Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Passwörter: Eine vernünftige…

So ein Blödsinn

  1. Thema

Neues Thema Ansicht wechseln


  1. So ein Blödsinn

    Autor: AlbertT 09.10.18 - 12:02

    Da haben sich mal wieder ein paar Beamte in einem Zimmer etwas ausgedacht die keine Ahnung von der Materie haben.

    Das größte Problem ist immer noch die Faulheit der Benutzer da kann man nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues Passwort zu vergeben dann lautet das halt dann "passwort", wenn man den Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon gilt das Standardpasswort wieder.

    Ganz vergessen wurde auch dass manche Protokolle das einfach nicht hergeben.
    Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten Nutzung zu ändern?!
    Das geht ja alles ganz super solange ich ein Interface mit Benutzerinteraktion habe, habe ich das nicht löst sich die Idee in Luft auf ...

  2. Re: So ein Blödsinn

    Autor: Tantalus 09.10.18 - 12:08

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Das größte Problem ist immer noch die Faulheit der Benutzer da kann man
    > nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues
    > Passwort zu vergeben dann lautet das halt dann "passwort",

    Kann man sehr leicht verhindern.

    > wenn man den
    > Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das
    > Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon
    > gilt das Standardpasswort wieder.

    Wenn das Standardpasswort individuell für das Gerät ist, ist das doch kein Problem.

    > Ganz vergessen wurde auch dass manche Protokolle das einfach nicht
    > hergeben.
    > Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community
    > Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich
    > über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten
    > Nutzung zu ändern?!

    Vielleicht sollte man dann kein SNMPv1 mehr verwenden?

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  3. Re: So ein Blödsinn

    Autor: phade 09.10.18 - 12:35

    Sollte doch nicht so schwer sein, wenn man ein paar Zeilen mehr in den Chip giesst, der prüfen kann, wie komplex ein Passwort ist, einfache Passworte nicht erlaubt und das Gerät NICHT (komplett) funktioniert, solange man nicht ein sicheres gesetzt hat.



    1 mal bearbeitet, zuletzt am 09.10.18 12:35 durch phade.

  4. Re: So ein Blödsinn

    Autor: Crunchy_Nuts 09.10.18 - 12:43

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Da haben sich mal wieder ein paar Beamte in einem Zimmer etwas ausgedacht
    > die keine Ahnung von der Materie haben.
    >
    > Das größte Problem ist immer noch die Faulheit der Benutzer da kann man
    > nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues
    > Passwort zu vergeben dann lautet das halt dann "passwort", wenn man den
    > Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das
    > Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon
    > gilt das Standardpasswort wieder.
    >
    > Ganz vergessen wurde auch dass manche Protokolle das einfach nicht
    > hergeben.
    > Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community
    > Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich
    > über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten
    > Nutzung zu ändern?!
    > Das geht ja alles ganz super solange ich ein Interface mit
    > Benutzerinteraktion habe, habe ich das nicht löst sich die Idee in Luft auf
    > ...


    Ideen schlecht machen obwohl man selbst nicht weiter denkt?
    So hat man's gern. ;)

    Gibt heute schon genug Geräte die ein individuelles Passwort als Standard-Passwort haben.
    Und für jedes Gerät ein eigenes!

    Es geht darum, dass es aber trotzdem viele Hersteller gibt, die trotzdem noch billige Passwörter als Standard haben und auch den faulen Benutzer nicht zwingen, dieses zu ändern.

    Ich finde die Idee sehr gut.

  5. Re: So ein Blödsinn

    Autor: cry88 09.10.18 - 16:01

    Crunchy_Nuts schrieb:
    --------------------------------------------------------------------------------
    > Gibt heute schon genug Geräte die ein individuelles Passwort als
    > Standard-Passwort haben.
    > Und für jedes Gerät ein eigenes!
    Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten Geräten wird ein automatisierter Funktionstest gemacht, wo man das direkt einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man das Passwort direkt bei der Herstellung setzen sollte?

  6. Re: So ein Blödsinn

    Autor: bofhl 09.10.18 - 16:25

    cry88 schrieb:
    --------------------------------------------------------------------------------
    > Crunchy_Nuts schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Gibt heute schon genug Geräte die ein individuelles Passwort als
    > > Standard-Passwort haben.
    > > Und für jedes Gerät ein eigenes!
    > Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten Geräten
    > wird ein automatisierter Funktionstest gemacht, wo man das direkt
    > einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man das
    > Passwort direkt bei der Herstellung setzen sollte?

    Fast alle sogenannten "China-Geräte", also die Billigsten der Billigsten, werden heute mit individuelle Passwörtern ausgeliefert - nur nicht nach Europa! Irgendwie könnte man da doch glatt ein bisschen paranoid werden, oder?

  7. Re: So ein Blödsinn

    Autor: Crunchy_Nuts 09.10.18 - 17:30

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > cry88 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Crunchy_Nuts schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Gibt heute schon genug Geräte die ein individuelles Passwort als
    > > > Standard-Passwort haben.
    > > > Und für jedes Gerät ein eigenes!
    > > Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten
    > Geräten
    > > wird ein automatisierter Funktionstest gemacht, wo man das direkt
    > > einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man
    > das
    > > Passwort direkt bei der Herstellung setzen sollte?
    >
    > Fast alle sogenannten "China-Geräte", also die Billigsten der Billigsten,
    > werden heute mit individuelle Passwörtern ausgeliefert - nur nicht nach
    > Europa! Irgendwie könnte man da doch glatt ein bisschen paranoid werden,
    > oder?


    Naja, es gibt auch einen Unterschied ob Geräte direkt in China entwickelt bzw billig kopiert werden und Geräte die aus kostengründen nur in China produziert werden.

  8. Re: So ein Blödsinn

    Autor: /mecki78 09.10.18 - 17:53

    cry88 schrieb:
    --------------------------------------------------------------------------------
    > Crunchy_Nuts schrieb:
    > Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten Geräten
    > wird ein automatisierter Funktionstest gemacht, wo man das direkt
    > einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man das
    > Passwort direkt bei der Herstellung setzen sollte?

    Auch die einfachsten und billigsten USB Geräte bekommen eine individuelle Seriennummer verpasst. Nichts ist einfacher als das, denn jedes dieser Geräte hat ein EEPROM, das als Teil der Produktion in der Fertigungsstraße automatisiert beschrieben wird und der Computer, der das beschreibt, ändert einfach jedes mal direkt die Seriennummer in der Firmware, bevor er sie drauf brennt. Auch weiß die Straße welche Seriennummer welches Gerät bekommen hat, denn oft wird die dann noch mal auf einen Aufkleber oder Beipackzettel gedruckt.

    Das geht mit einem Standard Passwort genauso. Das muss ja auch irgendwo in der Firmware hinterlegt sein, im Idealfall gehashed mit Salt, also irgendwo ist eine Zufallszahl hinterlegt (der Salt), sagen wir mal 64 Bit und irgendwo steht ein SHA-256 Hash vom Passwort mit dem Salt. Der Computer erzeugt zufällig ein Passwort und einen Salt, errechnet den Hash, tauscht dann Salt und Hash in der Firmware, bevor sie auf das Gerät geschrieben wird und druckt das Passwort dann auf den Aufkleber oder Beipackzettel zum Gerät.

    Sehe ich kein Problem und auch keine Mehrkosten. Und ich weiß wovon ich sprechen, denn unsere Firma hat auch schon Hardware in China fertigen lassen und da wollten wir, dass die Geräte Seriennummern nach einen bestimmten Muster bekommen, dass sich vom aktuellen Datum, der Produktionscharge und eben der Stücknummer ableitet, so dass man der Seriennummer ansehen kann aus welcher Produktionscharge das Gerät kam und wann genau es gefertigt wurde. Kein Problem hieß es. Wir sollen denen einfach ein Skript machen in irgend einer verbreiteten Skriptsprache, das Datum kann das Skript sich selber holen und die Charge, sowie die Stückzahl bekommen wir als Aufrufparameter übergeben und was auch immer dann unser Skript dann ausspuckt, das wird so als Seriennummer in's EEPROM geschrieben. Warum sollte das also für Passwörter bitte nicht so funktionieren?

    /Mecki

  9. Re: So ein Blödsinn

    Autor: Burnz84 10.10.18 - 08:19

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Da haben sich mal wieder ein paar Beamte in einem Zimmer etwas ausgedacht
    > die keine Ahnung von der Materie haben.
    >
    > Das größte Problem ist immer noch die Faulheit der Benutzer da kann man
    > nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues
    > Passwort zu vergeben dann lautet das halt dann "passwort", wenn man den
    > Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das
    > Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon
    > gilt das Standardpasswort wieder.
    >
    > Ganz vergessen wurde auch dass manche Protokolle das einfach nicht
    > hergeben.
    > Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community
    > Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich
    > über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten
    > Nutzung zu ändern?!
    > Das geht ja alles ganz super solange ich ein Interface mit
    > Benutzerinteraktion habe, habe ich das nicht löst sich die Idee in Luft auf
    > ...

    Es geht darum, dass jedes einzelne IoT-Geräte ein einzigartiges PW bekommt. Damit ist der Sicherheit schon viel geholfen, weil ich eben nicht auf jedes Geräte mit dem selben Standardaccout admin/admin oder admin/password komme und ich nicht eine ganze Linie von gleichen IoT-Geräten mit einem einigen Account kapern kann.

    https://www.heise.de/newsticker/meldung/Kalifornien-verlangt-einzigartige-Passwoerter-fuer-vernetzte-Geraete-4182625.html

    "wenn der Hersteller im Voraus ein Passwort einstellt, das für jedes einzelne Geräte einzigartig ist,"

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Zentralinstitut für die kassenärztliche Versorgung, Berlin
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln
  3. T-Systems Multimedia Solutions GmbH, Dresden
  4. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Braunschweig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-55%) 17,99€
  3. 4,99€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
Days Gone angespielt
Zombies, Bikes und die Sache mit der Benzinpumpe

Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
Von Peter Steinlechner


    1. Elektronikhändler: Media Saturn soll vor drastischem Stellenabbau stehen
      Elektronikhändler
      Media Saturn soll vor drastischem Stellenabbau stehen

      Bei Media Markt und Saturn stehen offenbar starke Einschnitte bevor: Wie Insider berichten, sollen Hunderte Stellen abgebaut werden. Besonders betroffen soll die Verwaltung der Kette in Ingolstadt sein.

    2. Elektro-SUV: Audi reduziert E-Tron-Produktion wegen fehlender Akkus
      Elektro-SUV
      Audi reduziert E-Tron-Produktion wegen fehlender Akkus

      Audis erstes Elektro-SUV kann nicht in den gewünschten Stückzahlen gebaut werden, weil Akkus fehlen, heißt es aus informierten Kreisen. Statt 55.830 E-Tron sollen nur 45.242 Einheiten gebaut werden. Auch für ein anderes Elektro-Modell drohen Schwierigkeiten.

    3. Smarte Lautsprecher: Amazon und Google bieten Gratis-Musikstreaming
      Smarte Lautsprecher
      Amazon und Google bieten Gratis-Musikstreaming

      Amazon und Google wollen ihre digitalen Assistenten auf smarten Lautsprechern aufwerten. Dazu bieten beide Unternehmen ihre Musikstreamingdienste für Besitzer der smarten Lautsprecher kostenlos und dafür mit Werbeeinblendungen an. Aber es gibt viele weitere Beschränkungen.


    1. 13:42

    2. 15:00

    3. 14:30

    4. 14:00

    5. 13:30

    6. 13:00

    7. 12:30

    8. 12:00