Passwort problem

Dieses Thema im Forum "Security Talk" wurde erstellt von Alexander, 05.04.2004.

  1. #1 Alexander, 05.04.2004
    Zuletzt bearbeitet: 05.04.2004
    Alexander

    Alexander InfoAssi

    Dabei seit:
    28.03.2004
    Beiträge:
    192
    Zustimmungen:
    0
    Nach dem ich da einige Dinge gelesen hatte wollte ich mir ein etwas sichereres Passwort zulegen.
    Ich hatte auch eines, wunderbar, paar sonderzeichen drin, auswendig gelernt und insgesamt 26 zeichen.
    War alles bestens bis ich mich direkt vor der Linux Rechner sezte und das Passwort dort eingeben wollte. Er nahm die Sonderzeichen nicht.

    Gibt es irgendwo eine Liste von Sonderzeichen die man verwenden kann ohne auf solche schwierigkeiten zu stoßen?
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 qmasterrr, 05.04.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    |Q\$O4]i\<a_->*(6;<:-\~}


    das wäre ein gültiges passwort nur ob deine zeichen map die du nach dem booten hast das verkrafted weiß ich nicht
    lass dir einfach ein pw mit mkpasswd generieren
     
  4. #3 Alexander, 05.04.2004
    Alexander

    Alexander InfoAssi

    Dabei seit:
    28.03.2004
    Beiträge:
    192
    Zustimmungen:
    0
    Das mit dem mkpasswd hört sich klasse an wenn es denn ginge : /

    Achso und gültig waren meine sonderzeichen auch nur konnte ich sie nur im ssh client verwenden
     
  5. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Mein Gott, also das tut's auch:
    Schneewittchen hinter den 7 Bergen treibts mit allen 7 Zwergen
    -> Shd7Btma7Z
     
  6. #5 Alexander, 05.04.2004
    Alexander

    Alexander InfoAssi

    Dabei seit:
    28.03.2004
    Beiträge:
    192
    Zustimmungen:
    0
    Werd nich frech : D

    Die noobs sind immer die ersten die es zui spüren bekommen wenn sie zu leichtsinnig sind.

    Glaubst garnicht wie oft ich mir was vor beten lasssen musste von wegen mein passwort sei zu einfach etc.
     
  7. #6 qmasterrr, 05.04.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    jop du solltest ne andere keymap beim booten laden lassen
     
  8. #7 Alexander, 05.04.2004
    Alexander

    Alexander InfoAssi

    Dabei seit:
    28.03.2004
    Beiträge:
    192
    Zustimmungen:
    0
    Was habe ich davon? Gehen dann noch mehr Sonderzeichen oder wie?

    und vor allem wo muss ich ihm das sagen?
     
  9. #8 SilverHawK, 05.04.2004
    SilverHawK

    SilverHawK UnBanned

    Dabei seit:
    08.03.2004
    Beiträge:
    170
    Zustimmungen:
    0
    Ort:
    Franken - Coburg
    ne aber die tastenbelegung ist anders
     
  10. #9 Alexander, 06.04.2004
    Alexander

    Alexander InfoAssi

    Dabei seit:
    28.03.2004
    Beiträge:
    192
    Zustimmungen:
    0
    Meine Tastenbelegung ist schon in Ordnung.

    Habe inzwischen eine schöne Lösung gefunden : )


    Kleiner tipp meinerseits für die , die ein passwort brauchen.

    Man nehme md5 verschlüssele irgend nen müll und heraus kommt ein perfekter Buchstaben- und Zahlen Salat in den man noch ein paar Sonderzeichen hineinklatscht.
    Fertig ist das passwort. : D
     
  11. #10 bananenman, 06.04.2004
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    und wer soll sich das dann merken können? schreibst du dir das dann auf einen zettel und versteckst den unter der tastatur?
    ein richtiges mantra erstellt man anders:

    bilde dir einen möglichst langen, unsinnigen satz, der eine geschichte erzählt mit der nur du etwas verbindest (das ist wichtig, sonst wirst du dir das mantra nie merken) - sowas wie: der dicke rote man, der am kirchturm sägt, mag kein softeis.

    über diesen satz lässt du einen imaginären filter laufen - sowas wie:
    abwechelnd anfangs und endbuchstaben, alle o's und alle kommas. das ergibt schonmal: deron,dmkt,mns

    zweiter filter: den jeweils erstmalig auftretenden doppelten buchstaben groß, beim zweiten auftreten werden die buchstaben a - z duch 1 - 9 ersetzt (j ist wieder 1): Deron,4Mkt,45s

    dritter filter: vokale werden durch die sonderzeichen ersetzt, die auf der tastatur direkt "über" ihnen stehen (bsp. e=$): D$r)n,Mkt,45s

    denk dir deine filterregeln selber aus, du musst sie dir ja auch merken können. das jetzt erstellte passwort hat aber nur 13 stellen, d.h. entweder brauchst du einen längeren satz oder du fügst mittels eines filters noch zeichen dazu. hast du dir eine gute geschichte gewählt und sind deine filterregeln für dich nachvollziehbar, kannst du das mantra noch in jahren rekonstruieren ohne es auswendig lernen zu müssen (und natürlich ohne zettel, ohne "versteckte-passwortdatei", ... )

    so ein recht sicheres mantra natürlich auch regelmäßig gewechselt werden!

    alternativ nimmst du eines der div. key-gen programme, erstellst dir einen key und lädst den auf ein usb-token oder auf eine chipkarte - zur größten not auch auf eine diskette. sichere keys kannst du z.b. mit ssh-keygen, oder mit gpg-keygen erstellen. hash-algortithmen wie md5 solltest du dazu nicht benutzen (md5 ist nicht sicher).

    mfg

    bananenman

    ps: ich hoffe inständig das keiner auf die selten blöde idee kommt, dieses mantra oder "meine" filterregeln zu verwenden. überhaupt sollten öffentlich gepostete passwörter niemals wiederverwendet werden, da es einige boots gibt, die das netz nach mantras durchsuchen!
     
  12. #11 Alexander, 06.04.2004
    Zuletzt bearbeitet: 06.04.2004
    Alexander

    Alexander InfoAssi

    Dabei seit:
    28.03.2004
    Beiträge:
    192
    Zustimmungen:
    0
    Wer seine Passwörter aufschreibt und unter die Tastatur legt ist echt nicht ganz richtig. Dann kann ich glech das PW weglassen : )

    Ich habe eigentlich keine Probleme mir ein solches Passwörter zu merken.

    Trotzalledem ist das auch eine schöne Idee.

    Warum sollte der Buchstaben Salat den md5 ausspuckt nicht sicher sein?

    Es kann doch kein Mensch nachweisen was ich da eingegeben habe.
    Das musste mir mal genauer erklären bitte.
     
  13. #12 bananenman, 06.04.2004
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    md5 summen haben eine innere struktur, die man als mensch nicht erkennt - rechner erkennen diese aber schon, denn das md5-verfahren und der zugrundeliegende algorithmus ist bekannt. zudem ist md5 kein kryptographisches verfahren mit einer "trapdoor" ( wie aes, blowfish, 3des, ...), sondern ein einfaches verfahren zur prüfsummen-erstellung. ein angreifer könnte auf die idee kommen, das es sich um eine md5-summe handelt. ok, hast du eine große menge von dateien (und damit von potenziellen md5-summen), wählst eine md5summe aus und versiehst sie mit zusätzlichen zeichen (die normalerweise in einer md5summe nicht vorkommen). dann hast du den angreifer ausgeschaltet, aber das problem, dass du dir das mantra irgendwie merken musst. eine md5summe ist aber wiederum keine zufallszahl, noch dazu enthalten md5 summen spezifische muster. ein angreifer könnte also feststellen, welche zeichen zur (erwarteten) checksumme gehören, und welche von dir nachträglich eingefügt sind. das vereinfacht einen brute-force-angriff (genauso, wie man es bei einem mantra vermeiden sollte reguäre wörter oder silben zu benutzen, da das einen brute-force angriff erheblich beschleunigt).

    letztlich wird es in deiner arbeitsumgebung (in meiner ist es das auf alle fälle) total egal sein - für standardrechner zu hause oder im büro reicht auch heute noch ein einfaches 7-stelliges userpassword aus (jedenfalls wenn mit der shadow gearbeitet wird) - und das ist jawohl auch das was dir suse bei der standardinstallation anbietet (oder sollte sich das inzwischen geändert haben?).

    vom kryptographischen standpunkt her ist es am sichersten, sich einen großen key zu erstellen (2048bit) und den mit einem regelmäßig zu ändernden mantra (<16 zeichen) zu verschlüsseln - dann kommt das ding auf ein usb-token. hast du ein gutes mantra gewählt, kannst du das token ruhig verlieren (schade bloß um die 20 €) - keiner wird sich mit deinem schlüssel anmelden können. gleichzeitig lässt sich der key dann auch für ssh, loopdevices, usw. ... benutzen.

    mfg

    bananenman
     
  14. #13 Alexander, 06.04.2004
    Zuletzt bearbeitet: 06.04.2004
    Alexander

    Alexander InfoAssi

    Dabei seit:
    28.03.2004
    Beiträge:
    192
    Zustimmungen:
    0
    Hört sich alles sehr interessant an..

    Der Bekannte erzählte mir man habe ihm schon ettliche male den Rechner geschrottet und da ich bestimmt nicht alle ports nach aussen dicht machen sonder ftp o.ä. nutzen möchte, dachte ich mir das ein Sicheres root pw doch sinnvoll ist.

    Was ist ein Token? Kenne ich nur von Token-Ring und ich glaube nicht das dun das meinst.

    Hab kein Suse, sondern Fedora, aber das macht vermutlich kaum ein unterschied : )

    Bevor ich das vergesse, was ist ein exploit? Das sei eine gefährliche Sache..
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 qmasterrr, 06.04.2004
    Zuletzt bearbeitet: 06.04.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    ------------
    Bevor ich das vergesse, was ist ein exploit? Das sei eine gefährliche Sache..
    ------------

    also ein Exploit ist einfach gesagt eine anweisung (oder auch programm) um eine sicherheitslücke auszunutzen. werden meist auch von den entdeckern einer sicherheitslücke geschrieben um zu beweisen das sie existiert

    hoffe mit dieser erklärung sind alle einverstanden

    ein token ist soweit ich weiß sowas in der art wie ein dongle du steckst den in deinen rechner und der rechner weiß dann das du da bist bzw wer du bist
     
  17. #15 bananenman, 06.04.2004
    Zuletzt bearbeitet: 06.04.2004
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    ein token aus dem token-ring verfahren kennst du ja - dort ist das token ein "jetzt-bin-ich-drann"-ausweis: wer es hat, ist am drannsten. ein usb-token ist eigentlich (fast genau ) ;) das selbe. es ist ein ganz stinknormaler usb-stick (meist mit nur 4 mb speicherplatz), auf dem der schlüssel eines users gespeichert ist. jeder, der das usb-token hat, darf sich als entsprechender user anmelden. das wird von großen firmen gerne bei externen mitarbeitern (z.b. technikern) eingesetzt - so hat der techniker zugang zu bestimmten genau (über die user-id und den schlüssel) festgelegten bereichen. ist seine arbeit erledigt, gibt er den token wieder ab und der account ruht, bis der token wieder ausgegeben wird (natürlich wird der account zwischendurch bereinigt, neue mantras eingetragen, ... , so das der aushäusige techniker - sollte er sich das token kopiert haben - mit dem key und dem mantra nichts anfangen kann).

    zwischen suse und red hat/fedora besteht da schon ein unterschied - alle red hat basierten linuxe (wie z.b. auch mandrake) haben schon seit jahren große chiffrierte passwörter. suse bietet das zwar auch schon lange, aber eben nicht als standard.

    normalerweise sage ich immer: selber googlen macht schlau. aber da ich dir ja ohnehin schon geantwortet habe:

    mfg

    bananenman

    EDIT:/ uups, da war wohl einer schneller - man sollte halt beim posten nicht so vie essen ...
    :rolleyes:
     
Thema:

Passwort problem

Die Seite wird geladen...

Passwort problem - Ähnliche Themen

  1. .htaccess Passwort Schutz Problem

    .htaccess Passwort Schutz Problem: Hey Leute, folgendes Problem. Der Passwortschutz mit .htaccess Dateien funktioniert nur in Ordner, die expliziet in der apache.conf festgelegt...
  2. Installation, aber wo hin mit dem WLAN Passwort?

    Installation, aber wo hin mit dem WLAN Passwort?: Hallo, ich hab nicht gewußt wohin mit dem Wlan-Passwort (WPA2). Dadurch habe ich MidnightBSD gefunden und da installier ich was, aber es ist...
  3. GRUB-Passwortschutz ist Makulatur

    GRUB-Passwortschutz ist Makulatur: Wer den Zugang zu seinem Rechner mit einem Passwort im Bootloader GRUB gesichert hat, sollte dringend ein Update vornehmen. Es erfordert lediglich...
  4. Passwortsynchronisation zwischen OpenLDAP und Samba

    Passwortsynchronisation zwischen OpenLDAP und Samba: Hallo zusammen, Ich habe folgendes Problem: 1. Auf einem Server laeuft ein OpenLDAP mit LAM-Manager-Pro und dem User-Self-Service zum Setzen...
  5. WLAN-Passwort-Abfrage abschalten funktioniert nur bedingt

    WLAN-Passwort-Abfrage abschalten funktioniert nur bedingt: Hallo, immer wenn ich mich ins Uni-WLAN einwählen will, macht Ubuntu Gnome das nicht automatisch, sondern zeigt ein Fenster mit dem Login und...