1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Citrix-Hack: Fast sechs Monate lang…

keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

  1. Thema

Neues Thema Ansicht wechseln


  1. keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Anonymer Nutzer 01.05.19 - 18:49

    Wenn solche angriffe zum Erfolg führen können liegt eine sicherheitslücke vor!

    Wie kommt man in 2019 noch auf das brett einen login nicht genau gegen sowas abzusichern? Ôo

  2. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: heikom36 01.05.19 - 18:53

    OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher machen und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht nur das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von Anwendern bestraft werden?
    -
    Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue ich noch zu, dass die die Wahrheit sagen.

  3. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Anonymer Nutzer 01.05.19 - 19:14

    heikom36 schrieb:
    --------------------------------------------------------------------------------
    > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher machen
    > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht nur
    > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    Dann ist der Programmierer der so ein Kennwort zulässt der vollpfosten!

    Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich das überblicken kann.

    > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von Anwendern
    > bestraft werden?
    Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend muss man vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.

    > -
    > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue ich
    > noch zu, dass die die Wahrheit sagen.
    Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was unterscheidet diese firma von anderen das die ein solches vertrauen deinerseits verdienen?

  4. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: SchrubbelDrubbel 01.05.19 - 19:15

    heikom36 schrieb:
    --------------------------------------------------------------------------------
    > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher machen
    > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht nur
    > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.

    SSH zB erhörte die Wartezeit immer weiter bei falschen Logins.

  5. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: heikom36 01.05.19 - 19:19

    SchrubbelDrubbel schrieb:
    --------------------------------------------------------------------------------
    > heikom36 schrieb:
    > ---------------------------------------------------------------------------

    >
    > SSH zB erhörte die Wartezeit immer weiter bei falschen Logins.

    Kopf <.-> Tisch - wie sich die Leute immer einfach was hinkonstruieren wollen... heul.

  6. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: heikom36 01.05.19 - 19:28

    Prinzeumel schrieb:
    --------------------------------------------------------------------------------
    > heikom36 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher
    > machen
    > > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht
    > nur
    > > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    > Dann ist der Programmierer der so ein Kennwort zulässt der vollpfosten!
    >

    AUS WELCHEM GRUND? Seid ihr echt so doof, dass der Programmierer daran denken muss? Nö - der ist nicht dafür verantwortlich wenn ihr unfähig seid einen Rechner korrekt zu nutzen.
    Ich schreibe sowas in die Dokumentation - Wählen sie ein SICHERES Kennwort und erläutere was sicher ist. Wählt der dann trotzdem 1234, so sitzt weiter der Vollpfosten vorm Rechner.
    Und im 21.Jhd. darf man davon ausgehen, dass jeder allgemeines IT-Wissen hat. Wer es nicht hat, der ist einfach nicht fähig einen Rechner zu nutzen - ich wäre da sogar für ne Art von Führerschein, wo man die GRUNDLEGENDEN Dinge zu lernen hat.
    Aber in einem IT-Unternehmen - da sollte jeder Mitarbeiter fähig sein sichere Kennwörter zu wählen.

    > Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich das
    > überblicken kann.
    >

    Deswegen steht es auch in " - Rhetorische Aussage. Noch nie davon gehört?

    > > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von Anwendern
    > > bestraft werden?
    > Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend muss man
    > vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.
    >

    Die Anwender sind schlichtweg zu doof für den Rechner. Dafür kann der AG wohl nichts. Bewerbungen zu Faken ist einfach. Machen sogar unsere Politiker in schöner Regelmäßigkeit vor...
    > > -
    > > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue
    > ich
    > > noch zu, dass die die Wahrheit sagen.
    > Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was
    > unterscheidet diese firma von anderen das die ein solches vertrauen
    > deinerseits verdienen?

    Weil ich häufiger Nachrichten lese, mit der IT-Welt beruflich zu tun habe und mich intensiv dafür interessiere.
    Warum stellst du eigentlich so bescheuerte Fragen, die mit dem Thema so gar nichts mehr am Hut haben?

  7. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Tylon 01.05.19 - 20:25

    heikom36 schrieb:
    --------------------------------------------------------------------------------
    > Prinzeumel schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > heikom36 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > > > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher
    > > machen
    > > > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht
    > > nur
    > > > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    >
    > > Dann ist der Programmierer der so ein Kennwort zulässt der vollpfosten!
    > >
    >
    > AUS WELCHEM GRUND? Seid ihr echt so doof, dass der Programmierer daran
    > denken muss? Nö - der ist nicht dafür verantwortlich wenn ihr unfähig seid
    > einen Rechner korrekt zu nutzen.
    > Ich schreibe sowas in die Dokumentation - Wählen sie ein SICHERES Kennwort
    > und erläutere was sicher ist. Wählt der dann trotzdem 1234, so sitzt weiter
    > der Vollpfosten vorm Rechner.
    > Und im 21.Jhd. darf man davon ausgehen, dass jeder allgemeines IT-Wissen
    > hat. Wer es nicht hat, der ist einfach nicht fähig einen Rechner zu nutzen
    > - ich wäre da sogar für ne Art von Führerschein, wo man die GRUNDLEGENDEN
    > Dinge zu lernen hat.
    > Aber in einem IT-Unternehmen - da sollte jeder Mitarbeiter fähig sein
    > sichere Kennwörter zu wählen.
    >
    > > Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich das
    > > überblicken kann.
    > >
    >
    > Deswegen steht es auch in " - Rhetorische Aussage. Noch nie davon gehört?
    >
    > > > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von
    > Anwendern
    > > > bestraft werden?
    > > Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend muss
    > man
    > > vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.
    > >
    >
    > Die Anwender sind schlichtweg zu doof für den Rechner. Dafür kann der AG
    > wohl nichts. Bewerbungen zu Faken ist einfach. Machen sogar unsere
    > Politiker in schöner Regelmäßigkeit vor...
    > > > -
    > > > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue
    > > ich
    > > > noch zu, dass die die Wahrheit sagen.
    > > Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was
    > > unterscheidet diese firma von anderen das die ein solches vertrauen
    > > deinerseits verdienen?
    >
    > Weil ich häufiger Nachrichten lese, mit der IT-Welt beruflich zu tun habe
    > und mich intensiv dafür interessiere.
    > Warum stellst du eigentlich so bescheuerte Fragen, die mit dem Thema so gar
    > nichts mehr am Hut haben?

    Und da arbeitet kein Gärtner, oder Hausmeister, der seine Aufgaben in nem Ticketsystem bekommt, oder? Ist ja ne IT-Firma, das macht sich alles von alleine. Und der muss natürlich nebenbei IT-Sicherheitsexperte sein. Logo.
    Und kann man den von außen sperren? Nein, denn erstens wirbt man damit, sichere Lösungen für sowas zu verkaufen und zweitens ist ggf. nicht überall wlan im Garten und der hat ein Handy oder
    Tablet für das
    Ticketsystem dabei wie in größeren Firmen durchaus üblich.
    Die Firma hat dafür zu sorgen Passwort-Policies zu erlassen, die sicher sind und zweitens dafür zu sorgen, dass von draußen zwei Faktor verpflichtend ist. Dafür gibts in der Regel nen zu gut bezahlten CISO der in dem Fall wohl gänzlich versagt hat.

  8. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Ghost2902 01.05.19 - 21:52

    Meiner Meinung nach ist es schon sehr ironisch, dass eine Firma wie Citrix mit einem Produkt wie dem Citrix ADC Ihre externen Logins nicht zumindest mit einem zweiten oder dritten Faktor sichert....

  9. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Hotohori 02.05.19 - 07:43

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > heikom36 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Prinzeumel schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > heikom36 schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > > > > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher
    > > > machen
    > > > > und dabei sitzt der Vollpfosten hinterm Rechner und die Software
    > macht
    > > > nur
    > > > > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu
    > wählen.
    > >
    > > > Dann ist der Programmierer der so ein Kennwort zulässt der
    > vollpfosten!
    > > >
    > >
    > > AUS WELCHEM GRUND? Seid ihr echt so doof, dass der Programmierer daran
    > > denken muss? Nö - der ist nicht dafür verantwortlich wenn ihr unfähig
    > seid
    > > einen Rechner korrekt zu nutzen.
    > > Ich schreibe sowas in die Dokumentation - Wählen sie ein SICHERES
    > Kennwort
    > > und erläutere was sicher ist. Wählt der dann trotzdem 1234, so sitzt
    > weiter
    > > der Vollpfosten vorm Rechner.
    > > Und im 21.Jhd. darf man davon ausgehen, dass jeder allgemeines IT-Wissen
    > > hat. Wer es nicht hat, der ist einfach nicht fähig einen Rechner zu
    > nutzen
    > > - ich wäre da sogar für ne Art von Führerschein, wo man die
    > GRUNDLEGENDEN
    > > Dinge zu lernen hat.
    > > Aber in einem IT-Unternehmen - da sollte jeder Mitarbeiter fähig sein
    > > sichere Kennwörter zu wählen.
    > >
    > > > Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich
    > das
    > > > überblicken kann.
    > > >
    > >
    > > Deswegen steht es auch in " - Rhetorische Aussage. Noch nie davon gehört?
    >
    > >
    > > > > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von
    > > Anwendern
    > > > > bestraft werden?
    > > > Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend
    > muss
    > > man
    > > > vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.
    > > >
    > >
    > > Die Anwender sind schlichtweg zu doof für den Rechner. Dafür kann der AG
    > > wohl nichts. Bewerbungen zu Faken ist einfach. Machen sogar unsere
    > > Politiker in schöner Regelmäßigkeit vor...
    > > > > -
    > > > > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen
    > traue
    > > > ich
    > > > > noch zu, dass die die Wahrheit sagen.
    > > > Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was
    > > > unterscheidet diese firma von anderen das die ein solches vertrauen
    > > > deinerseits verdienen?
    > >
    > > Weil ich häufiger Nachrichten lese, mit der IT-Welt beruflich zu tun
    > habe
    > > und mich intensiv dafür interessiere.
    > > Warum stellst du eigentlich so bescheuerte Fragen, die mit dem Thema so
    > gar
    > > nichts mehr am Hut haben?
    >
    > Und da arbeitet kein Gärtner, oder Hausmeister, der seine Aufgaben in nem
    > Ticketsystem bekommt, oder? Ist ja ne IT-Firma, das macht sich alles von
    > alleine. Und der muss natürlich nebenbei IT-Sicherheitsexperte sein. Logo.
    > Und kann man den von außen sperren? Nein, denn erstens wirbt man damit,
    > sichere Lösungen für sowas zu verkaufen und zweitens ist ggf. nicht überall
    > wlan im Garten und der hat ein Handy oder
    > Tablet für das
    > Ticketsystem dabei wie in größeren Firmen durchaus üblich.
    > Die Firma hat dafür zu sorgen Passwort-Policies zu erlassen, die sicher
    > sind und zweitens dafür zu sorgen, dass von draußen zwei Faktor
    > verpflichtend ist. Dafür gibts in der Regel nen zu gut bezahlten CISO der
    > in dem Fall wohl gänzlich versagt hat.

    Klar, und der Gärtner/Hausmeister hat so viele Rechte im System, dass er private Daten von Mitarbeitern abgreifen kann...

  10. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: dEEkAy 02.05.19 - 09:27

    heikom36 schrieb:
    --------------------------------------------------------------------------------
    > Prinzeumel schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > heikom36 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > > > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher
    > > machen
    > > > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht
    > > nur
    > > > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    >
    > > Dann ist der Programmierer der so ein Kennwort zulässt der vollpfosten!
    > >
    >
    > AUS WELCHEM GRUND? Seid ihr echt so doof, dass der Programmierer daran
    > denken muss? Nö - der ist nicht dafür verantwortlich wenn ihr unfähig seid
    > einen Rechner korrekt zu nutzen.
    > Ich schreibe sowas in die Dokumentation - Wählen sie ein SICHERES Kennwort
    > und erläutere was sicher ist. Wählt der dann trotzdem 1234, so sitzt weiter
    > der Vollpfosten vorm Rechner.
    > Und im 21.Jhd. darf man davon ausgehen, dass jeder allgemeines IT-Wissen
    > hat. Wer es nicht hat, der ist einfach nicht fähig einen Rechner zu nutzen
    > - ich wäre da sogar für ne Art von Führerschein, wo man die GRUNDLEGENDEN
    > Dinge zu lernen hat.
    > Aber in einem IT-Unternehmen - da sollte jeder Mitarbeiter fähig sein
    > sichere Kennwörter zu wählen.
    >
    > > Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich das
    > > überblicken kann.
    > >
    >
    > Deswegen steht es auch in " - Rhetorische Aussage. Noch nie davon gehört?
    >
    > > > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von
    > Anwendern
    > > > bestraft werden?
    > > Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend muss
    > man
    > > vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.
    > >
    >
    > Die Anwender sind schlichtweg zu doof für den Rechner. Dafür kann der AG
    > wohl nichts. Bewerbungen zu Faken ist einfach. Machen sogar unsere
    > Politiker in schöner Regelmäßigkeit vor...
    > > > -
    > > > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue
    > > ich
    > > > noch zu, dass die die Wahrheit sagen.
    > > Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was
    > > unterscheidet diese firma von anderen das die ein solches vertrauen
    > > deinerseits verdienen?
    >
    > Weil ich häufiger Nachrichten lese, mit der IT-Welt beruflich zu tun habe
    > und mich intensiv dafür interessiere.
    > Warum stellst du eigentlich so bescheuerte Fragen, die mit dem Thema so gar
    > nichts mehr am Hut haben?


    Ich erzähl dir mal was zu meinem aktuellen Projekt.

    Dort gibt es seit kurzem "ein Passwort für alles". Es muss genau 8 Zeichen lang sein, klein, mit Zahlen und einem Sonderzeichen. Alle 30 Tage muss es geändert werden.
    Im Artikel im Intranet wurden schon Passwortlisten ausgetauscht, damit sich die ganzen Mitarbeiter keine Passwörter mehr merken müssen, damit diese die PWs für die nächsten 1-2 Jahre erstmal haben.

    Alle kotzt es an, jeder ist genervt von dieser Änderung, speziell die PW-Richtlinien. Allerdings wird nach 3 Fehlversuchen der Account gesperrt. Immerhin das. Übrigens ein Unternehmen aus dem IT Sektor.

  11. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: quineloe 02.05.19 - 09:44

    Ich bin gestern wieder beim Gang durch eine unserer WP/StB Abteilungen an jemandem vorbeigekommen, bei dem Stand auf dem Bildschirm gerade der Windowspasswort-Ändern Dialog.

    Was macht die Mitarbeiterin? Sie holt einen Block aus der Schublade. Warum wohl...

    Verifizierter Top 500 Poster!

  12. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: leucen 02.05.19 - 09:54

    > Ich erzähl dir mal was zu meinem aktuellen Projekt.
    >
    > Dort gibt es seit kurzem "ein Passwort für alles". Es muss genau 8 Zeichen
    > lang sein, klein, mit Zahlen und einem Sonderzeichen. Alle 30 Tage muss es
    > geändert werden.
    > Im Artikel im Intranet wurden schon Passwortlisten ausgetauscht, damit sich
    > die ganzen Mitarbeiter keine Passwörter mehr merken müssen, damit diese die
    > PWs für die nächsten 1-2 Jahre erstmal haben.
    >
    > Alle kotzt es an, jeder ist genervt von dieser Änderung, speziell die
    > PW-Richtlinien. Allerdings wird nach 3 Fehlversuchen der Account gesperrt.
    > Immerhin das. Übrigens ein Unternehmen aus dem IT Sektor.

    wieso sollte ein Passwort auf genau 8 Zeichen festgelegt sein, das is doch schon etwas unsicher? sobald ein potentieller Angreifer von dieser Richtlinie weiß (und das werden genug
    Mitarbeiter bereitwillig erzählen), kann er seinen Angriff doch viel zielgerichteter ausrichten und alle anderen Möglichkeiten rauswerfen mit mehr oder weniger Zeichen.
    Sowieso wäre eine Richtlinie ab 15 Zeichen aber dafür egal, welche Zeichen sicherer als die bestehenden Richtlinien. Und gleichzeitig einfacher zu merken, weil man sich nicht merken muss, an welcher stelle welches sonst nie verwendetes Sonderzeichen ist

  13. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Kommentator2019 02.05.19 - 10:21

    Tylon schrieb:
    --------------------------------------------------------------------------------


    > Die Firma hat dafür zu sorgen Passwort-Policies zu erlassen, die sicher
    > sind und zweitens dafür zu sorgen, dass von draußen zwei Faktor
    > verpflichtend ist.

    Gibt's dort bei Citrix seid eh und je mit RSA-Token, Groß/Klein, Ziffern/Sonderzeichen

  14. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: peh.guevara 02.05.19 - 10:31

    dEEkAy schrieb:
    > Ich erzähl dir mal was zu meinem aktuellen Projekt.
    >
    > Dort gibt es seit kurzem "ein Passwort für alles". Es muss genau 8 Zeichen
    > lang sein, klein, mit Zahlen und einem Sonderzeichen. Alle 30 Tage muss es
    > geändert werden.
    > Im Artikel im Intranet wurden schon Passwortlisten ausgetauscht, damit sich
    > die ganzen Mitarbeiter keine Passwörter mehr merken müssen, damit diese die
    > PWs für die nächsten 1-2 Jahre erstmal haben.
    >
    > Alle kotzt es an, jeder ist genervt von dieser Änderung, speziell die
    > PW-Richtlinien. Allerdings wird nach 3 Fehlversuchen der Account gesperrt.
    > Immerhin das. Übrigens ein Unternehmen aus dem IT Sektor.

    Was für einen Sinn hat es das PW auf 8 Zeichen festzulegen? Ist ja wohl Wurst ob es 8 oder 255 Zeichen hat, gespeichert wird hoffentlich eh ein salted Hash (und der braucht mehr Platz als 8 Zeichen (hoffentlich)).

    Passwordänderung all x-Tage ist sowas von 90er. Weiß mittlerweile jeder, dass das nur zu noch unsichererem Verhalten der User führt.

    Ein Passwort für alle/alles:
    Das dümmlichste was man machen kann! Ein Passwort für genau einen Zugang. Und auch kein sharing unter den Usern wäre das Beste. Im Falle, dass das Passwort eines Users komprommitiert wurde sind nicht gleich alle betroffen (3 Fehlversuchen der Account gesperrt) und ich weiß wer es verbockt hat und kann ihn in die nächste Schulung packen, so dass er es lernt!



    5 mal bearbeitet, zuletzt am 02.05.19 10:34 durch peh.guevara.

  15. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Tylon 02.05.19 - 12:52

    Hotohori schrieb:
    --------------------------------------------------------------------------------

    > Klar, und der Gärtner/Hausmeister hat so viele Rechte im System, dass er
    > private Daten von Mitarbeitern abgreifen kann...

    Jemals von Mimikatz gehört? Dann googel mal.

  16. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Tylon 02.05.19 - 12:53

    Kommentator2019 schrieb:
    --------------------------------------------------------------------------------
    > Tylon schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Die Firma hat dafür zu sorgen Passwort-Policies zu erlassen, die sicher
    > > sind und zweitens dafür zu sorgen, dass von draußen zwei Faktor
    > > verpflichtend ist.
    >
    > Gibt's dort bei Citrix seid eh und je mit RSA-Token, Groß/Klein,
    > Ziffern/Sonderzeichen

    Siehe Artikel, es gab Accounts bei denen das deaktiviert war und die werden verdächtigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. sepp.med gmbh, Forchheim
  3. awinia gmbh, Freiburg im Breisgau
  4. über duerenhoff GmbH, Raum Mannheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 1,99€
  2. (-70%) 4,80€
  3. 0,99€
  4. (-73%) 13,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Starlink: SpaceX steht zwischen Flaute und Rekordjagd
Starlink
SpaceX steht zwischen Flaute und Rekordjagd

Die nächsten 60 Starlink-Satelliten stehen zum Start bereit, nachdem in diesem Jahr ungewöhnlich wenige Raketen gestartet sind - nicht nur von SpaceX. Die Flaute hat SpaceX selbst verursacht und einen Paradigmenwechsel in der Raumfahrt eingeläutet.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX testet Notfalltriebwerke des Crew Dragon
  2. Starship Mit viel Glück nur 6 Monate bis zum ersten Flug ins All
  3. SpaceX Das Starship nimmt Form an

Surface Laptop 3 (15 Zoll) im Test: Das 15-Zoll-Macbook mit Windows 10 und Ryzen
Surface Laptop 3 (15 Zoll) im Test
Das 15-Zoll-Macbook mit Windows 10 und Ryzen

Was passiert, wenn ein 13-Zoll-Notebook ein 15-Zoll-Panel erhält? Es entsteht der Surface Laptop 3. Er ist leicht, sehr gut verarbeitet und hat eine exzellente Tastatur. Das bereitet aber nur Freude, wenn wir die wenigen Anschlüsse und den recht kleinen Akku verkraften können.
Ein Test von Oliver Nickel

  1. Surface Laptop 3 mit 15 Zoll Microsoft könnte achtkernigen Ryzen verbauen

Fritzbox mit Docsis 3.1 in der Praxis: Hurra, wir haben Gigabit!
Fritzbox mit Docsis 3.1 in der Praxis
Hurra, wir haben Gigabit!

Die Fritzbox 6591 Cable für den Einsatz in Gigabit-Kabelnetzen ist seit Mai im Handel erhältlich. Wir haben getestet, wie schnell Vodafone mit Docsis 3.1 tatsächlich Daten überträgt und ob sich der Umstieg auf einen schnellen Router lohnt.
Ein Praxistest von Friedhelm Greis

  1. Kabelnetz Ausgaben für Docsis 3.1 nicht sehr hoch
  2. Nodesplits Vodafone bietet 500 MBit/s für 20 Millionen Haushalte
  3. Sercomm Kabelmodem für bis zu 2,5 GBit/s vorgestellt

  1. Oracle gegen Google: Supreme Court wird im Java-Streit entscheiden
    Oracle gegen Google
    Supreme Court wird im Java-Streit entscheiden

    Das höchste Gericht der USA wird im Streit Oracle gegen Google um die Verwendung von Java-APIs verhandeln. Der Supreme Court befasst sich nur noch mit einem bestimmten Aspekt der Klage gegen den Android-Hersteller.

  2. Messenger: Wire verlegt Hauptsitz in die USA
    Messenger
    Wire verlegt Hauptsitz in die USA

    Die Holding hinter dem Messenger Wire sitzt seit Juli in den USA - der Wechsel führte zu hitzigen Diskussionen in den sozialen Medien. Nun meldet sich Wire zu Wort und gibt Entwarnung: Es gehe um Geld, nicht um die Nutzerdaten.

  3. Darsteller: Paypal stellt Dienste für Pornhub ein
    Darsteller
    Paypal stellt Dienste für Pornhub ein

    Paypal wickelt keine Zahlungen mehr für Darsteller auf Pornhub ab. Die Begründung dafür klingt undurchsichtig.


  1. 21:45

  2. 17:34

  3. 17:10

  4. 15:58

  5. 15:31

  6. 15:05

  7. 14:46

  8. 13:11