Ich frage mich, ob eine 8-stellige PIN (0-9,a-z) sicher genug ist, wenn sie MD5-verschlüsselt im etc-Verzeichnis liegt. Ich habe zwar Alternativen für Ablage der PIN (z.B. Speicherung auf USB-Stick u.v.m.), aber die Ablage im etc-Verzeichnis ist manchmal auch erforderlich. Hat es schon mal Fälle gegeben, wo solche Strings entschlüsselt wurden? Manfred -- COMPARAT Software-Entwicklungs-GmbH http://www.comparat.de
Am Freitag 17 September 2004 18:22 schrieb Manfred Rebentisch:
Ich frage mich, ob eine 8-stellige PIN (0-9,a-z) sicher genug ist, wenn sie MD5-verschlüsselt im etc-Verzeichnis liegt. Ich habe zwar Alternativen für Ablage der PIN (z.B. Speicherung auf USB-Stick u.v.m.), aber die Ablage im etc-Verzeichnis ist manchmal auch erforderlich.
Hat es schon mal Fälle gegeben, wo solche Strings entschlüsselt wurden?
Einen 8-stelligen PIN zu entschlüsseln ist heute nur eine Frage der Zeit. Und die Zeit nimmt mit der zunehmenden Rechenleistung stetig ab. Es gibt verschiedene Methoden, die in Abhängigkeit vom verwendeten Passwort sehr unterschiedlich brauchbar sind. Generell sind Buchstaben und Zahlenkombinationen, die in einem Zusammenhang mit Wortern stehen (auch mit 0 statt o oder 8 statt B usw.: "8andit05") relativ schnell geknackt (im Minuten- bis Stundenbereich), wenn man den MD5-Hash erst mal hat. "Abwegige" Kombinationen (z.B. "7hX4d1G0"), die nur übernoch Brut-Force-Attacken geknackt werden können, brauchen u.U. schon ein wenig länger (ein bisschen ist es ja auch Glückssache). Knackbar sind letztendlich alle. Deshalb sollte man seine Passwörter ja auch regelmäßig ändern (zumindest dort, wo es wirklich existentiell wichtig ist). -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Freitag, 17. September 2004 19:11 schrieb Matthias Houdek:
Knackbar sind letztendlich alle. Deshalb sollte man seine Passwörter ja auch regelmäßig ändern (zumindest dort, wo es wirklich existentiell wichtig ist).
Man sollte seine User aber auch nicht überfordern, sonst landen ganz schnell Zettel in der Schublade oder unter der Tastatur. Ich hab im Büro beim Booten z.B. standardmässig 5 Passwörter einzugeben (Windows, Novell, zwei speziell gesicherte Freigaben, Proxy), dann kommen noch die Passwörter von SAP (ne ganze Liste verschiedener System mit je eigenen Passwörtern), Unix (die zu den SAP-Maschinen und andere), FTP (wieder diverse Systeme), Host (TPX, IMS und die ganzen eigenen Anwendungen im Test und Produktion), Fernwartung einiger Rechner, BusinesConnector, eigene Web und PC Anwendungen, .... Die meisten von den Passwörtern laufen aus und dürfen sich ein halbes Jahr nicht wiederholen. Ich habs bisher geschafft, es im Kopf zu behalten (dafür sind sie nur begrenzt komplex und folgen gewissen sich wiederholenden Schemata), aber wie viele Leute glaubst Du machen das (ich kenne Excel-Tabellen von Kollegen mit allen Passwörtern, die passen in der Druckvorschau nicht auf zwei A4 Blätter). -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de
Am Freitag 17 September 2004 23:16 schrieb Manfred Tremmel:
Am Freitag, 17. September 2004 19:11 schrieb Matthias Houdek:
Knackbar sind letztendlich alle. Deshalb sollte man seine Passwörter ja auch regelmäßig ändern (zumindest dort, wo es wirklich existentiell wichtig ist).
Man sollte seine User aber auch nicht überfordern, sonst landen ganz schnell Zettel in der Schublade oder unter der Tastatur. Ich hab im Büro beim Booten z.B. standardmässig 5 Passwörter einzugeben (Windows, Novell, zwei speziell gesicherte Freigaben, Proxy),
Hm, das sollte man schon mal auf 3 reduzieren können (die speziell gesicherten Freigaben brauchen was eigenes).
dann kommen noch die Passwörter von SAP (ne ganze Liste verschiedener System mit je eigenen Passwörtern), Unix (die zu den SAP-Maschinen und andere), FTP (wieder diverse Systeme), Host (TPX, IMS und die ganzen eigenen Anwendungen im Test und Produktion), Fernwartung einiger Rechner, BusinesConnector, eigene Web und PC Anwendungen, .... Die meisten von den Passwörtern laufen aus und dürfen sich ein halbes Jahr nicht wiederholen.
Bist du Büro-User? Dafür hast du dann aber eine Menge Admin-Aufgaben ;-)
Ich habs bisher geschafft, es im Kopf zu behalten (dafür sind sie nur begrenzt komplex und folgen gewissen sich wiederholenden Schemata), aber wie viele Leute glaubst Du machen das (ich kenne Excel-Tabellen von Kollegen mit allen Passwörtern, die passen in der Druckvorschau nicht auf zwei A4 Blätter).
Mir ist der Widerspruch zwischen der Forderung praktisch unmerkbaren, in möglichst kurzen Abständen wechselnden Passwörtern auf der einen und der Bequemlichkeit der User/Admins (und letztendlich auch der Effizienz der Arbeit) auf der anderen Seite schon bewusst. Und die besagte Excel-Tabelle oder der Zettelkasten sind natürlich das beste Beispiel für eine verfehlte Sicherheitspolitik in der Firma. Man muss hier sehr stark zwischen dem technisch Machbaren, dem sicherheitspolitisch Notwendigen und dem userfreundlich Zumutbaren abwägen. Auf die Grundfrage dieses Threads bezogen: Was sichern diese PINs ab? Wie interessant sind diese Daten für andere? Gibt es andere/leichtere Wege, an die Daten zu kommen? (Wen interessieren schon Nutzeraccounts, wenn man eh schon die passwd in den Händen hält? *g*) Diese Fragen muss man klären und dann abwägen. Ist nicht immer leicht, und ggf. gehört auch noch eine Menge Überzeugungsarbeit bei den betreffenden Usern dazu, um sie für die Notwendigkeit dieser Sicherheits-Policies zu überzeugen. Was nützt die beste Verschlüsselung, wenn man über Social-Hacking ganz leicht direkt an die Passwörter kommt. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Samstag, 18. September 2004 09:24 schrieb Matthias Houdek:
Am Freitag 17 September 2004 23:16 schrieb Manfred Tremmel:
Am Freitag, 17. September 2004 19:11 schrieb Matthias Houdek:
Knackbar sind letztendlich alle. Deshalb sollte man seine Passwörter ja auch regelmäßig ändern (zumindest dort, wo es wirklich existentiell wichtig ist).
Man sollte seine User aber auch nicht überfordern, sonst landen ganz schnell Zettel in der Schublade oder unter der Tastatur. Ich hab im Büro beim Booten z.B. standardmässig 5 Passwörter einzugeben (Windows, Novell, zwei speziell gesicherte Freigaben, Proxy),
Hm, das sollte man schon mal auf 3 reduzieren können (die speziell gesicherten Freigaben brauchen was eigenes).
Novell und Windows könnte man gleichschalten, der Abgleich klappt aber irgendwie nie richtig. Das mit dem Proxy würde bei Nutzung des IE auch automatisch laufen, die Benutzung verweigere ich aber, zumal bei uns keine Patches für System und Browser eingespielt werden (ja, da ist noch alles bis runter zum IE 4.0er im Originalzustand vorhanden), beim Firefox muss ich eben eintippen.
dann kommen noch die Passwörter von SAP (ne ganze Liste verschiedener System mit je eigenen Passwörtern), Unix (die zu den SAP-Maschinen und andere), FTP (wieder diverse Systeme), Host (TPX, IMS und die ganzen eigenen Anwendungen im Test und Produktion), Fernwartung einiger Rechner, BusinesConnector, eigene Web und PC Anwendungen, .... Die meisten von den Passwörtern laufen aus und dürfen sich ein halbes Jahr nicht wiederholen.
Bist du Büro-User? Dafür hast du dann aber eine Menge Admin-Aufgaben ;-)
Heimarbeitsplatz kriege ich keinen, bin Büro-User. Bin auch kein Admin, sondern Softwareentwickler, was aber nicht heißt, dass ich die Systeme nicht betreuen darf/muss, für die ich entwickle. Und ich bin eben auf vielen Systemen beschäftigt, von den Cobol-Anwendungen auf den Sinix Rechnern, den PL/I Host Anwendungen, Java Servlets, den Konvertern von Seeburger WinELKE über SAP BussinesConnector zum SAP XI, diversen C/C++ Hilfsprogrammen bis hin zu einigen (Schreck las nach) VisualBasic Anwendungen. Und gerade bei Schnittstellenprogrammierung gibts in aller Regel für jede Schnittstelle mindestens vier relevante Systeme (Ausgangs- und Zielsystem, jeweils Test- und Produktivsystem), das sind vier User und vier Passwörter, eventuell mehr, wenn unterschiedliche Accounts anfallen (für die Maschine selbst, für Datentransfer, für die Anwendung, eventuell spezielle Schnittstellenuser mit begrenzten Rechten).
Mir ist der Widerspruch zwischen der Forderung praktisch unmerkbaren, in möglichst kurzen Abständen wechselnden Passwörtern auf der einen und der Bequemlichkeit der User/Admins (und letztendlich auch der Effizienz der Arbeit) auf der anderen Seite schon bewusst. Und die besagte Excel-Tabelle oder der Zettelkasten sind natürlich das beste Beispiel für eine verfehlte Sicherheitspolitik in der Firma.
ACK, wenn ich mal wieder irgendwo zum vierten mal das falsche Passwort eingetippt habe (oder den falschen User) und kurz vor der Sperrung stehe, denk ich mir auch oft, wie schön wäre ne Chipkarte oder ein Biometrisches verfahren, das den ganzen Rotz ersparen würde.
Man muss hier sehr stark zwischen dem technisch Machbaren, dem sicherheitspolitisch Notwendigen und dem userfreundlich Zumutbaren abwägen.
ACK.
Auf die Grundfrage dieses Threads bezogen: Was sichern diese PINs ab? Wie interessant sind diese Daten für andere? Gibt es andere/leichtere Wege, an die Daten zu kommen? (Wen interessieren schon Nutzeraccounts, wenn man eh schon die passwd in den Händen hält? *g*)
Klar, wenn das Passwort (wenn auch nur im verschlüsseltem Zustand) vorliegt, ist die Sache gelaufen, denn es ist immer nur eine Frage der Zeit, bis es geknackt ist. Bei den rapide ansteigenden Rechenleistungen müsste man da wohl ne ganze Kurzgeschichte als Passwort verwenden um noch auf absehbare Zeit sicher zu sein.
Diese Fragen muss man klären und dann abwägen. Ist nicht immer leicht, und ggf. gehört auch noch eine Menge Überzeugungsarbeit bei den betreffenden Usern dazu, um sie für die Notwendigkeit dieser Sicherheits-Policies zu überzeugen. Was nützt die beste Verschlüsselung, wenn man über Social-Hacking ganz leicht direkt an die Passwörter kommt.
Klar, gerade Namen aus dem eigenen Familienkreis ziehen fast immer, wenn man eine gewisse Anzahl User zur Verfügung hat ;-) -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de
Am Samstag 18 September 2004 12:45 schrieb Manfred Tremmel:
Am Samstag, 18. September 2004 09:24 schrieb Matthias Houdek:
Am Freitag 17 September 2004 23:16 schrieb Manfred Tremmel:
Am Freitag, 17. September 2004 19:11 schrieb Matthias Houdek:
Knackbar sind letztendlich alle. Deshalb sollte man seine Passwörter ja auch regelmäßig ändern (zumindest dort, wo es wirklich existentiell wichtig ist).
Man sollte seine User aber auch nicht überfordern, sonst landen ganz schnell Zettel in der Schublade oder unter der Tastatur. Ich hab im Büro beim Booten z.B. standardmässig 5 Passwörter einzugeben (Windows, Novell, zwei speziell gesicherte Freigaben, Proxy),
Hm, das sollte man schon mal auf 3 reduzieren können (die speziell gesicherten Freigaben brauchen was eigenes).
Novell und Windows könnte man gleichschalten, der Abgleich klappt aber irgendwie nie richtig.
Wahrscheinlich flsacher Netware-Client. Oder mangelhafte Konfiguration. Eigentlich klappt das ganz prima. Am besten auf NetWare 6 updaten ;-). Da braucht man keinen Client. Im übrigen soll ein Novell-Server auch gegen einen NT-Server/Domain/ActiveDirectory authentifizieren können und umgekehrt (LDAP sei Dank). Hab ich selbst aber noch nie praktisch eingerichtet.
Das mit dem Proxy würde bei Nutzung des IE auch automatisch laufen, die Benutzung verweigere ich aber, zumal bei uns keine Patches für System und Browser eingespielt werden (ja, da ist noch alles bis runter zum IE 4.0er im Originalzustand vorhanden), beim Firefox muss ich eben eintippen.
Wieso eigentlich ein Proxy-Password. Habt ihr userabhängige Nutzungsrechte fürs Internet? Und wieso kann diese Authentifizierung nicht auch gegen die zentrale Benutzerverwaltung laufen? BTW: Das ist ohnehin auch ein gern diskutiertes Sicherheitsthema: Alle Authentifizierung und Autorisierung zentralisieren (einfache Verwaltung, einfachere Handhabung für den User - aber ein zentraler, allmächtiger Angriffspunkt) oder jeden Dienst, jedes System separat mit eigenen Sicherheitspolicies und eigenen Mechanismen absichern (ein geknacktes Passwort erlaubt nur sehr begrenzte Möglichkeiten - allerdings nur, wenn wirklich überall etwas anderes genutzt wird). Ich plädiere aber immer für die erste Variante, da der Mensch bequem ist und ohnehin überall, wo möglich, die gleiche User/Passwort-Kombination verwenden wird.
dann kommen noch die Passwörter von SAP (ne ganze Liste verschiedener System mit je eigenen Passwörtern), Unix (die zu den SAP-Maschinen und andere), FTP (wieder diverse Systeme), Host (TPX, IMS und die ganzen eigenen Anwendungen im Test und Produktion), Fernwartung einiger Rechner, BusinesConnector, eigene Web und PC Anwendungen, .... Die meisten von den Passwörtern laufen aus und dürfen sich ein halbes Jahr nicht wiederholen.
Bist du Büro-User? Dafür hast du dann aber eine Menge Admin-Aufgaben ;-)
Heimarbeitsplatz kriege ich keinen, bin Büro-User.
Mit "Büro-User" meinte ich den typischen Office-Suite-Anwender ;-)
Bin auch kein Admin, sondern Softwareentwickler, was aber nicht heißt, dass ich die Systeme nicht betreuen darf/muss, für die ich entwickle.
Also beides ;-)
Und ich bin eben auf vielen Systemen beschäftigt, von den Cobol-Anwendungen auf den Sinix Rechnern, den PL/I Host Anwendungen, Java Servlets, den Konvertern von Seeburger WinELKE über SAP BussinesConnector zum SAP XI, diversen C/C++ Hilfsprogrammen bis hin zu einigen (Schreck las nach) VisualBasic Anwendungen. Und gerade bei Schnittstellenprogrammierung gibts in aller Regel für jede Schnittstelle mindestens vier relevante Systeme (Ausgangs- und Zielsystem, jeweils Test- und Produktivsystem), das sind vier User und vier Passwörter, eventuell mehr, wenn unterschiedliche Accounts anfallen (für die Maschine selbst, für Datentransfer, für die Anwendung, eventuell spezielle Schnittstellenuser mit begrenzten Rechten).
Schon mal mit de[m/n] Admin(s) über einen RADIUS-Server geredet?
Mir ist der Widerspruch zwischen der Forderung praktisch unmerkbaren, in möglichst kurzen Abständen wechselnden Passwörtern auf der einen und der Bequemlichkeit der User/Admins (und letztendlich auch der Effizienz der Arbeit) auf der anderen Seite schon bewusst. Und die besagte Excel-Tabelle oder der Zettelkasten sind natürlich das beste Beispiel für eine verfehlte Sicherheitspolitik in der Firma.
ACK, wenn ich mal wieder irgendwo zum vierten mal das falsche Passwort eingetippt habe (oder den falschen User) und kurz vor der Sperrung stehe, denk ich mir auch oft, wie schön wäre ne Chipkarte oder ein Biometrisches verfahren, das den ganzen Rotz ersparen würde.
Bluetooth-Dongle ;-) Sowie du dich vom Arbeitsplatz entfernst, wird das System gesperrt.
Man muss hier sehr stark zwischen dem technisch Machbaren, dem sicherheitspolitisch Notwendigen und dem userfreundlich Zumutbaren abwägen.
ACK.
Ach ja, und die Kosten spielen ja manchmal auch noch eine Rolle (ist ja nicht alles Öffentlicher Dienst *g*).
Auf die Grundfrage dieses Threads bezogen: Was sichern diese PINs ab? Wie interessant sind diese Daten für andere? Gibt es andere/leichtere Wege, an die Daten zu kommen? (Wen interessieren schon Nutzeraccounts, wenn man eh schon die passwd in den Händen hält? *g*)
Klar, wenn das Passwort (wenn auch nur im verschlüsseltem Zustand) vorliegt, ist die Sache gelaufen, denn es ist immer nur eine Frage der Zeit, bis es geknackt ist. Bei den rapide ansteigenden Rechenleistungen müsste man da wohl ne ganze Kurzgeschichte als Passwort verwenden um noch auf absehbare Zeit sicher zu sein.
Das ist mein Reden.
Diese Fragen muss man klären und dann abwägen. Ist nicht immer leicht, und ggf. gehört auch noch eine Menge Überzeugungsarbeit bei den betreffenden Usern dazu, um sie für die Notwendigkeit dieser Sicherheits-Policies zu überzeugen. Was nützt die beste Verschlüsselung, wenn man über Social-Hacking ganz leicht direkt an die Passwörter kommt.
Klar, gerade Namen aus dem eigenen Familienkreis ziehen fast immer, wenn man eine gewisse Anzahl User zur Verfügung hat ;-)
"Frau Meier, sie hatten doch letzte Woche auch diese Viren auf ihrem Computer. - Nein? - Prima, dann kann ich ja gleich so das neue Schutzprogramm von meinem USB-Stick bei ihnen Einrichten *fummelfummel* - So, schon fertig. Jetzt nur noch hier ihr Passwort eingeben, damit das Programm Sie trotzdem arbeiten lässt *grins* - Jaja, ich schau ja schon weg, ich will ihr Passwort ja gar nicht wissen." - - - Schwupps, und schon hab ich Frau Meiers Passwort im Klartext auf meinem Dongle *eg*. Sowas soll sogar mit einigen Admins funktionieren. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Freitag, 17. September 2004 23:16 schrieb Manfred Tremmel:
aber wie viele Leute glaubst Du machen das (ich kenne Excel-Tabellen von Kollegen mit allen Passwörtern, die passen in der Druckvorschau nicht auf zwei A4 Blätter).
Da hast Du recht. Ich suche nach einem Mittelweg zwischen maximaler Sicherheit und Zumutbarkeit für den Benutzer (ein Pferd mit Hufen, dem unsere Admin-Tastaturen viel zu klein sind :-)). Manfred -- COMPARAT Software-Entwicklungs-GmbH http://www.comparat.de
On Fri, Sep 17, 2004 at 06:22:07PM +0200, Manfred Rebentisch wrote:
Ich frage mich, ob eine 8-stellige PIN (0-9,a-z) sicher genug ist, wenn sie MD5-verschlüsselt im etc-Verzeichnis liegt. Ich habe zwar Alternativen für Ablage der PIN (z.B. Speicherung auf USB-Stick u.v.m.), aber die Ablage im etc-Verzeichnis ist manchmal auch erforderlich.
Was bezeichnest du als PIN? Dein Systempasswort? Wenn ja dann ist das erst mal kein Problem, da die Passwortdatei nur für root lesbar ist (sein sollte). Ist das nicht der Fall, dann hast du grössere Probleme als die Krypto/Hash Geschichte.
Hat es schon mal Fälle gegeben, wo solche Strings entschlüsselt wurden?
MD5 ist ein HASH Verfahren. Sprich Einbahnstrasse. Man kann es nicht umkehren (entschlüsseln) Es ist aber möglich diese Daten in relativ kurzer Zeit zu knacken. Wenn man entsprechend Rechenleistung zur Verfügung hat und deine Angabe von oben. D.h. man probiert (mit $Programm) einfach alle Kombinationen der 36 Zeichen aus und erhält entweder dein Passwort oder eine Kollision (unwarscheinlich und egal :). Greetings Daniel. -- "...und alles was Vorteile hat, hat auch Nachteile. Wenn man z.B. eine attraktive Freundin hat, ist sie meistens aus zweiter Hand." (Messtechnik, Uni Rostock)
participants (4)
-
Daniel Lord
-
Manfred Rebentisch
-
Manfred Tremmel
-
Matthias Houdek