[Berlin-wireless] Passwörter verwalten für Windows und Mac-User

Smilie smilie at posteo.de
Mo Aug 8 15:07:07 CEST 2016


Vielen Dank für deinen Beitrag und deine Ehrlichkeit bei diesem doch
schwierigen Thema.
Dein Beitrag bestätigt mir, dass die Vorstellung von der
Passwort-Handhabe durchaus diskussionswürdig ist.

Dass es sich hier um Router handelt wo die Passwörter so oder so keinen
Speicherplatz einnehmen dürfen ist schon klar. 

Es gibt auf der Liste aber auch Admins, welche auf anderer Ebene mit
Passwörtern in Verbindung kommen. Für alle einfachen User ist das
Wissen darüber ebenfalls interessant. Ich halte es für wichtig, dass es dafür ein allgemeines Verständnis gibt.

Neulich habe ich über dieses Thema mit einer Richterin gesprochen, die
meinen Worten aus ehrlichem Interesse aufmerksam zugehört hat. Meine Sicht der Dinge war ihr also neu.



Wenn ein Passwort verloren geht, schickt man nicht das alte Passwort,
das wäre kompromitierend und beschämend für den Admin, sondern ein
neues Trivial-Passwort und lässt dieses dann ändern.

Wie schon gesagt, es ist für den Admin besser die Kenntnis über die
Passwörter erst überhaupt nicht zu erhalten. Denn Gelegenheit macht
auch Kriminelle. Das ist wie, als wenn ich mein Fahrrad draußen
unangeschlossen stehen lasse. Der Dieb wird geringer bestraft, weil er
verleitet wurde.

lg


Am Wed, 3 Aug 2016 20:57:18 +0200
schrieb Harald Stürzebecher <haralds at metafly.info>:

> Am 03.08.2016 4:57 nachm. schrieb "Smilie" <smilie at posteo.de>:
> >
> > Ich behaupte aller Wahrscheinlichkeit nach zu Unrecht, wer ein Linux
> > bedienen kann, weiß wie Passwörter verwaltet werden.
> > Dass ich hier falsch liege, kann immer noch sehr
> > wahrscheinlich, aber die Diskussion lohnt sich vielleicht.
> >
> > Der Sinn und Zweck für solch einen MD5, oder welchen billigen
> > Crypto-Script wir auch immer zu Hilfe nehmen, ist der folgende...
> >
> > * Passwörter werden niemals im Klartext gespeichert. Auf welchem
> >   Computer auch immer.
> > * Passwörter werden auch nicht in einer verschlüsselten Form
> >   gespeichert. Nur bei Einwegverscrampelung!  
> 
> Es spricht sich langsam herum, das bei Webdiensten eine Funktion, die
> dem Nutzer sein vergessenes Passwort per Email zuschickt, zwar
> praktisch ist, aber "Nebenwirkungen" hat. ;-)
> 
> > Sollte mein Passwort irgend einmal bei Simyo, Amazon, Telekom,
> > Freifunk, oder bei der deutschen Bank im Klartext oder in einer
> > entschlüsselbaren knackbaren verschlüsselten Form abhanden kommen,
> > habe ich gute Karten diese Leute zu verklagen.  
> 
> Verklagen schon, aber gewinnen?
> 
> Bei einer GPL-Software wie der Freifunk-Firmware sind die
> Erfolgschancen vermutlich eher gering.
> 
> Außerdem fehlt für einen erfolgreichen Angriff auf die "wichtigen"
> Webseiten noch der jeweilige Benutzername. Bei meinen Routern ist das
> meistens root oder ubnt, bei Amazon oder der Bank vermutlich nicht.
> Die Kontaktdaten könnten vielleicht zur Identifizierung herangezogen
> werden, sollten also auch nicht an wichtiger Stelle verwendet werden.
> Danke, dass Du mich darauf gebracht hast.
> 
> > Ich kann bei Frust über Fahrlässigkeit ohne weitere Anstrengungen
> > behaupten, dass das Passwort dummerweise auch an einer anderen
> > Stelle gepasst hat. Und dann ist richtig Schaden entstanden.  
> 
> Ein Schaden ist genau dann entstanden, wenn Du ihn nachweisen
> kannst. ;-) Die Zeit, die Du brauchst, um bei zwanzig Diensten "Dein"
> Passwort zu ändern, ersetzt Dir niemand. Also lieber gleich
> unterschiedliche Passwörter verwenden.
> 
> Ein entsprechender Hinweis gehört IMHO direkt neben das Passwort-Feld
> der Freifunk-Config und in die FAQ.
> 
> > Das soll heißen...
> >
> > MD5, ein SHA-Hash oder die Stinkstiefelformel, welche man bekannter
> > Maßen zur Verschlüsselung von Passwörtern verwendet sind
> > Verscrampelungen ohne Rückweg.  
> 
> Den Rückweg zum Passwort braucht der Angreifer beim FF-Router nicht,
> eine Kollision reicht schon, um sich einzuloggen und Schadsoftware
> draufzupacken. Die kann dann beim nächsten Login das Klartextpasswort
> abgreifen. Nur extrem sicherheitsbewusste Leute, die ausschließlich
> SSH mit public key verwenden und Passwort-Login sperren sind davor
> einigermaßen sicher. Das lässt sich aber AFAICT schlecht im Browser
> abbilden. Da schaffen wir nicht einmal ordentliche SSL-Zertifikate
> gegen MitM-Angriffe.
> 
> Einen Algorithmus zu verwenden, bei dem es Sekunden (Rainbow-Table)
> oder bestenfalls Stunden (Wörterbuch, Brute-Force) dauert um einen
> Treffer zu rekonstruieren, ist IMHO eigentlich fahrlässig. Besonders,
> wenn dann noch mit der "Verschlüsselung" der Passwörter geworben
> wird. Damit lässt sich zwar nicht sicher das Original-Passwort
> rekonstruieren, findet aber mit einer Wörterbuchattacke vermutlich
> passende Kandidaten. Dann hat der Angreifer eine nicht so sehr große
> Anzahl an potentiellen Passwörtern, die er auch woanders probieren
> kann. Etwas mehr Aufwand, aber nicht wirklich ein Hindernis.
> Rainbow-Tabellen gibt es für MD5 seit Jahren. Wer das jetzt noch in
> seine Software neu einbaut oder nicht endlich entfernt, hat IMHO ein
> Qualitätsproblem.
> 
> Selbst auf 8-bit-Mikrocontrollern gibt es anscheinend bessere
> Funktionen: https://rweather.github.io/arduinolibs/crypto.html
> 
> > Der Vergleich der Passwörter geschieht nach der Verscrampelung.
> >
> > Somit ist es nicht notwendig das Passwort auf der Admin-Seite zu
> > kennen. Welcher Admin sich aus welcher Neugierde heraus auch immer
> > für die Passwörter interessiert oder diese ansieht, macht sich nach
> > dem Stand der Technik eventuell strafbar.  
> 
> Ist bei den Freifunk-Routern, um die es im Thread ging, eher kein
> Thema.
> 
> Harald




Mehr Informationen über die Mailingliste Berlin