<p dir="ltr">Am 08.08.2016 3:07 nachm. schrieb "Smilie" <<a href="mailto:smilie@posteo.de">smilie@posteo.de</a>>:<br>
><br>
> Vielen Dank für deinen Beitrag und deine Ehrlichkeit bei diesem doch<br>
> schwierigen Thema.<br>
> Dein Beitrag bestätigt mir, dass die Vorstellung von der<br>
> Passwort-Handhabe durchaus diskussionswürdig ist.</p>
<p dir="ltr">Der wichtigste Punkt bei der Diskussion ist IMHO, dass je nach Sicherheitsbedarf andere Massnahmen erforderlich sind.</p>
<p dir="ltr">> Dass es sich hier um Router handelt wo die Passwörter so oder so keinen<br>
> Speicherplatz einnehmen dürfen ist schon klar.</p>
<p dir="ltr">Da es sich immer nur um ein einziges Passwort handelt, ist der Speicherplatz AFAICT kein Thema. In meinem Freifunk-Umfeld haben sich Zufallspasswörter bewährt, an jedem Standort ein anderes. Das halten die Beteiligten bisher für ausreichend, obwohl bei Änderungen an der Einstellungen keiner nachvollziehen kann, wer sie gemacht hat.</p>
<p dir="ltr">Server mit wichtigen Daten sollte man so vielleicht nicht administrieren. Da wird der vorausschauende Admin dafür sorgen, dass er nicht für die Fehler seiner Kollegen verantwortlich gemacht wird.</p>
<p dir="ltr">> Es gibt auf der Liste aber auch Admins, welche auf anderer Ebene mit<br>
> Passwörtern in Verbindung kommen.</p>
<p dir="ltr">Der Server-Admin oder Entwickler einer Webanwendung beschäftigt sich hoffentlich auf höherem Level als wir es hier tun mit dem Thema Sicherheit - freiwillig und ohne Diskussionsbedarf.</p>
<p dir="ltr">> Für alle einfachen User ist das<br>
> Wissen darüber ebenfalls interessant. Ich halte es für wichtig, dass es dafür ein allgemeines<br>
> Verständnis gibt.</p>
<p dir="ltr">Leider gibt AFAICT keine allgemeingültigen Regeln, was "erforderlich" ist. Das macht die Sache ja so kompliziert.</p>
<p dir="ltr">Das ist bei Objektsicherheit aber auch nicht besser: Wie viele und welche Schlösser "braucht" meine Wohnungstür? Die Antworten von Polizei, Versicherung und Herstellern/Installateuren werden vermutlich auch nicht übereinstimmen.</p>
<p dir="ltr">> Neulich habe ich über dieses Thema mit einer Richterin gesprochen, die<br>
> meinen Worten aus ehrlichem Interesse aufmerksam zugehört hat. Meine Sicht der Dinge war<br>
> ihr also neu.</p>
<p dir="ltr">IT-Security und Datenschutz sind für viele Leute #Neuland :-(</p>
<p dir="ltr">> Wenn ein Passwort verloren geht, schickt man nicht das alte Passwort,<br>
> das wäre kompromitierend und beschämend für den Admin, sondern ein<br>
> neues Trivial-Passwort und lässt dieses dann ändern.</p>
<p dir="ltr">Dann sollen sich die Admins der Berliner Freifunk-Mailingliste mal schämen gehen. ;-)<br>
"Verwenden Sie kein wertvolles Passwort, da es ab und zu im Klartext an Sie geschickt wird!"<br>
Stört aber AFAICT bisher niemanden, der auf der Liste angemeldet ist.</p>
<p dir="ltr">Dein Passwort liegt dort vermutlich auch im Klartext. ;-)</p>
<p dir="ltr">> Wie schon gesagt, es ist für den Admin besser die Kenntnis über die<br>
> Passwörter erst überhaupt nicht zu erhalten. Denn Gelegenheit macht<br>
> auch Kriminelle.</p>
<p dir="ltr">Der kriminelle Admin verkauft dann eben die Kundendatenbank mit den Kreditkartendaten. ;-)<br>
Eine Gelegenheit wird sich immer finden lassen, wenn im Unternehmen die Sicherheit gegen Kosten oder Bequemlichkeit verloren hat.</p>
<p dir="ltr">Verschlüsselte Passwörter sind eine Hürde für einen Angreifer. Und je mehr Hürden man in den Weg stellt, desto eher stolpert er. ;-)</p>
<p dir="ltr">> Das ist wie, als wenn ich mein Fahrrad draußen<br>
> unangeschlossen stehen lasse. Der Dieb wird geringer bestraft, weil er<br>
> verleitet wurde.</p>
<p dir="ltr">Solange der Dieb behaupten kann, sich das Fahrrad nur ausgeliehen zu haben, war es vielleicht sogar überhaupt kein Diebstahl sondern nur eine unbefugte Benutzung. Da fehlt mir wieder das Jura-Studium, um beurteilen zu können, wie sehr Dein Vergleich hinkt. ;-)</p>
<p dir="ltr">"unangeschlossen draußen" wäre übertragen auf die Passwörter IMHO auf dem Level "Link auf Startseite", MD5-Hash das Zahlenschloss mit den drei Ziffern.</p>
<p dir="ltr">lg<br>
Harald</p>