Am Samstag 18 September 2004 12:45 schrieb Manfred Tremmel:
Am Samstag, 18. September 2004 09:24 schrieb Matthias Houdek:
Am Freitag 17 September 2004 23:16 schrieb Manfred Tremmel:
Am Freitag, 17. September 2004 19:11 schrieb Matthias Houdek:
Knackbar sind letztendlich alle. Deshalb sollte man seine Passwörter ja auch regelmäßig ändern (zumindest dort, wo es wirklich existentiell wichtig ist).
Man sollte seine User aber auch nicht überfordern, sonst landen ganz schnell Zettel in der Schublade oder unter der Tastatur. Ich hab im Büro beim Booten z.B. standardmässig 5 Passwörter einzugeben (Windows, Novell, zwei speziell gesicherte Freigaben, Proxy),
Hm, das sollte man schon mal auf 3 reduzieren können (die speziell gesicherten Freigaben brauchen was eigenes).
Novell und Windows könnte man gleichschalten, der Abgleich klappt aber irgendwie nie richtig.
Wahrscheinlich flsacher Netware-Client. Oder mangelhafte Konfiguration. Eigentlich klappt das ganz prima. Am besten auf NetWare 6 updaten ;-). Da braucht man keinen Client. Im übrigen soll ein Novell-Server auch gegen einen NT-Server/Domain/ActiveDirectory authentifizieren können und umgekehrt (LDAP sei Dank). Hab ich selbst aber noch nie praktisch eingerichtet.
Das mit dem Proxy würde bei Nutzung des IE auch automatisch laufen, die Benutzung verweigere ich aber, zumal bei uns keine Patches für System und Browser eingespielt werden (ja, da ist noch alles bis runter zum IE 4.0er im Originalzustand vorhanden), beim Firefox muss ich eben eintippen.
Wieso eigentlich ein Proxy-Password. Habt ihr userabhängige Nutzungsrechte fürs Internet? Und wieso kann diese Authentifizierung nicht auch gegen die zentrale Benutzerverwaltung laufen? BTW: Das ist ohnehin auch ein gern diskutiertes Sicherheitsthema: Alle Authentifizierung und Autorisierung zentralisieren (einfache Verwaltung, einfachere Handhabung für den User - aber ein zentraler, allmächtiger Angriffspunkt) oder jeden Dienst, jedes System separat mit eigenen Sicherheitspolicies und eigenen Mechanismen absichern (ein geknacktes Passwort erlaubt nur sehr begrenzte Möglichkeiten - allerdings nur, wenn wirklich überall etwas anderes genutzt wird). Ich plädiere aber immer für die erste Variante, da der Mensch bequem ist und ohnehin überall, wo möglich, die gleiche User/Passwort-Kombination verwenden wird.
dann kommen noch die Passwörter von SAP (ne ganze Liste verschiedener System mit je eigenen Passwörtern), Unix (die zu den SAP-Maschinen und andere), FTP (wieder diverse Systeme), Host (TPX, IMS und die ganzen eigenen Anwendungen im Test und Produktion), Fernwartung einiger Rechner, BusinesConnector, eigene Web und PC Anwendungen, .... Die meisten von den Passwörtern laufen aus und dürfen sich ein halbes Jahr nicht wiederholen.
Bist du Büro-User? Dafür hast du dann aber eine Menge Admin-Aufgaben ;-)
Heimarbeitsplatz kriege ich keinen, bin Büro-User.
Mit "Büro-User" meinte ich den typischen Office-Suite-Anwender ;-)
Bin auch kein Admin, sondern Softwareentwickler, was aber nicht heißt, dass ich die Systeme nicht betreuen darf/muss, für die ich entwickle.
Also beides ;-)
Und ich bin eben auf vielen Systemen beschäftigt, von den Cobol-Anwendungen auf den Sinix Rechnern, den PL/I Host Anwendungen, Java Servlets, den Konvertern von Seeburger WinELKE über SAP BussinesConnector zum SAP XI, diversen C/C++ Hilfsprogrammen bis hin zu einigen (Schreck las nach) VisualBasic Anwendungen. Und gerade bei Schnittstellenprogrammierung gibts in aller Regel für jede Schnittstelle mindestens vier relevante Systeme (Ausgangs- und Zielsystem, jeweils Test- und Produktivsystem), das sind vier User und vier Passwörter, eventuell mehr, wenn unterschiedliche Accounts anfallen (für die Maschine selbst, für Datentransfer, für die Anwendung, eventuell spezielle Schnittstellenuser mit begrenzten Rechten).
Schon mal mit de[m/n] Admin(s) über einen RADIUS-Server geredet?
Mir ist der Widerspruch zwischen der Forderung praktisch unmerkbaren, in möglichst kurzen Abständen wechselnden Passwörtern auf der einen und der Bequemlichkeit der User/Admins (und letztendlich auch der Effizienz der Arbeit) auf der anderen Seite schon bewusst. Und die besagte Excel-Tabelle oder der Zettelkasten sind natürlich das beste Beispiel für eine verfehlte Sicherheitspolitik in der Firma.
ACK, wenn ich mal wieder irgendwo zum vierten mal das falsche Passwort eingetippt habe (oder den falschen User) und kurz vor der Sperrung stehe, denk ich mir auch oft, wie schön wäre ne Chipkarte oder ein Biometrisches verfahren, das den ganzen Rotz ersparen würde.
Bluetooth-Dongle ;-) Sowie du dich vom Arbeitsplatz entfernst, wird das System gesperrt.
Man muss hier sehr stark zwischen dem technisch Machbaren, dem sicherheitspolitisch Notwendigen und dem userfreundlich Zumutbaren abwägen.
ACK.
Ach ja, und die Kosten spielen ja manchmal auch noch eine Rolle (ist ja nicht alles Öffentlicher Dienst *g*).
Auf die Grundfrage dieses Threads bezogen: Was sichern diese PINs ab? Wie interessant sind diese Daten für andere? Gibt es andere/leichtere Wege, an die Daten zu kommen? (Wen interessieren schon Nutzeraccounts, wenn man eh schon die passwd in den Händen hält? *g*)
Klar, wenn das Passwort (wenn auch nur im verschlüsseltem Zustand) vorliegt, ist die Sache gelaufen, denn es ist immer nur eine Frage der Zeit, bis es geknackt ist. Bei den rapide ansteigenden Rechenleistungen müsste man da wohl ne ganze Kurzgeschichte als Passwort verwenden um noch auf absehbare Zeit sicher zu sein.
Das ist mein Reden.
Diese Fragen muss man klären und dann abwägen. Ist nicht immer leicht, und ggf. gehört auch noch eine Menge Überzeugungsarbeit bei den betreffenden Usern dazu, um sie für die Notwendigkeit dieser Sicherheits-Policies zu überzeugen. Was nützt die beste Verschlüsselung, wenn man über Social-Hacking ganz leicht direkt an die Passwörter kommt.
Klar, gerade Namen aus dem eigenen Familienkreis ziehen fast immer, wenn man eine gewisse Anzahl User zur Verfügung hat ;-)
"Frau Meier, sie hatten doch letzte Woche auch diese Viren auf ihrem Computer. - Nein? - Prima, dann kann ich ja gleich so das neue Schutzprogramm von meinem USB-Stick bei ihnen Einrichten *fummelfummel* - So, schon fertig. Jetzt nur noch hier ihr Passwort eingeben, damit das Programm Sie trotzdem arbeiten lässt *grins* - Jaja, ich schau ja schon weg, ich will ihr Passwort ja gar nicht wissen." - - - Schwupps, und schon hab ich Frau Meiers Passwort im Klartext auf meinem Dongle *eg*. Sowas soll sogar mit einigen Admins funktionieren. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu