Was fällt euch auf?

    Eine Diskussion um Passwortsicherheit an anderer Stelle des Forums hat mich an meinen "Kampf" gegen eine Webseite erinnert, für die ich zum Login ein Passwort festlegen sollte.


    Ich: blafasel

    Seite: Passwort muss Groß- und Kleinbuchstaben enhalten

    Ich: Blafasel

    Seite: Passwort muss eine Ziffer enthalten

    Ich: Blafasel1

    Seite: Passwort muss ein Sonderzeichen enthalten

    Ich: Blafasel1!

    Seite: Passwort akzeptiert


    Nur zur Klarstellung. Das war in den Zeiten vor den Passwortmanagern, als man sich Passwörter noch selbst merken musste. Heute würde ich das so nicht mehr machen.

    Wenn der Anbieter halbwegs brauchbare Maßnahmen gegen Brute Force Angriffe getrofffen hat ist das PW Blafasel1!auch überhaupt kein Problem, mein Sparkassen Online Banking lässt maximal 5 Buchstaben zu und verlangt nichtmal Sonderzeichen.

    Aber es wird doch vermutlich, zumindest für die Geldgeschäfte, eine Zweifaktorauthentifizierung erzwungen, oder nicht? Daher sind die Fälle auch nur bedingt vergleichbar.

    Blafasel1 wird hauptsächlich dann zum Problem, wenn es das Standard-Passwort für alles/vieles ist.

    Zitat von Mozart40

    Aber es wird doch vermutlich, zumindest für die Geldgeschäfte, eine Zweifaktorauthentifizierung erzwungen, oder nicht? Daher sind die Fälle auch nur bedingt vergleichbar.

    Blafasel1 wird hauptsächlich dann zum Problem, wenn es das Standard-Passwort für alles/vieles ist.

    Standard-Passwort ist wohl der größte Fehler, unabhängig ob ein simples Blafasel1 oder fQ8iQhJu:*%8r7"`75zN. Einmal gephisht oder im Klartext gespeichertes ausgespäht: Ende Gelände.

    Das ist doch noch gar nichts im Vergleich zu Hyundai:


    Ich glaube, Hyundai hat da gerade die neue Referenz gesetzt.


    A developer says it was possible to run their own software on the car infotainment hardware after discovering the vehicle's manufacturer had secured its system using keys that were not only publicly known but had been lifted from programming examples.


    Ja, richtig gelesen! Die haben mit Schlüsseln aus Programmierbeispielen "verschlüsselt"!

    Und nicht nur das. Sie haben die Keys auch noch auf ihre Webseite hochgeladen.


    As luck would have it, "greenluigi1" found on Mobis's website a Linux setup script that created a suitable ZIP file for performing a system update.The script included the necessary ZIP password for the system update archives, along with an AES symmetric Cipher-Block-Chaining (CBC) encryption key (a single key rather than an RSA asymmetric public/private key pair) and the IV (initialization vector) value to encrypt the firmware images.


    Gut, aber das hatten wir ja schon häufiger, dass Leute ihre Keys bei Github und co hochluden.

    Zurück zu den Keys, wo die herkamen.


    "Turns out the [AES] encryption key in that script is the first AES 128-bit CBC example key listed in the NIST document SP800-38A [PDF]".


    Ja gut, wenn die das ZIP-Passwort und den AES-Key öffentlich zugänglich haben, vielleicht ist dann auch der RSA-Schlüssel öffentlich!

    Luck held out, in a way. "Greenluigi1" found within the firmware image the RSA public key used by the updater, and searched online for a portion of that key. The search results pointed to a common public key that shows up in online tutorials like "RSA Encryption & Decryption Example with OpenSSL in C."That tutorial and other projects implementing OpenSSL include within their source code that public key and the corresponding RSA private key.

    Und das, meine Damen und Herren, ist ein neuer Rekord. So viel geballte Inkompetenz habe ich persönlich noch nie gesehen.


    (Quelle: Fefes Blog)

    Zitat von Frank73

    Nur zur Klarstellung. Das war in den Zeiten vor den Passwortmanagern, als man sich Passwörter noch selbst merken musste. Heute würde ich das so nicht mehr machen.

    Passwortmanager haben aber auch ihre Nachteile!

    Erstens könnte der Passwortmanager selbst kompromittiert werden, und wenn man mehrere Geräte nutzen möchte, z.B. auch den Arbeitsplatz-PC kann es unkomfortabel werden. Da ist mir Passwort merken lieber.

    Und die Methode mit den Anfangsbuchstaben eines Satzes finde ich auch dumm. Denn man merkt sich Sätze ja sinngemäss aber nicht mehr im Detail.

    Ob nun:

    Meine Katze trinkt jeden Sonntag warme Ziegemlich! -> MKtjSwZ!
    oder
    Meine Katze trinkt immer sonntags warme Ziegenmilch! -> MKtiswZ!
    oder
    Meine Katze trinkt sonntags immer warme Ziegenmilch! -> MKtsiwZ!

    oder

    Meine Katze leckt jeden Sonntag warme Ziegenmilch! -> MKljSwZ!
    ...

    So genau kann man sich an keinen Satz erinnern.

    Heute war der wohl letzte Termin Ergotherapie für den gebrochenen Daumen, und den Hin- und Rückweg bin ich wieder mit dem Bus gefahren, #9€-Ticket. Auf dem Display im Bus, auf dem die ganze Zeit Nachrichten und Werbung angezeigt wurde, fand ich die Nachrichten sehr seltsam. Da war nichts mit aktuellem Bezug (Dürre, Krieg, Inflation) dabei. Als ich dann den "Wetterbericht für heute den 03.07.2021" gesehen habe, wusste ich auch warum. Das einzige was auf dem Display wirklich aktuell war, war die sporadisch eingeblendete Uhrzeit.

    Zitat von Frank73

    Heute war der wohl letzte Termin Ergotherapie für den gebrochenen Daumen, und den Hin- und Rückweg bin ich wieder mit dem Bus gefahren, #9€-Ticket. Auf dem Display im Bus, auf dem die ganze Zeit Nachrichten und Werbung angezeigt wurde, fand ich die Nachrichten sehr seltsam. Da war nichts mit aktuellem Bezug (Dürre, Krieg, Inflation) dabei. Als ich dann den "Wetterbericht für heute den 03.07.2021" gesehen habe, wusste ich auch warum. Das einzige was auf dem Display wirklich aktuell war, war die sporadisch eingeblendete Uhrzeit.


    Warum ist Du als Sesselpuper damit 👍🏻 krankgeschrieben? Frage für einen Freund! 😂👍🏻


    Und wie hast das hinbekommen? Doch n Pinsel in die Hand genommen, oder Deine Messibude ausgeräumt? 🧘🏼‍♂️


    Ich darf das! 😂

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden