1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Datenleak: BSI soll…

Sicherheitssiegel

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitssiegel

    Autor: Auaa 09.01.19 - 08:24

    Klar, jetzt springen die Politiker auf das nächstbeste Pferd, dass sie finden können.
    Um Hardware zu zertifizieren muss sie getestet werden. Und bis die entsprechende Stelle das gemacht hat, gibt es schon wieder 12 neue Patches oder Updates für das Gerät.
    Zumal die "unsicheren" Router nicht die unsicheren Passwörter ersetzen. Man müsste wie am PC in der Firma von den Portalen wie FB oder Twitter alle 3 Monate aufgefordert werden sein Kennwort zu ändern.

  2. Re: Sicherheitssiegel

    Autor: davidcl0nel 09.01.19 - 08:25

    Und bitte auch Telefonie zertifizieren, damit der Enkeltrick nicht mehr klappt!

  3. Re: Sicherheitssiegel

    Autor: coolbit 09.01.19 - 08:47

    Dir ist bewusst, dass der Zwang alle x Tage das Passwort zu ändern tendenziell zu weniger Sicherheit führt?

  4. Re: Sicherheitssiegel

    Autor: ibsi 09.01.19 - 08:59

    Es werden aber schon unsichere Passwörter verwendet. Deshalb würde es das nicht schlechter machen ;)

  5. Re: Sicherheitssiegel

    Autor: WurstWasser 09.01.19 - 09:18

    Der Unterschied ist ja auf der einen Seite schon, dass es Facebook recht egal sein kann, ob dein Passwort sicher ist, oder nicht. Das sind deine Daten, die du dort in deinem Account hast, bzw. ist es dein Problem wenn sich jemand in deinen Account hackt, und nicht das von Facebook. Bei einer Firma sieht das ganze aber noch mal anders aus. Wenn du dort Daten klauen kannst ist das der Firma nicht egal, aber evtl. dem Mitarbeiter. Ich weiß auch gar nicht mehr ob das wirklich so stimmt und falls ja wo das war, aber es gab Gerüchten zu Folge mal n Test, wo Leute befragt wurden für wie viel Geld sie ihren Firmenlogin verraten würden und für wie viel Geld sie ihren Facebook login verraten würden. Ergebnis: Facebook war teurer als Firmenlogin.

    Aber ansonsten kann ich coolbit nur zustimmen. Es mag ja sein, dass Menschen sowieso keine sicheren Passwörter benutzen, aber mit dem gegelmäßigen Zwang zum Ändern wird das ganze sicher nicht besser. Wie viele haben bei ihrem Passwort in der Firma nen festen Teil und dann dahinter ne Zahl. Wenn ich als Angreifer weiß, wie das Passwort aufgebaut ist, dann kann es mir relativ egal sein, ob das Passwort geändert wurde, denn du wirst irgendeinen Mitarbeiter finden, bei dem du schon die richtige Zahl errätst.

    Aber statt Passwort sollte man sich doch mal überlegen, nicht alternative Methoden zur Anmeldung in Windows zu verwenden. Eine Smartcard zum Beispiel. Da es in vielen Firmen doch eh Mitarbeiterausweise gibt, da wäre es doch ein leichtes entsprechende Karten zu nutzen, die einen Chip enthalten. Das ganze in Verbindung mit einer PIN sollte wesentlich sicherer sein, als dieser Zirkus mit dem erzwungenen Ändern des Passworts.

  6. Re: Sicherheitssiegel

    Autor: Auaa 09.01.19 - 09:35

    coolbit schrieb:
    --------------------------------------------------------------------------------
    > Dir ist bewusst, dass der Zwang alle x Tage das Passwort zu ändern
    > tendenziell zu weniger Sicherheit führt?


    Ich gebe dir so zu 50/50 Recht.
    Klar, im Büro führt das dazu, dass die Kennwörter irgendwo am Bildschirm, unter der Tastatur oder im Rollcontainer abgelegt werden.
    Meiner Meinung würde es aber verhindern, dass die Angreifen auf den Plattformen, so viele Passwörter abgreifen. Das dauert ja auch ein bisschen die zu sammeln bzw. ein Passwort zu hacken. Bis dahin musste der User vielleicht schon wieder sein Passwort ändern und das alte Passwort ist nicht mehr gültig.

  7. Re: Sicherheitssiegel

    Autor: WurstWasser 09.01.19 - 09:39

    Regelmäßig Passwörter ändern ist sicher ne sinnvolle Sache. Aber ich finde das sollte nicht durch Zwang passieren, sondern freiwillig. Denn wenn du dich damit auseinandersetzt, dann kommen beim Passwortwechsel evtl. sogar gute Passwörter raus. Wenn du den User aber zwingst das zu machen und er nicht versteht, warum er das tun sollte, dann kommen da in den meisten Fällen wohl schlechte Passwörter raus. Und auch hier dürfte die Tendenz hingehen zu fixer Anteil des Passworts und eine sich ändernde Zahl am Anfang, Ende oder mittendrin. Da hast du dann wohl eher nich so viel gewonnen.

  8. Re: Sicherheitssiegel

    Autor: Auaa 09.01.19 - 09:39

    WurstWasser schrieb:
    --------------------------------------------------------------------------------
    > Aber statt Passwort sollte man sich doch mal überlegen, nicht alternative
    > Methoden zur Anmeldung in Windows zu verwenden. Eine Smartcard zum
    > Beispiel. Da es in vielen Firmen doch eh Mitarbeiterausweise gibt, da wäre
    > es doch ein leichtes entsprechende Karten zu nutzen, die einen Chip
    > enthalten. Das ganze in Verbindung mit einer PIN sollte wesentlich sicherer
    > sein, als dieser Zirkus mit dem erzwungenen Ändern des Passworts.

    Bei der Smartcard gebe ich dir Recht, Der PIN wird aber nur als Maske über das Passwort gelegt. Das ist z.B. beim Surface mit der Gesichtserkennung so. Da kann man dann einfach zur Sicherheit zusätzlich zum Gesicht vor die Linse halten, noch ein PIN eingeben. Allerdings muss man trotzdem das Passwort wissen, wenn man sich von extern über VPN einwählt oder in dem speziellen Fall am Citrix anmeldet, da hier kein Pass-Through aktiviert ist.

  9. Re: Sicherheitssiegel

    Autor: Auaa 09.01.19 - 09:44

    WurstWasser schrieb:
    --------------------------------------------------------------------------------
    > Regelmäßig Passwörter ändern ist sicher ne sinnvolle Sache. Aber ich finde
    > das sollte nicht durch Zwang passieren, sondern freiwillig. Denn wenn du
    > dich damit auseinandersetzt, dann kommen beim Passwortwechsel evtl. sogar
    > gute Passwörter raus. Wenn du den User aber zwingst das zu machen und er
    > nicht versteht, warum er das tun sollte, dann kommen da in den meisten
    > Fällen wohl schlechte Passwörter raus. Und auch hier dürfte die Tendenz
    > hingehen zu fixer Anteil des Passworts und eine sich ändernde Zahl am
    > Anfang, Ende oder mittendrin. Da hast du dann wohl eher nich so viel
    > gewonnen.


    Dafür gibt es Passwortkriterien die man setzen kann und eine Historie.
    Ich denke es abschreckender für einen Angreifer, 10 Passwörter für 10 Plattformen zu erraten, wenn er weiß, dass die nur für einen kurzen Zeitraum gültig sind, oder nur ein (mehr oder weniger) starkes Passwort (offensichtlich ja nicht) für alle Plattformen wo er dann alle Zeit der Welt hat es zu benutzen.

    Auch hier macht es die Mischung aus beidem!

  10. Re: Sicherheitssiegel

    Autor: WurstWasser 09.01.19 - 09:47

    Hm... VPN das den regulären Windows-Login nutzt finde ich ja sowieso immer noch problematisch =D

    Aber ich gebe zu, dass es sicher Spezialfälle gibt, bei denen man sich noch mal etwas überlegen muss.

  11. Re: Sicherheitssiegel

    Autor: WurstWasser 09.01.19 - 09:51

    Ich bin halt davon überzeugt, dass Aufklärung besser wirkt als Zwang. Und von vielen Passwortkriterien halte ich um ehrlich zu sein auch nichts. Meiner Meinung nach sorgen einige Passwortkriterien dafür, dass Bruteforceangriffe am Ende des Tages leichter sind. In meiner alten Firma hatten wir zum Beispiel auf einem System eingestellt, dass du nicht zweimal das gleiche Zeichen hintereinander verwenden darfst. Wenn ich als Angreifer das weiß, dann kann ich beim Bruetforce Passwörter schon direkt ausschließen, die zwei gleiche Zeichen hintereinander haben. Das schließt aus dem großen Pool an möglichen Passwörtern schon einige aus.

  12. Re: Sicherheitssiegel

    Autor: goto10 09.01.19 - 11:08

    Auaa schrieb:
    --------------------------------------------------------------------------------
    > Man müsste wie am PC in der Firma von den Portalen wie FB oder Twitter alle 3
    > Monate aufgefordert werden sein Kennwort zu ändern.

    Welchen Sinn hat es ein sicheres Passwort, welches auch nirgends versehentlich oder gewollt geleakt wurde, zu ändern?

    Selbst Bill Burrs, der damals das regelmäßige Passwort ändern erfunden* hat, rät inzwischen davon ab.

    * Burrs hat die Empfehlung für das NIST geschrieben, die Grundlage war wohl ein Papier aus den 80ern. Erst durch die Empfehlung des NIST wurde das ständige Passwort ändern vielfach zum Standard.

  13. Re: Sicherheitssiegel

    Autor: ibsi 09.01.19 - 11:48

    Auaa schrieb:
    --------------------------------------------------------------------------------
    > WurstWasser schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Regelmäßig Passwörter ändern ist sicher ne sinnvolle Sache. Aber ich
    > finde
    > > das sollte nicht durch Zwang passieren, sondern freiwillig. Denn wenn du
    > > dich damit auseinandersetzt, dann kommen beim Passwortwechsel evtl.
    > sogar
    > > gute Passwörter raus. Wenn du den User aber zwingst das zu machen und er
    > > nicht versteht, warum er das tun sollte, dann kommen da in den meisten
    > > Fällen wohl schlechte Passwörter raus. Und auch hier dürfte die Tendenz
    > > hingehen zu fixer Anteil des Passworts und eine sich ändernde Zahl am
    > > Anfang, Ende oder mittendrin. Da hast du dann wohl eher nich so viel
    > > gewonnen.
    >
    > Dafür gibt es Passwortkriterien die man setzen kann und eine Historie.
    Es gibt aber Regeln die einem das Passwort setzen echt schwer machen. Z.B. nicht mehr als 3x den selben Typ (also 3 Zahlen, 3 Buchstaben, 3 Sonderzeichen etc) hintereinander. Total unsinnige Regeln. Wenn ich ein 50 stelliges Passwort wähle (das weiß ja niemand), dann kann ich wohl auch nur Groß- und Kleinbuchstaben + 1-2 Zahlen verwenden und das Passwort wird trotzdem sicherer sein als:
    ABC-123-sf (immerhin 10 Zeichen, sonderzeichen, buchstaben, zahlen, Groß/Kleinbuchstaben). Trotzdem unsicherer als mein 50 stelliges passwort das irgendein Satz aus einem Buch ist, oder 30 Zeichen zufallssalat.
    Deshalb machen es einem Passwortregeln schwer :-/ Und besonders zum Anmelden muss es ja dann auch noch etwas sein das man sich merken kann. Schließlich will man sein PW auch nicht vom Handy ablesen und abtippen, wo der PW-Manager installiert ist.

  14. Re: Sicherheitssiegel

    Autor: GiveMe5 09.01.19 - 11:52

    Auaa schrieb:
    --------------------------------------------------------------------------------
    > Klar, jetzt springen die Politiker auf das nächstbeste Pferd, dass sie
    > finden können.
    > Um Hardware zu zertifizieren muss sie getestet werden. Und bis die
    > entsprechende Stelle das gemacht hat, gibt es schon wieder 12 neue Patches
    > oder Updates für das Gerät.
    > Zumal die "unsicheren" Router nicht die unsicheren Passwörter ersetzen. Man
    > müsste wie am PC in der Firma von den Portalen wie FB oder Twitter alle 3
    > Monate aufgefordert werden sein Kennwort zu ändern.

    Ich fordere ja schon lange ein zertifiziertes Prüfsiegel auf alle DSL/Kabel/Wlan-Routern sowie auf allen Switches, die in Deutschland verkauft/verschenkt werden könnten^^
    Es wird damit in Deutschland garaniert, das wirklich alle TCP/UDP-Daten zu erst im Rechenzentrum des BND/BKA/NSA und befreundeten Regierungen geroutet und auf "politische Unbedenklichkeit" überprüft werden können ;-)

  15. Re: Sicherheitssiegel

    Autor: deisi 11.01.19 - 08:15

    Den Sarkasmus mal beiseite, ich habe den Eindruck, man kann hier der Industire-Lobby bei der Arbeit zugucken. Einerseits, werden wirksame Maßnamen, wie z.b. ein Haltbarkeitsdatum für Router (sicherheits updates) abgelehnt, andererseits soll jetzt ein Prüfsiegel her.

    Was soll denn da geprüft werden?

    Wenn ich so darüber nachdenke fallen mir nur automatische updates ein. Ich meine ob die Firewall funktioniert, oder die Zufalszahlen auch zufällig sind, hängt immer vom aktuellen Kentnisstand und Patchlevel ab. Was bringt mir ein Zertifikat von 1999 heute noch? Yay mein System war zu Windows XP Zeiten sicher ?!?

    Was würdet ihr für Sinvoll halten?



    2 mal bearbeitet, zuletzt am 11.01.19 08:19 durch deisi.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BRUNATA-METRONA GmbH Co. & KG, München
  2. TenneT TSO GmbH, Bayreuth
  3. über duerenhoff GmbH, Gerlingen
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de