes System, welches _immer_ _noch_ out-of-the-fscking-box ohne shadow
oder vergleichbare Mechanismen arbeitet. BTSTCLH.
Holger Marzen
> Andreas Krennmair <net...@synflood.at> wrote:
>>* Holger Marzen <hol...@marzen.de> [de.alt.sysadmin.recovery]:
>>> Gute Systeme sperren nach einer bestimmten Anzahl von Fehlversuchen den
>>> User und lassen nicht einfach so eine Umgehung des normalen Logins zu
>>> Crackzwecken zu.
>>
>>Nein, damit kann man toll Denial of Service machen.
>
> Jo, ein bestimmtes $UNIX hat, wenn es als "trusted system" laeuft, auch
> eine solche Sperre fuer den root-Account drin. Nach AFAIR 3
> Fehlversuchen, sich als root anzumelden wird der root-Account gesperrt.
> Wieder freischalten nur nach login ueber serielle Konsole. Ganz tolle
> "security defaults".
Wollt ihr Security oder wollt ihr Ringelpiez? Supertolle
Kennvorschriften ohne eine maximale Anzahl an Fehlversuchen sind was für
Leute, die den Dicken markieren wollen aber die Sache dann doch nicht
durchziehen. Wie wäre es noch mit einer Personal Firewall auf allen
Servern?
Holger Marzen
> Holger Marzen <hol...@marzen.de> wrote:
>>* On Sun, 24 Aug 2003 14:16:03 +0200, Alexander Schreiber wrote:
>>
>>> Holger Marzen <hol...@marzen.de> wrote:
>>>>
>>Wer lässt denn Luser an gespeicherte Passörter ran?
>
> Jedes System, welches _immer_ _noch_ out-of-the-fscking-box ohne shadow
> oder vergleichbare Mechanismen arbeitet. BTSTCLH.
Welche denn?
Alexander Schreiber
>Kim Huebel meinte kundzutun:
>
>>> Dies ist einer der wenigen legitimen Gründe, das System zu hacken und
>>> mit root-Rechten die /etc/shadow oder das Pendant dazu passend zu
>>> biegen. Denn irgendwo hört die Sicherheit auf und die Verarschung faengt
>>> an.
>>
>> Mich tat nur verwundern, wie interessiert mir dieser Student meiner
>> Präambel lauschte um dann nach und nach exakt die Dinge zu tun, die ich
>> vorher gesagt habe, die er _nicht_ tun sollte *g*.
>>
>> Dieser Fall tritt leider in letzter Zeit immer häufiger auf, weshalb ich
>> wohl dazu übergehe, mir die Präambel zu sparen, die Leute machen lasse
>> und dann die Fehler erkläre (machen muss ich es eh, die hören ja einfach
>> nicht zu :-)
>
>"Regeln zur Passwortänderung:
>
>[Blablablapasswortbildungsregeln]
>
>- Nach dem dritten Fehlversuch wird der Account für einen Monat gesperrt."
Schoen fuer Dich, wenn Du in einer Umgebung arbeitest, wo derartige
Regeln durchsetzbar sind. Woanders kommt in solchen Faellen der
entsprechende Chef, beschwert sich bei Deinem Chef (oder dessen Chef)
und der Account ist ganz schnell wieder aktiv.
Alexander Schreiber
Alles schoen und gut fuer User Accounts. Nur wenn man schon den
root-Account nach x Fehlversuchen sperrt, dann sollte man nicht
gleichzeitig direkte remote logins als root erlauben[0], weil einem sonst
jedes Spielkind den root-Account sperren kann - und jedesmal erst via
serielle auf die Kiste nervt, zumal manche Dinge per serieller auf
diesen Systemen nicht machbar sind[2].
Ja, das war Lieferzustand von $HERSTELLER.
>Wie wäre es noch mit einer Personal Firewall auf allen
>Servern?
Du wirst lachen, im Maschineninformationsformular, das wir zu diesen
Kisten ausfuellen sollten stand was von Firewall (und auch von
Virenschutzprogramm). Theoretisch waere das sogar baubar, es gibt eine
Portierung von IPFilter auf die Systeme - allerdings muesste ich dann
erstmal zum naechsten Autozubehoerhaendler, Fuchsschwaenze und
Unterbodenneonbeleuchtung fuer die Server kaufen.
Man liest sich,
Alex.
[0] Via telnet. Und rsh. [1]
[1] beides im von uns neu gebauten Setup totgelegt. Nur noch ssh. Ruhe ist.
[2] Admintools, deren Textmodusinterfaces per 9600 nicht benutzbar sind
Alexander Schreiber
>* On Sun, 24 Aug 2003 16:47:48 +0200, Alexander Schreiber wrote:
>
>> Holger Marzen <hol...@marzen.de> wrote:
>>>* On Sun, 24 Aug 2003 14:16:03 +0200, Alexander Schreiber wrote:
>>>
>>>> Holger Marzen <hol...@marzen.de> wrote:
>>>>>
>>>Wer lässt denn Luser an gespeicherte Passörter ran?
>>
>> Jedes System, welches _immer_ _noch_ out-of-the-fscking-box ohne shadow
>> oder vergleichbare Mechanismen arbeitet. BTSTCLH.
>
>Welche denn?
HP-UX 11i
Jaja, trusted system, ich weiss.
Anders Henke
>> Admin: ja... sie dürfen aber auch schon früher das Passwort ändern.
>>
>> Student: ah... auch jetzt gleich schon?
>>
>> Admin: nein.. erst nach XX Tagen wieder.
> Das ist allerdings auch so ne Begrenzung, deren Sinn sich mir persönlich
> entzieht.
Gaaanz einfach: kennst du nicht die User, die ihr Passwort im
vorgegebenen Interval auf "etwas neues" aendern, um es dann gleich
danach wieder auf das alte Passwort zurueckzusetzen?
Wenn dein Passwort-Management-System keine History gegen Passwort-Recycling
mitfuehrt, ist "erst nach XX Tagen wieder aenderbar" eine relativ gut
funktionierende Alternative.
Anders
--
http://sysiphus.de/
Marc Haber
>Marc Haber wrote:
>> Sowohl Radiator als auch IIRC FreeRadius können es nicht anders. Die
>> Kollegen empfinden das übrigens als durchaus recovery.
>
>Zeit fuer einen Wechsel der Software?
Zeig mir einen RADIUS-Server, der Radiator und/oder FreeRadius an
Flexibilität auch nur nahe kommt. Stichwort: Authentifikation auch
anhand der called station ID.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Jan Walzer
> Erhard Schwenk wrote:
> > Und die Mehrzahl hat Recht?
> Demokratie ist Scheisse wenn man in der Minderheit ist.
Sicherheit hat nix mit Demokratie tun.
"Ein bisschen sicher..."
Stefan T. Unterweger
> Warum sind die Leute bloß immer so phantasielos?
> Man nehme einen dummen Spruch. Sagen wir mal "Hätt ich heut morgen bloß
> mal Linux installiert", von jedem Wort den dritten Buchstaben und
> garniere das... sagen wir mit dem Geburtsdatum (von mir aus der 15.08.)
> und abwechselnder Groß-/Kleinschreibung.
> Und schon hat man ein mehr als brauchbares Paßwort:
> ThUrOlNs!5=8
> Und merken kann man sich das auch noch einigermaßen.
Das geht doch noch besser:
g&7Mi=+UkGBuMPilus5n.+Zg+rPfU5HbOOh627sq
So was ähnliches (was die Methode betrifft) ist hier auch
tatsächlich im Einsatz.
S!
end
--
Letzte Worte einer Airbus-Crew: "Das Lämpchen da blinkt - ach, vergessen wir's."
Kim Huebel
> # rm -rf /home/[Kennung]
*g* naja, _so_ böse bin ich nicht. *g* dafür bin ich wohl noch nicht
lange genug im Geschäft... gib mir noch 2 Jahre *g*
regards, Kim
--
Glaubt Chiap Zap kein Wort - groups.google.de weiss warum!
--------------------------------------------------------------------
Realnamen in der From:-Zeile sowie gültige Emailadressen erhöhen die
Chance gelesen zu werden und sinnvolle Antworten zu erhalten!
Kim Huebel
> Und was ließ Dich an diesem sonnigen Freitag von dieser goldenen Regel
> abweichen? Mut zum Risiko oder echte Hoffnung?
Frag ich mich auch. Vielleicht mein grenzenloser Optimismus, er möge es
verstanden haben, denn: er sah weder nach Japaner noch nach Russe aus,
sondern wie ein durchschnittlich gebildeter deutsch-Muttersprachler. Aber:
Man(n) irrt sich halt.
Seit Freitag weiss ich eins: ich lass es.
Kim Huebel
> Kim Huebel wrote:
>>
>> Admin: nein.. erst nach XX Tagen wieder.
>
>
> Das ist allerdings auch so ne Begrenzung, deren Sinn sich mir persönlich
> entzieht.
Nun: sonst setzt sich Student an den Rechner, ruft das Webinterface zur
Änderung des Passwortes nochmal auf und ändert das Passwort auf das alte
zurück (History führen wir (noch) nicht).
Kim Huebel
> begin electrogrammati illius Kim Huebel
>
>
>>Admin: zu lang, maximal 8 Zeichen.
>
>
> Linux?
Unter anderem auch. Das Passwort gilt für: Novell, Windows, Linux,
Solaris, Irix.... eigentlich für jedes OS, zu dem der Student Zugang hat.
Aus Einfachheitsgründen hat man sich sogar drauf verständigt, dass
Passwort 7-bit-clean zu halten *g* was also Umlaute auch ausschließt.
Ein Problem, auf das jeder mal stößt *G*
Ralf Döblitz
[PWs]
> Was machst Du, wenn das Problem der Chef _ist_?
Wir haben zwei Chefs. Der relevante der beiden ist in diesem Fall der
Geschäftsführer Technik und der ist zum Glück diesbezüglich kein
problem. Jednefalls nicht für mich, eher für die leute, die sich ihr
Password bei ihm abholen müssen. ;-)
> Btdt, die Geschäftsführer in meiner noch-Firma sind die einzigen
> Mitarbeiter, deren POP3-Postfächer auf dem Kundenserver liegen, damit
> sie ihre Mail unverschlüsselt von ihrem Konkurrenzzugang abholen
> können.
man Job Security - und dann eiskalt das richtige(tm) tun
Aber bei so einer Firma würde ich nicht arbeiten wollen (auch wenn es
mittlerweile ziemlich schwierig geworden ist, sich einen rundum guten
Arbeitgeber auszusuchen).
> Ja, ein VPN-Zugang ins Officenetz ist eingerichtet und funktioniert.
> Wird nur nicht benutzt.
Die Semi-Clueful-Leute kommen bei uns zum Glück zum Maillesen in die
Firma gefahren. Ja, sie könnten das auch via IMAP-SSL von zuhause aus.
Aber so ist es auch ungefährlich. Und sie fragen sogar vorher nach, ob
ich Attachments, die von Kunden kommen, mal prüfen kann ob sie sie
gefahrlos aufmachen dürfen (obowhl Mulberry das Zeug nur speicher und
nicht startet und vor dem Start der zugehörigen Anwendung dann noch ein
zweites Mal fragt (mit Nennung der zu stratenden Applikation)). Es
könnte schlimmer sein ...
Ralf
--
Ralf Döblitz * Schapenstraße 6 * 38104 Braunschweig * Germany
Phone: +49-531-2361223 Fax: +49-531-2361224 mailto:doeb...@doeblitz.net
Homepage: http://www.escape.de/users/selene/
Mit UTF-8 kann man gleichzeitig äöüßÄÖÜæœłø¼½¾¤¹²³¢€£¥¶§¬÷×±©®™¡¿ verwenden.
Ralf Döblitz
> Ralf Döblitz wrote:
>
>> Da haben es meine Luser viel einfacher: wenn ich der Meinung bin, es
>> müßte mal wieder neue Passwords geben (z.B. weil jemand so blöd war,
>> seins auf öffentlich zugänglichen Windoof-Kisten zu speichern) dann wird
>> apg angeworfen und jeder bekommt von mir eins zugeteilt. Beim dritten
>> Mal ist das neue PW beim Chef abzuholen.
>
> Viel Spaß wenn Du bei derartigen Verfahren einem Deiner Luser mal
> irgendetwas beweisen möchtest.
Was denn beweisen? Ich bin root, ich darf mit PWs spielen. Wer sollte
mich denn daran hindern, mal eben temporär das PW eines Users zu ändern,
mit diesem PW unter seiner Kennung Mist zubauen und danach die alte
shadow-Version wieder zurückzukopieren? Und das ist noch das einfachste
Szenario.
Falls man vor Gericht gehen will kann man diesen ganzen Authentication-
Kram eh vergessen, der taugt höchstens als unterstützendes Material für
Augenzeugenberichte.
Gerrit Heitsch
>
> Gerrit Heitsch <ger...@laosinh.s.bawue.de> wrote:
> >Marc Haber wrote:
> >> Sowohl Radiator als auch IIRC FreeRadius können es nicht anders. Die
> >> Kollegen empfinden das übrigens als durchaus recovery.
> >
> >Zeit fuer einen Wechsel der Software?
>
> Zeig mir einen RADIUS-Server, der Radiator und/oder FreeRadius an
> Flexibilität auch nur nahe kommt. Stichwort: Authentifikation auch
> anhand der called station ID.
Dann bleibt die Frage wie halbwegs zuverlaessig verhindert wird,
dass die Klartextpasswoerter in die falschen Haenge geraten.
Selbst ein Admin hat keinen Zugriff auf die Passwoerter im
Klartext zu haben.
Gerrit
Rainer Kersten
> Solange man es regelmässig benutzt kann man sich das sicherlich merken. Ich
> musste aber schonmal an eine Kiste ran, die für ein halbes Jahr stillstand.
> Da war das Passwort dann so sicher, dass es niemand mehr wusste.
Ich frag mich ja immer wieder, warum genau sowas auch fuer meine
Autoschluessel gilt. Und fuer die Reserveschluessel sowieso.
Erik Tews
> > Wo dieser Zettel dann gelagert wird ist
>> individuell verschieden. Teilweise wird es im PDA zu finden
>> sein.
>
> Auch da sind Stichprobenkontrollen möglich. Beispielsweise durch
> unangemeldetes auftauchen "Guten Tag, Security-Check, bitte melden Sie
> sich doch mal eben kurz am System an". Zückt $LUSER dann Zettel oder
> PDA, hat er sehr wahrscheinlich bereits verloren.
Hm, äh, hab ich vergessen, tut mir leid, aber da sie gerade da sind,
könnten sie mir gleich ein neues geben?
Was dann?