[Berlin-wireless] Passwörter verwalten für Windows und Mac-User

[Harald Stürzebecher]

Am 08.08.2016 3:07 nachm. schrieb "Smilie" <smilie at posteo.de>:
>
> Vielen Dank für deinen Beitrag und deine Ehrlichkeit bei diesem doch
> schwierigen Thema.
> Dein Beitrag bestätigt mir, dass die Vorstellung von der
> Passwort-Handhabe durchaus diskussionswürdig ist.

Der wichtigste Punkt bei der Diskussion ist IMHO, dass je nach
Sicherheitsbedarf andere Massnahmen erforderlich sind.

> Dass es sich hier um Router handelt wo die Passwörter so oder so keinen
> Speicherplatz einnehmen dürfen ist schon klar.

Da es sich immer nur um ein einziges Passwort handelt, ist der
Speicherplatz AFAICT kein Thema. In meinem Freifunk-Umfeld haben sich
Zufallspasswörter bewährt, an jedem Standort ein anderes. Das halten die
Beteiligten bisher für ausreichend, obwohl bei Änderungen an der
Einstellungen keiner nachvollziehen kann, wer sie gemacht hat.

Server mit wichtigen Daten sollte man so vielleicht nicht administrieren.
Da wird der vorausschauende Admin dafür sorgen, dass er nicht für die
Fehler seiner Kollegen verantwortlich gemacht wird.

> Es gibt auf der Liste aber auch Admins, welche auf anderer Ebene mit
> Passwörtern in Verbindung kommen.

Der Server-Admin oder Entwickler einer Webanwendung beschäftigt sich
hoffentlich auf höherem Level als wir es hier tun mit dem Thema Sicherheit
- freiwillig und ohne Diskussionsbedarf.

> Für alle einfachen User ist das
> Wissen darüber ebenfalls interessant. Ich halte es für wichtig, dass es
dafür ein allgemeines
> Verständnis gibt.

Leider gibt AFAICT keine allgemeingültigen Regeln, was "erforderlich" ist.
Das macht die Sache ja so kompliziert.

Das ist bei Objektsicherheit aber auch nicht besser: Wie viele und welche
Schlösser "braucht" meine Wohnungstür? Die Antworten von Polizei,
Versicherung und Herstellern/Installateuren werden vermutlich auch nicht
übereinstimmen.

> Neulich habe ich über dieses Thema mit einer Richterin gesprochen, die
> meinen Worten aus ehrlichem Interesse aufmerksam zugehört hat. Meine
Sicht der Dinge war
> ihr also neu.

IT-Security und Datenschutz sind für viele Leute #Neuland :-(

> Wenn ein Passwort verloren geht, schickt man nicht das alte Passwort,
> das wäre kompromitierend und beschämend für den Admin, sondern ein
> neues Trivial-Passwort und lässt dieses dann ändern.

Dann sollen sich die Admins der Berliner Freifunk-Mailingliste mal schämen
gehen. ;-)
"Verwenden Sie kein wertvolles Passwort, da es ab und zu im Klartext an Sie
geschickt wird!"
Stört aber AFAICT bisher niemanden, der auf der Liste angemeldet ist.

Dein Passwort liegt dort vermutlich auch im Klartext. ;-)

> Wie schon gesagt, es ist für den Admin besser die Kenntnis über die
> Passwörter erst überhaupt nicht zu erhalten. Denn Gelegenheit macht
> auch Kriminelle.

Der kriminelle Admin verkauft dann eben die Kundendatenbank mit den
Kreditkartendaten. ;-)
Eine Gelegenheit wird sich immer finden lassen, wenn im Unternehmen die
Sicherheit gegen Kosten oder Bequemlichkeit verloren hat.

Verschlüsselte Passwörter sind eine Hürde für einen Angreifer. Und je mehr
Hürden man in den Weg stellt, desto eher stolpert er. ;-)

> Das ist wie, als wenn ich mein Fahrrad draußen
> unangeschlossen stehen lasse. Der Dieb wird geringer bestraft, weil er
> verleitet wurde.

Solange der Dieb behaupten kann, sich das Fahrrad nur ausgeliehen zu haben,
war es vielleicht sogar überhaupt kein Diebstahl sondern nur eine unbefugte
Benutzung. Da fehlt mir wieder das Jura-Studium, um beurteilen zu können,
wie sehr Dein Vergleich hinkt. ;-)

"unangeschlossen draußen" wäre übertragen auf die Passwörter IMHO auf dem
Level "Link auf Startseite", MD5-Hash das Zahlenschloss mit den drei
Ziffern.

lg
Harald
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160809/95604f49/attachment.html>