Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Passwörter: Eine vernünftige…

So ein Blödsinn

  1. Thema

Neues Thema Ansicht wechseln


  1. So ein Blödsinn

    Autor: AlbertT 09.10.18 - 12:02

    Da haben sich mal wieder ein paar Beamte in einem Zimmer etwas ausgedacht die keine Ahnung von der Materie haben.

    Das größte Problem ist immer noch die Faulheit der Benutzer da kann man nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues Passwort zu vergeben dann lautet das halt dann "passwort", wenn man den Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon gilt das Standardpasswort wieder.

    Ganz vergessen wurde auch dass manche Protokolle das einfach nicht hergeben.
    Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten Nutzung zu ändern?!
    Das geht ja alles ganz super solange ich ein Interface mit Benutzerinteraktion habe, habe ich das nicht löst sich die Idee in Luft auf ...

  2. Re: So ein Blödsinn

    Autor: Tantalus 09.10.18 - 12:08

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Das größte Problem ist immer noch die Faulheit der Benutzer da kann man
    > nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues
    > Passwort zu vergeben dann lautet das halt dann "passwort",

    Kann man sehr leicht verhindern.

    > wenn man den
    > Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das
    > Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon
    > gilt das Standardpasswort wieder.

    Wenn das Standardpasswort individuell für das Gerät ist, ist das doch kein Problem.

    > Ganz vergessen wurde auch dass manche Protokolle das einfach nicht
    > hergeben.
    > Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community
    > Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich
    > über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten
    > Nutzung zu ändern?!

    Vielleicht sollte man dann kein SNMPv1 mehr verwenden?

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  3. Re: So ein Blödsinn

    Autor: phade 09.10.18 - 12:35

    Sollte doch nicht so schwer sein, wenn man ein paar Zeilen mehr in den Chip giesst, der prüfen kann, wie komplex ein Passwort ist, einfache Passworte nicht erlaubt und das Gerät NICHT (komplett) funktioniert, solange man nicht ein sicheres gesetzt hat.



    1 mal bearbeitet, zuletzt am 09.10.18 12:35 durch phade.

  4. Re: So ein Blödsinn

    Autor: Crunchy_Nuts 09.10.18 - 12:43

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Da haben sich mal wieder ein paar Beamte in einem Zimmer etwas ausgedacht
    > die keine Ahnung von der Materie haben.
    >
    > Das größte Problem ist immer noch die Faulheit der Benutzer da kann man
    > nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues
    > Passwort zu vergeben dann lautet das halt dann "passwort", wenn man den
    > Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das
    > Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon
    > gilt das Standardpasswort wieder.
    >
    > Ganz vergessen wurde auch dass manche Protokolle das einfach nicht
    > hergeben.
    > Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community
    > Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich
    > über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten
    > Nutzung zu ändern?!
    > Das geht ja alles ganz super solange ich ein Interface mit
    > Benutzerinteraktion habe, habe ich das nicht löst sich die Idee in Luft auf
    > ...


    Ideen schlecht machen obwohl man selbst nicht weiter denkt?
    So hat man's gern. ;)

    Gibt heute schon genug Geräte die ein individuelles Passwort als Standard-Passwort haben.
    Und für jedes Gerät ein eigenes!

    Es geht darum, dass es aber trotzdem viele Hersteller gibt, die trotzdem noch billige Passwörter als Standard haben und auch den faulen Benutzer nicht zwingen, dieses zu ändern.

    Ich finde die Idee sehr gut.

  5. Re: So ein Blödsinn

    Autor: cry88 09.10.18 - 16:01

    Crunchy_Nuts schrieb:
    --------------------------------------------------------------------------------
    > Gibt heute schon genug Geräte die ein individuelles Passwort als
    > Standard-Passwort haben.
    > Und für jedes Gerät ein eigenes!
    Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten Geräten wird ein automatisierter Funktionstest gemacht, wo man das direkt einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man das Passwort direkt bei der Herstellung setzen sollte?

  6. Re: So ein Blödsinn

    Autor: bofhl 09.10.18 - 16:25

    cry88 schrieb:
    --------------------------------------------------------------------------------
    > Crunchy_Nuts schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Gibt heute schon genug Geräte die ein individuelles Passwort als
    > > Standard-Passwort haben.
    > > Und für jedes Gerät ein eigenes!
    > Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten Geräten
    > wird ein automatisierter Funktionstest gemacht, wo man das direkt
    > einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man das
    > Passwort direkt bei der Herstellung setzen sollte?

    Fast alle sogenannten "China-Geräte", also die Billigsten der Billigsten, werden heute mit individuelle Passwörtern ausgeliefert - nur nicht nach Europa! Irgendwie könnte man da doch glatt ein bisschen paranoid werden, oder?

  7. Re: So ein Blödsinn

    Autor: Crunchy_Nuts 09.10.18 - 17:30

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > cry88 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Crunchy_Nuts schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Gibt heute schon genug Geräte die ein individuelles Passwort als
    > > > Standard-Passwort haben.
    > > > Und für jedes Gerät ein eigenes!
    > > Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten
    > Geräten
    > > wird ein automatisierter Funktionstest gemacht, wo man das direkt
    > > einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man
    > das
    > > Passwort direkt bei der Herstellung setzen sollte?
    >
    > Fast alle sogenannten "China-Geräte", also die Billigsten der Billigsten,
    > werden heute mit individuelle Passwörtern ausgeliefert - nur nicht nach
    > Europa! Irgendwie könnte man da doch glatt ein bisschen paranoid werden,
    > oder?


    Naja, es gibt auch einen Unterschied ob Geräte direkt in China entwickelt bzw billig kopiert werden und Geräte die aus kostengründen nur in China produziert werden.

  8. Re: So ein Blödsinn

    Autor: /mecki78 09.10.18 - 17:53

    cry88 schrieb:
    --------------------------------------------------------------------------------
    > Crunchy_Nuts schrieb:
    > Nun, das würde vermutlich zu hohe Kosten verursachen. Bei den guten Geräten
    > wird ein automatisierter Funktionstest gemacht, wo man das direkt
    > einspielen könnte, aber bei den Billigen stellt sich die Frage, wie man das
    > Passwort direkt bei der Herstellung setzen sollte?

    Auch die einfachsten und billigsten USB Geräte bekommen eine individuelle Seriennummer verpasst. Nichts ist einfacher als das, denn jedes dieser Geräte hat ein EEPROM, das als Teil der Produktion in der Fertigungsstraße automatisiert beschrieben wird und der Computer, der das beschreibt, ändert einfach jedes mal direkt die Seriennummer in der Firmware, bevor er sie drauf brennt. Auch weiß die Straße welche Seriennummer welches Gerät bekommen hat, denn oft wird die dann noch mal auf einen Aufkleber oder Beipackzettel gedruckt.

    Das geht mit einem Standard Passwort genauso. Das muss ja auch irgendwo in der Firmware hinterlegt sein, im Idealfall gehashed mit Salt, also irgendwo ist eine Zufallszahl hinterlegt (der Salt), sagen wir mal 64 Bit und irgendwo steht ein SHA-256 Hash vom Passwort mit dem Salt. Der Computer erzeugt zufällig ein Passwort und einen Salt, errechnet den Hash, tauscht dann Salt und Hash in der Firmware, bevor sie auf das Gerät geschrieben wird und druckt das Passwort dann auf den Aufkleber oder Beipackzettel zum Gerät.

    Sehe ich kein Problem und auch keine Mehrkosten. Und ich weiß wovon ich sprechen, denn unsere Firma hat auch schon Hardware in China fertigen lassen und da wollten wir, dass die Geräte Seriennummern nach einen bestimmten Muster bekommen, dass sich vom aktuellen Datum, der Produktionscharge und eben der Stücknummer ableitet, so dass man der Seriennummer ansehen kann aus welcher Produktionscharge das Gerät kam und wann genau es gefertigt wurde. Kein Problem hieß es. Wir sollen denen einfach ein Skript machen in irgend einer verbreiteten Skriptsprache, das Datum kann das Skript sich selber holen und die Charge, sowie die Stückzahl bekommen wir als Aufrufparameter übergeben und was auch immer dann unser Skript dann ausspuckt, das wird so als Seriennummer in's EEPROM geschrieben. Warum sollte das also für Passwörter bitte nicht so funktionieren?

    /Mecki

  9. Re: So ein Blödsinn

    Autor: Burnz84 10.10.18 - 08:19

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Da haben sich mal wieder ein paar Beamte in einem Zimmer etwas ausgedacht
    > die keine Ahnung von der Materie haben.
    >
    > Das größte Problem ist immer noch die Faulheit der Benutzer da kann man
    > nichts dagegen machen, wenn der Nutzer gezwungen werden soll ein neues
    > Passwort zu vergeben dann lautet das halt dann "passwort", wenn man den
    > Nutzer zwingt "sichere" Passwörter zu vergeben, dann hat der Nutzer das
    > Passwort schnell vergessen und was dann? Dann gibt es einen Reset und schon
    > gilt das Standardpasswort wieder.
    >
    > Ganz vergessen wurde auch dass manche Protokolle das einfach nicht
    > hergeben.
    > Bei SNMPv1 gibt es nicht einmal ein Passwort sondern nur "Community
    > Strings", die man nicht so leicht remote ändern kann. Oder wie soll ich
    > über IPMI oder Redfish jemanden zwingen das Passwort nach der ersten
    > Nutzung zu ändern?!
    > Das geht ja alles ganz super solange ich ein Interface mit
    > Benutzerinteraktion habe, habe ich das nicht löst sich die Idee in Luft auf
    > ...

    Es geht darum, dass jedes einzelne IoT-Geräte ein einzigartiges PW bekommt. Damit ist der Sicherheit schon viel geholfen, weil ich eben nicht auf jedes Geräte mit dem selben Standardaccout admin/admin oder admin/password komme und ich nicht eine ganze Linie von gleichen IoT-Geräten mit einem einigen Account kapern kann.

    https://www.heise.de/newsticker/meldung/Kalifornien-verlangt-einzigartige-Passwoerter-fuer-vernetzte-Geraete-4182625.html

    "wenn der Hersteller im Voraus ein Passwort einstellt, das für jedes einzelne Geräte einzigartig ist,"

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen
  3. SWP Stadtwerke Pforzheim GmbH & Co. KG, Pforzheim
  4. über Hays AG, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 299,99€
  2. (aktuell u. a. SanDisk Extreme Pro 1-TB-SSD 229,90€, Logitech Prodigy Tastatur 46,99€)
  3. 1.099,00€
  4. (-80%) 5,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Europäische Netzpolitik: Schlimmer geht's immer
Europäische Netzpolitik
Schlimmer geht's immer

Lobbyeinfluss, Endlosdebatten und Blockaden: Die EU hat in den vergangenen Jahren in der Netzpolitik nur wenige gute Ergebnisse erzielt. Nach der Europawahl im Mai gibt es noch viele Herausforderungen für einen digitalen Binnenmarkt.
Eine Analyse von Friedhelm Greis


    Schwer ausnutzbar: Die ungefixten Sicherheitslücken
    Schwer ausnutzbar
    Die ungefixten Sicherheitslücken

    Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
    Von Hanno Böck

    1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
    2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
    3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

    Softwareentwicklung: Agiles Arbeiten - ein Fallbeispiel
    Softwareentwicklung
    Agiles Arbeiten - ein Fallbeispiel

    Kennen Sie Iterationen? Es klingt wie Irritationen - und genau die löst das Wort bei vielen Menschen aus, die über agiles Arbeiten lesen. Golem.de erklärt die Fachsprache und zeigt Agilität an einem konkreten Praxisbeispiel für eine agile Softwareentwicklung.
    Von Marvin Engel

    1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
    2. IT Frauen, die programmieren und Bier trinken
    3. Software-Entwickler CDU will Online-Weiterbildung à la Netflix

    1. Resident Evil 2 Remake im Test: Gruselig gelungene Rückkehr nach Raccoon City
      Resident Evil 2 Remake im Test
      Gruselig gelungene Rückkehr nach Raccoon City

      So geht Remake! Die von Grund auf frisch produzierte Neuauflage von Resident Evil 2 schickt Spieler mit Leon und Claire erneut mitten in Horden von Zombies und anderen Monstern - ein spannendes Abenteuer für (erwachsene) Actionfans.

    2. Macbook Pro: Core i9 immer noch langsamer als Core i7
      Macbook Pro
      Core i9 immer noch langsamer als Core i7

      Apple bietet das Macbook Pro auch mit Core i9 mit sechs Kernen statt mit Core i7 mit ebenfalls sechs an. Der Aufpreis von gleich 340 Euro ist verschwendet, weil der Hexacore praktisch keine Mehrleistung liefert.

    3. Elektromobilität: Gesetzentwurf zu privaten Ladesäulen frühestens Ende 2019
      Elektromobilität
      Gesetzentwurf zu privaten Ladesäulen frühestens Ende 2019

      Die Bundesregierung lässt sich weiter Zeit mit dem gesetzlichen Anspruch auf Ladesäulen am heimischen Parkplatz. Bayern lehnt einen Anspruch ohnehin ab und schlägt hohe Zustimmungshürden vor.


    1. 17:00

    2. 16:19

    3. 16:03

    4. 16:00

    5. 15:52

    6. 15:26

    7. 15:09

    8. 14:56