Am Samstag, 18. September 2004 09:24 schrieb Matthias Houdek:
Am Freitag 17 September 2004 23:16 schrieb Manfred Tremmel:
Am Freitag, 17. September 2004 19:11 schrieb Matthias Houdek:
Knackbar sind letztendlich alle. Deshalb sollte man seine Passwörter ja auch regelmäßig ändern (zumindest dort, wo es wirklich existentiell wichtig ist).
Man sollte seine User aber auch nicht überfordern, sonst landen ganz schnell Zettel in der Schublade oder unter der Tastatur. Ich hab im Büro beim Booten z.B. standardmässig 5 Passwörter einzugeben (Windows, Novell, zwei speziell gesicherte Freigaben, Proxy),
Hm, das sollte man schon mal auf 3 reduzieren können (die speziell gesicherten Freigaben brauchen was eigenes).
Novell und Windows könnte man gleichschalten, der Abgleich klappt aber irgendwie nie richtig. Das mit dem Proxy würde bei Nutzung des IE auch automatisch laufen, die Benutzung verweigere ich aber, zumal bei uns keine Patches für System und Browser eingespielt werden (ja, da ist noch alles bis runter zum IE 4.0er im Originalzustand vorhanden), beim Firefox muss ich eben eintippen.
dann kommen noch die Passwörter von SAP (ne ganze Liste verschiedener System mit je eigenen Passwörtern), Unix (die zu den SAP-Maschinen und andere), FTP (wieder diverse Systeme), Host (TPX, IMS und die ganzen eigenen Anwendungen im Test und Produktion), Fernwartung einiger Rechner, BusinesConnector, eigene Web und PC Anwendungen, .... Die meisten von den Passwörtern laufen aus und dürfen sich ein halbes Jahr nicht wiederholen.
Bist du Büro-User? Dafür hast du dann aber eine Menge Admin-Aufgaben ;-)
Heimarbeitsplatz kriege ich keinen, bin Büro-User. Bin auch kein Admin, sondern Softwareentwickler, was aber nicht heißt, dass ich die Systeme nicht betreuen darf/muss, für die ich entwickle. Und ich bin eben auf vielen Systemen beschäftigt, von den Cobol-Anwendungen auf den Sinix Rechnern, den PL/I Host Anwendungen, Java Servlets, den Konvertern von Seeburger WinELKE über SAP BussinesConnector zum SAP XI, diversen C/C++ Hilfsprogrammen bis hin zu einigen (Schreck las nach) VisualBasic Anwendungen. Und gerade bei Schnittstellenprogrammierung gibts in aller Regel für jede Schnittstelle mindestens vier relevante Systeme (Ausgangs- und Zielsystem, jeweils Test- und Produktivsystem), das sind vier User und vier Passwörter, eventuell mehr, wenn unterschiedliche Accounts anfallen (für die Maschine selbst, für Datentransfer, für die Anwendung, eventuell spezielle Schnittstellenuser mit begrenzten Rechten).
Mir ist der Widerspruch zwischen der Forderung praktisch unmerkbaren, in möglichst kurzen Abständen wechselnden Passwörtern auf der einen und der Bequemlichkeit der User/Admins (und letztendlich auch der Effizienz der Arbeit) auf der anderen Seite schon bewusst. Und die besagte Excel-Tabelle oder der Zettelkasten sind natürlich das beste Beispiel für eine verfehlte Sicherheitspolitik in der Firma.
ACK, wenn ich mal wieder irgendwo zum vierten mal das falsche Passwort eingetippt habe (oder den falschen User) und kurz vor der Sperrung stehe, denk ich mir auch oft, wie schön wäre ne Chipkarte oder ein Biometrisches verfahren, das den ganzen Rotz ersparen würde.
Man muss hier sehr stark zwischen dem technisch Machbaren, dem sicherheitspolitisch Notwendigen und dem userfreundlich Zumutbaren abwägen.
ACK.
Auf die Grundfrage dieses Threads bezogen: Was sichern diese PINs ab? Wie interessant sind diese Daten für andere? Gibt es andere/leichtere Wege, an die Daten zu kommen? (Wen interessieren schon Nutzeraccounts, wenn man eh schon die passwd in den Händen hält? *g*)
Klar, wenn das Passwort (wenn auch nur im verschlüsseltem Zustand) vorliegt, ist die Sache gelaufen, denn es ist immer nur eine Frage der Zeit, bis es geknackt ist. Bei den rapide ansteigenden Rechenleistungen müsste man da wohl ne ganze Kurzgeschichte als Passwort verwenden um noch auf absehbare Zeit sicher zu sein.
Diese Fragen muss man klären und dann abwägen. Ist nicht immer leicht, und ggf. gehört auch noch eine Menge Überzeugungsarbeit bei den betreffenden Usern dazu, um sie für die Notwendigkeit dieser Sicherheits-Policies zu überzeugen. Was nützt die beste Verschlüsselung, wenn man über Social-Hacking ganz leicht direkt an die Passwörter kommt.
Klar, gerade Namen aus dem eigenen Familienkreis ziehen fast immer, wenn man eine gewisse Anzahl User zur Verfügung hat ;-) -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de