Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Passwörter: Eine vernünftige…

So ein Blödsinn

  1. Thema

Neues Thema Ansicht wechseln


  1. So ein Blödsinn

    Autor: AlbertT 09.10.18 - 12:02

    Da haben sich mal wieder ein paar Beamte in einem Zimmer etwas ausgedacht die keine Ahnung von der Materie haben.

    Das größte Problem ist immer noch die Faulheit der Benutzer da kann man nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues Passwort zu vergeben dann lautet das halt dann "passwort", wenn man den Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon gilt das Standardpasswort wieder.

    Ganz vergessen wurde auch dass manche Protokolle das einfach nicht hergeben.
    Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten Nutzung zu ändern?!
    Das geht ja alles ganz super solange ich ein Interface mit Benutzerinteraktion habe, habe ich das nicht löst sich die Idee in Luft auf ...

  2. Re: So ein Blödsinn

    Autor: Tantalus 09.10.18 - 12:08

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Das größte Problem ist immer noch die Faulheit der Benutzer da kann man
    > nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues
    > Passwort zu vergeben dann lautet das halt dann "passwort",

    Kann man sehr leicht verhindern.

    > wenn man den
    > Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das
    > Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon
    > gilt das Standardpasswort wieder.

    Wenn das Standardpasswort individuell für das Gerät ist, ist das doch kein Problem.

    > Ganz vergessen wurde auch dass manche Protokolle das einfach nicht
    > hergeben.
    > Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community
    > Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich
    > über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten
    > Nutzung zu ändern?!

    Vielleicht sollte man dann kein SNMPv1 mehr verwenden?

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  3. Re: So ein Blödsinn

    Autor: phade 09.10.18 - 12:35

    Sollte doch nicht so schwer sein, wenn man ein paar Zeilen mehr in den Chip giesst, der prüfen kann, wie komplex ein Passwort ist, einfache Passworte nicht erlaubt und das Gerät NICHT (komplett) funktioniert, solange man nicht ein sicheres gesetzt hat.



    1 mal bearbeitet, zuletzt am 09.10.18 12:35 durch phade.

  4. Re: So ein Blödsinn

    Autor: Crunchy_Nuts 09.10.18 - 12:43

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Da haben sich mal wieder ein paar Beamte in einem Zimmer etwas ausgedacht
    > die keine Ahnung von der Materie haben.
    >
    > Das größte Problem ist immer noch die Faulheit der Benutzer da kann man
    > nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues
    > Passwort zu vergeben dann lautet das halt dann "passwort", wenn man den
    > Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das
    > Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon
    > gilt das Standardpasswort wieder.
    >
    > Ganz vergessen wurde auch dass manche Protokolle das einfach nicht
    > hergeben.
    > Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community
    > Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich
    > über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten
    > Nutzung zu ändern?!
    > Das geht ja alles ganz super solange ich ein Interface mit
    > Benutzerinteraktion habe, habe ich das nicht löst sich die Idee in Luft auf
    > ...


    Ideen schlecht machen obwohl man selbst nicht weiter denkt?
    So hat man's gern. ;)

    Gibt heute schon genug Geräte die ein individuelles Passwort als Standard-Passwort haben.
    Und für jedes Gerät ein eigenes!

    Es geht darum, dass es aber trotzdem viele Hersteller gibt, die trotzdem noch billige Passwörter als Standard haben und auch den faulen Benutzer nicht zwingen, dieses zu ändern.

    Ich finde die Idee sehr gut.

  5. Re: So ein Blödsinn

    Autor: cry88 09.10.18 - 16:01

    Crunchy_Nuts schrieb:
    --------------------------------------------------------------------------------
    > Gibt heute schon genug Geräte die ein individuelles Passwort als
    > Standard-Passwort haben.
    > Und für jedes Gerät ein eigenes!
    Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten Geräten wird ein automatisierter Funktionstest gemacht, wo man das direkt einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man das Passwort direkt bei der Herstellung setzen sollte?

  6. Re: So ein Blödsinn

    Autor: bofhl 09.10.18 - 16:25

    cry88 schrieb:
    --------------------------------------------------------------------------------
    > Crunchy_Nuts schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Gibt heute schon genug Geräte die ein individuelles Passwort als
    > > Standard-Passwort haben.
    > > Und für jedes Gerät ein eigenes!
    > Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten Geräten
    > wird ein automatisierter Funktionstest gemacht, wo man das direkt
    > einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man das
    > Passwort direkt bei der Herstellung setzen sollte?

    Fast alle sogenannten "China-Geräte", also die Billigsten der Billigsten, werden heute mit individuelle Passwörtern ausgeliefert - nur nicht nach Europa! Irgendwie könnte man da doch glatt ein bisschen paranoid werden, oder?

  7. Re: So ein Blödsinn

    Autor: Crunchy_Nuts 09.10.18 - 17:30

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > cry88 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Crunchy_Nuts schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Gibt heute schon genug Geräte die ein individuelles Passwort als
    > > > Standard-Passwort haben.
    > > > Und für jedes Gerät ein eigenes!
    > > Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten
    > Geräten
    > > wird ein automatisierter Funktionstest gemacht, wo man das direkt
    > > einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man
    > das
    > > Passwort direkt bei der Herstellung setzen sollte?
    >
    > Fast alle sogenannten "China-Geräte", also die Billigsten der Billigsten,
    > werden heute mit individuelle Passwörtern ausgeliefert - nur nicht nach
    > Europa! Irgendwie könnte man da doch glatt ein bisschen paranoid werden,
    > oder?


    Naja, es gibt auch einen Unterschied ob Geräte direkt in China entwickelt bzw billig kopiert werden und Geräte die aus kostengründen nur in China produziert werden.

  8. Re: So ein Blödsinn

    Autor: /mecki78 09.10.18 - 17:53

    cry88 schrieb:
    --------------------------------------------------------------------------------
    > Crunchy_Nuts schrieb:
    > Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten Geräten
    > wird ein automatisierter Funktionstest gemacht, wo man das direkt
    > einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man das
    > Passwort direkt bei der Herstellung setzen sollte?

    Auch die einfachsten und billigsten USB Geräte bekommen eine individuelle Seriennummer verpasst. Nichts ist einfacher als das, denn jedes dieser Geräte hat ein EEPROM, das als Teil der Produktion in der Fertigungsstraße automatisiert beschrieben wird und der Computer, der das beschreibt, ändert einfach jedes mal direkt die Seriennummer in der Firmware, bevor er sie drauf brennt. Auch weiß die Straße welche Seriennummer welches Gerät bekommen hat, denn oft wird die dann noch mal auf einen Aufkleber oder Beipackzettel gedruckt.

    Das geht mit einem Standard Passwort genauso. Das muss ja auch irgendwo in der Firmware hinterlegt sein, im Idealfall gehashed mit Salt, also irgendwo ist eine Zufallszahl hinterlegt (der Salt), sagen wir mal 64 Bit und irgendwo steht ein SHA-256 Hash vom Passwort mit dem Salt. Der Computer erzeugt zufällig ein Passwort und einen Salt, errechnet den Hash, tauscht dann Salt und Hash in der Firmware, bevor sie auf das Gerät geschrieben wird und druckt das Passwort dann auf den Aufkleber oder Beipackzettel zum Gerät.

    Sehe ich kein Problem und auch keine Mehrkosten. Und ich weiß wovon ich sprechen, denn unsere Firma hat auch schon Hardware in China fertigen lassen und da wollten wir, dass die Geräte Seriennummern nach einen bestimmten Muster bekommen, dass sich vom aktuellen Datum, der Produktionscharge und eben der Stücknummer ableitet, so dass man der Seriennummer ansehen kann aus welcher Produktionscharge das Gerät kam und wann genau es gefertigt wurde. Kein Problem hieß es. Wir sollen denen einfach ein Skript machen in irgend einer verbreiteten Skriptsprache, das Datum kann das Skript sich selber holen und die Charge, sowie die Stückzahl bekommen wir als Aufrufparameter übergeben und was auch immer dann unser Skript dann ausspuckt, das wird so als Seriennummer in's EEPROM geschrieben. Warum sollte das also für Passwörter bitte nicht so funktionieren?

    /Mecki

  9. Re: So ein Blödsinn

    Autor: Burnz84 10.10.18 - 08:19

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Da haben sich mal wieder ein paar Beamte in einem Zimmer etwas ausgedacht
    > die keine Ahnung von der Materie haben.
    >
    > Das größte Problem ist immer noch die Faulheit der Benutzer da kann man
    > nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues
    > Passwort zu vergeben dann lautet das halt dann "passwort", wenn man den
    > Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das
    > Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon
    > gilt das Standardpasswort wieder.
    >
    > Ganz vergessen wurde auch dass manche Protokolle das einfach nicht
    > hergeben.
    > Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community
    > Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich
    > über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten
    > Nutzung zu ändern?!
    > Das geht ja alles ganz super solange ich ein Interface mit
    > Benutzerinteraktion habe, habe ich das nicht löst sich die Idee in Luft auf
    > ...

    Es geht darum, dass jedes einzelne IoT-Geräte ein einzigartiges PW bekommt. Damit ist der Sicherheit schon viel geholfen, weil ich eben nicht auf jedes Geräte mit dem selben Standardaccout admin/admin oder admin/password komme und ich nicht eine ganze Linie von gleichen IoT-Geräten mit einem einigen Account kapern kann.

    https://www.heise.de/newsticker/meldung/Kalifornien-verlangt-einzigartige-Passwoerter-fuer-vernetzte-Geraete-4182625.html

    "wenn der Hersteller im Voraus ein Passwort einstellt, das für jedes einzelne Geräte einzigartig ist,"

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. University of Applied Sciences Europe GmbH, Hamburg
  2. Dataport, Hamburg, Altenholz bei Kiel
  3. Landesbetrieb IT.Niedersachsen, Hannover
  4. Comline AG, Dortmund

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 119,90€
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Coachingbuch: Metapher mit Mängeln
Coachingbuch
Metapher mit Mängeln

Der Persönlichkeitscoach Thomas Hohensee plädiert in seinem neuen Buch dafür, problematische Kindheitsmuster zu behandeln wie schadhafte Programme auf einem Rechner: mit Reset, Updates und Neustart. Ein origineller Ansatz - aber hält er dem Thema stand?
Von Cornelia Birr

  1. Relayr Rückstandsglaube als Startup-Vorteil
  2. Liberty Global Ericsson übernimmt Netzwerkbetrieb bei Unitymedia
  3. Bundeskartellamt Probleme bei Übernahme von Unitymedia durch Vodafone

Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
Dark Rock Pro TR4 im Test
Be Quiet macht den Threadripper still

Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
Ein Test von Marc Sauter

  1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne

Recycling: Müslischale auf vier Rädern
Recycling
Müslischale auf vier Rädern

Umweltfreundlich werden Autos wohl nie sein. Doch der Schaden lässt sich begrenzen, wie neue Entwicklungen zeigen. Vom Antrieb über die Produktionsprozesse bis zum Anbauort der verbauten Ökorohstoffe durchleuchtet die Industrie mittlerweile die gesamte Kette.
Ein Bericht von Daniel Hautmann

  1. Sensoren Auto-Sicherheitstechnik lässt Reparaturkosten explodieren
  2. Hybridfahrzeug Lyft macht Ford Fusion zum autonomen Auto
  3. Akkusharing Apples autonome Autos sollen in Karawanen fahren

  1. Stan Lee ist tot: Excelsior!
    Stan Lee ist tot
    Excelsior!

    Stan Lee ist im Alter von 95 Jahren gestorben. Der langjährige Chef und Verleger von Marvel Comics war maßgeblich an der Schöpfung populärer Superhelden wie Spider-Man, Hulk, den X-Men und Black Panther beteiligt. In den letzten Jahren wurden seine Figuren vor allem im Kino erfolgreich wiederbelebt.

  2. Tweether: Empfangsmodul für 94 GHz kommt aus Kassel
    Tweether
    Empfangsmodul für 94 GHz kommt aus Kassel

    Ein Unternehmen aus Kassel baut ein Empfangsmodul im Frequenzbereich um 94 Gigahertz. Das soll die Richtfunkversorgung von Mobilfunk-Stationen erheblich verbessern.

  3. PC Gaming: Xbox-Chef will Windows Store für Spieler verbessern
    PC Gaming
    Xbox-Chef will Windows Store für Spieler verbessern

    Im Windows Store kauft vermutlich kaum jemand gerne ein - aber einige Spiele für Spiele-PCs gibt es nur dort. Jetzt hat der für Gaming bei Microsoft zuständige Manager Phil Spencer die Probleme eingeräumt und Besserung versprochen.


  1. 20:22

  2. 18:38

  3. 17:23

  4. 17:12

  5. 17:04

  6. 16:49

  7. 16:11

  8. 15:56