PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Passwort problem



Alexander
05.04.2004, 08:52
Nach dem ich da einige Dinge gelesen hatte wollte ich mir ein etwas sichereres Passwort zulegen.
Ich hatte auch eines, wunderbar, paar sonderzeichen drin, auswendig gelernt und insgesamt 26 zeichen.
War alles bestens bis ich mich direkt vor der Linux Rechner sezte und das Passwort dort eingeben wollte. Er nahm die Sonderzeichen nicht.

Gibt es irgendwo eine Liste von Sonderzeichen die man verwenden kann ohne auf solche schwierigkeiten zu stoßen?

qmasterrr
05.04.2004, 09:08
|Q\$O4]i\<a_->*(6;<:-\~}


das wäre ein gültiges passwort nur ob deine zeichen map die du nach dem booten hast das verkrafted weiß ich nicht
lass dir einfach ein pw mit mkpasswd generieren

Alexander
05.04.2004, 10:13
Das mit dem mkpasswd hört sich klasse an wenn es denn ginge : /

Achso und gültig waren meine sonderzeichen auch nur konnte ich sie nur im ssh client verwenden

tr0nix
05.04.2004, 10:14
Mein Gott, also das tut's auch:
Schneewittchen hinter den 7 Bergen treibts mit allen 7 Zwergen
-> Shd7Btma7Z

Alexander
05.04.2004, 10:17
Werd nich frech : D

Die noobs sind immer die ersten die es zui spüren bekommen wenn sie zu leichtsinnig sind.

Glaubst garnicht wie oft ich mir was vor beten lasssen musste von wegen mein passwort sei zu einfach etc.

qmasterrr
05.04.2004, 10:21
jop du solltest ne andere keymap beim booten laden lassen

Alexander
05.04.2004, 10:25
Was habe ich davon? Gehen dann noch mehr Sonderzeichen oder wie?

und vor allem wo muss ich ihm das sagen?

SilverHawK
05.04.2004, 10:30
ne aber die tastenbelegung ist anders

Alexander
06.04.2004, 11:49
Meine Tastenbelegung ist schon in Ordnung.

Habe inzwischen eine schöne Lösung gefunden : )


Kleiner tipp meinerseits für die , die ein passwort brauchen.

Man nehme md5 verschlüssele irgend nen müll und heraus kommt ein perfekter Buchstaben- und Zahlen Salat in den man noch ein paar Sonderzeichen hineinklatscht.
Fertig ist das passwort. : D

bananenman
06.04.2004, 12:43
und wer soll sich das dann merken können? schreibst du dir das dann auf einen zettel und versteckst den unter der tastatur?
ein richtiges mantra erstellt man anders:

bilde dir einen möglichst langen, unsinnigen satz, der eine geschichte erzählt mit der nur du etwas verbindest (das ist wichtig, sonst wirst du dir das mantra nie merken) - sowas wie: der dicke rote man, der am kirchturm sägt, mag kein softeis.

über diesen satz lässt du einen imaginären filter laufen - sowas wie:
abwechelnd anfangs und endbuchstaben, alle o's und alle kommas. das ergibt schonmal: deron,dmkt,mns

zweiter filter: den jeweils erstmalig auftretenden doppelten buchstaben groß, beim zweiten auftreten werden die buchstaben a - z duch 1 - 9 ersetzt (j ist wieder 1): Deron,4Mkt,45s

dritter filter: vokale werden durch die sonderzeichen ersetzt, die auf der tastatur direkt "über" ihnen stehen (bsp. e=$): D$r)n,Mkt,45s

denk dir deine filterregeln selber aus, du musst sie dir ja auch merken können. das jetzt erstellte passwort hat aber nur 13 stellen, d.h. entweder brauchst du einen längeren satz oder du fügst mittels eines filters noch zeichen dazu. hast du dir eine gute geschichte gewählt und sind deine filterregeln für dich nachvollziehbar, kannst du das mantra noch in jahren rekonstruieren ohne es auswendig lernen zu müssen (und natürlich ohne zettel, ohne "versteckte-passwortdatei", ... )

so ein recht sicheres mantra natürlich auch regelmäßig gewechselt werden!

alternativ nimmst du eines der div. key-gen programme, erstellst dir einen key und lädst den auf ein usb-token oder auf eine chipkarte - zur größten not auch auf eine diskette. sichere keys kannst du z.b. mit ssh-keygen, oder mit gpg-keygen erstellen. hash-algortithmen wie md5 solltest du dazu nicht benutzen (md5 ist nicht sicher).

mfg

bananenman

ps: ich hoffe inständig das keiner auf die selten blöde idee kommt, dieses mantra oder "meine" filterregeln zu verwenden. überhaupt sollten öffentlich gepostete passwörter niemals wiederverwendet werden, da es einige boots gibt, die das netz nach mantras durchsuchen!

Alexander
06.04.2004, 14:50
Wer seine Passwörter aufschreibt und unter die Tastatur legt ist echt nicht ganz richtig. Dann kann ich glech das PW weglassen : )

Ich habe eigentlich keine Probleme mir ein solches Passwörter zu merken.

Trotzalledem ist das auch eine schöne Idee.

Warum sollte der Buchstaben Salat den md5 ausspuckt nicht sicher sein?

Es kann doch kein Mensch nachweisen was ich da eingegeben habe.
Das musste mir mal genauer erklären bitte.

bananenman
06.04.2004, 16:57
md5 summen haben eine innere struktur, die man als mensch nicht erkennt - rechner erkennen diese aber schon, denn das md5-verfahren und der zugrundeliegende algorithmus ist bekannt. zudem ist md5 kein kryptographisches verfahren mit einer "trapdoor" ( wie aes, blowfish, 3des, ...), sondern ein einfaches verfahren zur prüfsummen-erstellung. ein angreifer könnte auf die idee kommen, das es sich um eine md5-summe handelt. ok, hast du eine große menge von dateien (und damit von potenziellen md5-summen), wählst eine md5summe aus und versiehst sie mit zusätzlichen zeichen (die normalerweise in einer md5summe nicht vorkommen). dann hast du den angreifer ausgeschaltet, aber das problem, dass du dir das mantra irgendwie merken musst. eine md5summe ist aber wiederum keine zufallszahl, noch dazu enthalten md5 summen spezifische muster. ein angreifer könnte also feststellen, welche zeichen zur (erwarteten) checksumme gehören, und welche von dir nachträglich eingefügt sind. das vereinfacht einen brute-force-angriff (genauso, wie man es bei einem mantra vermeiden sollte reguäre wörter oder silben zu benutzen, da das einen brute-force angriff erheblich beschleunigt).

letztlich wird es in deiner arbeitsumgebung (in meiner ist es das auf alle fälle) total egal sein - für standardrechner zu hause oder im büro reicht auch heute noch ein einfaches 7-stelliges userpassword aus (jedenfalls wenn mit der shadow gearbeitet wird) - und das ist jawohl auch das was dir suse bei der standardinstallation anbietet (oder sollte sich das inzwischen geändert haben?).

vom kryptographischen standpunkt her ist es am sichersten, sich einen großen key zu erstellen (2048bit) und den mit einem regelmäßig zu ändernden mantra (<16 zeichen) zu verschlüsseln - dann kommt das ding auf ein usb-token. hast du ein gutes mantra gewählt, kannst du das token ruhig verlieren (schade bloß um die 20 €) - keiner wird sich mit deinem schlüssel anmelden können. gleichzeitig lässt sich der key dann auch für ssh, loopdevices, usw. ... benutzen.

mfg

bananenman

Alexander
06.04.2004, 17:13
Hört sich alles sehr interessant an..

Der Bekannte erzählte mir man habe ihm schon ettliche male den Rechner geschrottet und da ich bestimmt nicht alle ports nach aussen dicht machen sonder ftp o.ä. nutzen möchte, dachte ich mir das ein Sicheres root pw doch sinnvoll ist.

Was ist ein Token? Kenne ich nur von Token-Ring und ich glaube nicht das dun das meinst.

Hab kein Suse, sondern Fedora, aber das macht vermutlich kaum ein unterschied : )

Bevor ich das vergesse, was ist ein exploit? Das sei eine gefährliche Sache..

qmasterrr
06.04.2004, 17:57
------------
Bevor ich das vergesse, was ist ein exploit? Das sei eine gefährliche Sache..
------------

also ein Exploit ist einfach gesagt eine anweisung (oder auch programm) um eine sicherheitslücke auszunutzen. werden meist auch von den entdeckern einer sicherheitslücke geschrieben um zu beweisen das sie existiert

hoffe mit dieser erklärung sind alle einverstanden

ein token ist soweit ich weiß sowas in der art wie ein dongle du steckst den in deinen rechner und der rechner weiß dann das du da bist bzw wer du bist

bananenman
06.04.2004, 18:11
ein token aus dem token-ring verfahren kennst du ja - dort ist das token ein "jetzt-bin-ich-drann"-ausweis: wer es hat, ist am drannsten. ein usb-token ist eigentlich (fast genau ) ;) das selbe. es ist ein ganz stinknormaler usb-stick (meist mit nur 4 mb speicherplatz), auf dem der schlüssel eines users gespeichert ist. jeder, der das usb-token hat, darf sich als entsprechender user anmelden. das wird von großen firmen gerne bei externen mitarbeitern (z.b. technikern) eingesetzt - so hat der techniker zugang zu bestimmten genau (über die user-id und den schlüssel) festgelegten bereichen. ist seine arbeit erledigt, gibt er den token wieder ab und der account ruht, bis der token wieder ausgegeben wird (natürlich wird der account zwischendurch bereinigt, neue mantras eingetragen, ... , so das der aushäusige techniker - sollte er sich das token kopiert haben - mit dem key und dem mantra nichts anfangen kann).

zwischen suse und red hat/fedora besteht da schon ein unterschied - alle red hat basierten linuxe (wie z.b. auch mandrake) haben schon seit jahren große chiffrierte passwörter. suse bietet das zwar auch schon lange, aber eben nicht als standard.

normalerweise sage ich immer: selber googlen macht schlau. aber da ich dir ja ohnehin schon geantwortet habe:


Exploit

aus Wikipedia, der freien Enzyklopädie

Ein Exploit (englisch to exploit - ausnutzen) ist ein Computerprogramm, welches spezifische Schwächen beziehungsweise Fehlfunktionen eines anderen Computerprogrammes ausnutzt (z. B. bei DoS-Attacken). Dies erfolgt in der Regel mit destruktiver Absicht.

Ein Exploit wird oft auch zur Demonstration einer Sicherheitslücke geschrieben und veröffentlicht. Dadurch soll erreicht werden, dass Hersteller von Software gezwungen werden möglichst schnell auf bekannt gewordene Sicherheitslücken zu reagieren.

mfg

bananenman

EDIT:/ uups, da war wohl einer schneller - man sollte halt beim posten nicht so vie essen ... :rolleyes:

Alexander
06.04.2004, 20:45
THX!

Also habe schon danach gegoogelt, nur nichts brauchbares gefunden.
Ich hatte diesmal das pech das ich nichtmal genau wusste wonach ich suche, denn sonst hätte ich meine Suche noch mehr einschränken können.

Also danke für die Antworten.. : )