1. Foren
  2. Kommentare
  3. Applikationen-Forum
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke…

Verstehe das Problem nicht

  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Verstehe das Problem nicht

    Autor: blupp1 24.08.12 - 08:23

    Ich verstehe das Problem nicht? Den Passworthinweis sollte man doch lesen können wenn man das Passwort vergessen hat?!

  2. Re: Verstehe das Problem nicht

    Autor: ad (Golem.de) 24.08.12 - 08:29

    blupp1 schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe das Problem nicht? Den Passworthinweis sollte man doch lesen
    > können wenn man das Passwort vergessen hat?!


    Ja. Aber doch nicht, wenn ich durch eine Sicherheitlücke aus der Ferne Zugriff auf ihren Rechner habe, oder?. Es geht wie geschrieben nicht darum dass jemand in Persona vor dem Rechner steht.

    Mit freundlichen Grüßen

    ad (Golem.de)

  3. Re: Verstehe das Problem nicht

    Autor: Xennor 24.08.12 - 08:49

    Wie wo anders schon geschrieben.
    Wenn jemand "aus der Ferne" Zugriff auf meine Registry hat, habe ich wohl ganz andere Probleme...

    Wer natürlich so doof ist, und das Passwort nahezu identisch (1:1 dürfte wohl nicht möglich sein) in den Hinweis schreibt, der hat es auch nicht besser verdient.

  4. Re: Verstehe das Problem nicht

    Autor: Klitzklotsch 24.08.12 - 08:58

    Hat den Blogeintrag jemand gelesen?

    Erstens benötigt man zum auslesen System-Rechte. Die Kiste muss dann schon übel infiziert sein. Mal eben so remote auslesen is nicht.

    Auf nem Mac gehts übrigens so:
    dscl . -readall /users AuthenticationHint

  5. Re: Verstehe das Problem nicht

    Autor: Godzilla 24.08.12 - 08:59

    Es geht ja nicht nur um "fast 1:1" eingetragene Paßwörter, der Hint kann ja auch fürs "Social Hacking" verwendet werden, wie die im Artikel angegebenen Beispiele "Lieblingsfarbe" oder "Mädchenname der Mutter" belegen. Wenn der Hacker nun ein allzu neugieriger (oder gar böswilliger) Bekannter ist, kann ihm so ein Hint schon weiterhelfen

  6. Re: Verstehe das Problem nicht

    Autor: Korashen 24.08.12 - 09:03

    Ich verstehe das Problem auch nicht so ganz...

    Wenn ich Systemrechte brauche, um die Hinweise remote auszulesen... dann hab ich doch schon einen Remotezugriff mit Systemrechten und hab freie Hand. Was jucken mich dann die Passworthinweise?

  7. Re: Verstehe das Problem nicht

    Autor: blau34 24.08.12 - 09:07

    Genau.

    hier wird etwas als Lücke dargestellt was so keine ist.
    Wenn der Remotezugriff auf die Reg. mit Systemrechten da ist, dann ist etwas anderes faul. Gibt's denn da konkret ein Angriffs Scenario was funktioniert? Im übrigen ist der Passwort Hinweis kein Frage Antwort Spiel mit zurücksetzten. Es ist eine reine Gedankenstütze.

  8. Re: Verstehe das Problem nicht

    Autor: ad (Golem.de) 24.08.12 - 09:23

    blau34 schrieb:
    --------------------------------------------------------------------------------
    > Genau.
    >
    > hier wird etwas als Lücke dargestellt was so keine ist.
    > Wenn der Remotezugriff auf die Reg. mit Systemrechten da ist, dann ist
    > etwas anderes faul. Gibt's denn da konkret ein Angriffs Scenario was
    > funktioniert? Im übrigen ist der Passwort Hinweis kein Frage Antwort Spiel
    > mit zurücksetzten. Es ist eine reine Gedankenstütze.


    Ja - und wenn es die Gedankenstütze so gewählt ist, dass man das PW damit leicht erraten kann... Keiner hat behauptet dass man mit der beschriebenen Lücke den Rechner initial "knacken" kann. Natürlich muss der Angreifer erst mal Zugriff auf den Windows-PC bekommen.

    Mit freundlichen Grüßen

    ad (Golem.de)

  9. Re: Verstehe das Problem nicht

    Autor: Anonymer Nutzer 24.08.12 - 09:26

    Genau. Hier nützt eine Verschlüsselung rein gar nix. Denn mann muss ja sozusagen als "Guest" den Text lesen können. Ein Hashen usw. bringt natürlich auf dem Papier was, aber doch um Gotteswillen keinen besseren Schutz.

    Also bitte klärt uns auf liebe Golen IT Security Experts und nennt uns Verfahren, die Password-Hints sicher machen.

    Danke!

  10. Re: Verstehe das Problem nicht

    Autor: Kuddel 24.08.12 - 09:27

    Nun ja, das ist ja das Problem von Trojanern und co. Die verschaffen sich Remotzugang zu einem PC und machen dann da irgendwelche sachen. z.B. Registry auslesen.
    Und dann könnte man mit den Hinweisen aus der Registry schon was machen. Aber ob das wirklich eine Sicherheitslücke ist ...

  11. Re: Verstehe das Problem nicht

    Autor: Flasher 24.08.12 - 09:31

    ad (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > blau34 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Genau.
    > >
    > > hier wird etwas als Lücke dargestellt was so keine ist.
    > > Wenn der Remotezugriff auf die Reg. mit Systemrechten da ist, dann ist
    > > etwas anderes faul. Gibt's denn da konkret ein Angriffs Scenario was
    > > funktioniert? Im übrigen ist der Passwort Hinweis kein Frage Antwort
    > Spiel
    > > mit zurücksetzten. Es ist eine reine Gedankenstütze.
    >
    > Ja - und wenn es die Gedankenstütze so gewählt ist, dass man das PW damit
    > leicht erraten kann... Keiner hat behauptet dass man mit der beschriebenen
    > Lücke den Rechner initial "knacken" kann. Natürlich muss der Angreifer
    > erst mal Zugriff auf den Windows-PC bekommen.
    >
    > Mit freundlichen Grüßen
    >
    > ad (Golem.de)

    Ja und dann? Was will ich mit dem Passwort? Wenn ich Hacker wäre, und bereits Remote-Zugriff auf einen Rechner hätte, dann wäre der Passwort-Hinweis wohl das Letzte das mich interessieren würde. Denn andere Passwörter lassen sich durch Keylogger o.ä. deutlich schneller und effizienter herausfinden, wenn man eh schon Zugriff hat. Ausser der Hacker hat einen Faible für Ratespiele.

    Ich bin ja durchaus für das Aufdecken und Berichten von Sicherheitslücken, aber in diesem Fall wird aus einer Mücke ein Elefant gemacht.



    1 mal bearbeitet, zuletzt am 24.08.12 09:33 durch Flasher.

  12. Re: Verstehe das Problem nicht

    Autor: blau34 24.08.12 - 09:35

    Wenn ich Remotezugriff auf die Registry mit Systemrechten habe, dann brauche ich kein Passwort mehr. Dann habe ich Vollzugriff.

    Einzig wenn ein zugriff Remote mit weniger Rechten möglich ist, könnte es als potentielle Lücke glaubhaft dargestellt werden. Aber wie gesagt ein Remote angriff kann ja auch das heimliche Ab fotografieren des Anmeldebildschirm sein wenn jemand ein falsches Passwort eingibt. Dann habe ich das auch im Klartext.

    Also mal wieder viel Wirbel um Garnichts. Es stehen noch diverse andere Dinge in der Reg. und die sind auch unverschlüsselt. Und interessanter. :)

  13. Re: Verstehe das Problem nicht

    Autor: Netspy 24.08.12 - 09:40

    Nur wo soll hier die Sicherheitslücke sein? Wie soll der Passwort-Hint denn auf dem Rechner verschlüsselt sein, dass man ihn auch mit Systemrechten nicht auslesen kann? Das ist schlicht nicht möglich, da auch mit Verschlüsselung der Schlüssel lokal auf dem Rechner liegen muss und auf einem kompromittierten System natürlich vom Angreifer ausgelesen werden kann.

  14. Re: Verstehe das Problem nicht

    Autor: cHaOs667 24.08.12 - 09:57

    ad (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > blupp1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich verstehe das Problem nicht? Den Passworthinweis sollte man doch
    > lesen
    > > können wenn man das Passwort vergessen hat?!
    >
    > Ja. Aber doch nicht, wenn ich durch eine Sicherheitlücke aus der Ferne
    > Zugriff auf ihren Rechner habe, oder?. Es geht wie geschrieben nicht darum
    > dass jemand in Persona vor dem Rechner steht.
    >
    > Mit freundlichen Grüßen
    >
    > ad (Golem.de)
    Bitte tuen Sie uns den gefallen und lesen den Blog Post. Das ist FUD den Sie hier verbreiten.

    Wie bereits hier im Thread angemerkt benötigt man Admin rechte auf dem Zielsystem um diesen Teil der Registry auslesen zu können und wenn jemand diese Rechte hat ist ein lesbarer Passwort Hint wirklich das letzte Problem das der Besitzer dieses Rechners hat.

  15. Beispielszenario

    Autor: Bouncy 24.08.12 - 10:00

    Klitzklotsch schrieb:
    --------------------------------------------------------------------------------
    > Hat den Blogeintrag jemand gelesen?
    >
    > Erstens benötigt man zum auslesen System-Rechte. Die Kiste muss dann schon
    > übel infiziert sein. Mal eben so remote auslesen is nicht.
    Folgendes Szenario: man ist Workstation-Admin und hat generell Zugriff auf tausende Rechner im Netz, auch samt der persönlichen Dateien der User, wenn man denn will. Trotzdem ist es ist eine Sicherheitslücke, an sein persönliches Passwort zu kommen, weil a) erst damit des Users Mails gelesen werden können ohne Spuren zu hinterlassen und b) höchstwahrscheinlich der User ein ähnliches Passwort auch privat benutzt (klar sollte man das nicht tun, aber jede Wette, dass bei 90% der User bei monatlich erzwungenem Passwortwechsel ein Standardpasswort um irgendeine simple Form der Monatszählung erweitert wird, wie "geheimaugust2012"). Also imho schon ein Problem, auch wenn sich die Schwere in Grenzen hält...

  16. Re: Beispielszenario

    Autor: Klitzklotsch 24.08.12 - 10:07

    Bouncy schrieb:

    > Folgendes Szenario: man ist Workstation-Admin und hat generell Zugriff auf
    > tausende Rechner im Netz, auch samt der persönlichen Dateien der User, wenn
    > man denn will. Trotzdem ist es ist eine Sicherheitslücke, an sein
    > persönliches Passwort zu kommen, weil

    Wenn ich "Workstation-Admin" bin (was immer damit gemeint ist) gehe ich davon aus, dass es sich um eine Windows-Domäne handelt.
    In dem Fall gehe ich einfach hin und stelle die ntds auf reversible Verschlüsselung ein. Dann habe ich die Userpasswörter im Plaintext.

    Ansonsten (ohne Domäne) kopiere ich mir von lokal die Sam und lasse 5min in den Rainbowtables suchen. Oh wunder wenn da noch LM Hashes drin sind. Dann dauerts nicht länger als 5min.

  17. Re: Beispielszenario

    Autor: wmayer 24.08.12 - 10:07

    Man kommt nicht an das Passwort sondern "nur" den Hinweis.
    Zudem hast du bereits Zugriff auf das System - das Passwort würde dir was bringen?
    Einen Zugriff auf das System. Wow!

  18. Re: Beispielszenario

    Autor: jkow 24.08.12 - 10:10

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Also imho schon ein
    > Problem, auch wenn sich die Schwere in Grenzen hält...

    Die Kernfrage ist und bleibt aber, wie von Netspy formuliert: "Wie soll der Passwort-Hint denn auf dem Rechner verschlüsselt sein, dass man ihn auch mit Systemrechten nicht auslesen kann?"

  19. Re: Verstehe das Problem nicht

    Autor: wmayer 24.08.12 - 10:11

    Ist bestimmt auch eine riesen Sicherheitslücke, wenn man so ein Passworthinweis z.B. bei einem Maildienst nutzt. Man stelle sich nur vor z.B. GMX würde sowas einsetzen und jeder könnte mit dem Wissen meiner Emailadresse einfach meinen Passworthinweis im Klartext lesen. OMFG!

  20. Re: Verstehe das Problem nicht

    Autor: Anonymer Nutzer 24.08.12 - 10:17

    wozu willste noch das pw haben wenn du schon mit adminrechten drin bist ???

    bestenfalls kann sich ein benutzer so selbst zum admin machen.
    allerdings würde ich mir dann mal gedanken über den admin machen ;)

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Applikationsmanager (m/w/d)
    Karl Simon GmbH & Co. KG, Aichhalden
  2. Administrator/-in und Anwenderbetreuer/-in (m/w/d) für die städtischen Finanzverfahren
    Stadt Ingolstadt, Ingolstadt
  3. Leitung (m/w/d) der IT-Abteilung
    Stadt Cuxhaven, Cuxhaven
  4. Srcum Master (w/m/d)
    VisualVest GmbH, Frankfurt am Main

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. ab 29,99€
  2. 12,24€ (UVP 34,99€) - günstig wie nie!


Haben wir etwas übersehen?

E-Mail an news@golem.de