1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Citrix-Hack: Fast sechs Monate lang…

keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Anonymer Nutzer 01.05.19 - 18:49

    Wenn solche angriffe zum Erfolg führen können liegt eine sicherheitslücke vor!

    Wie kommt man in 2019 noch auf das brett einen login nicht genau gegen sowas abzusichern? Ôo

  2. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: heikom36 01.05.19 - 18:53

    OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher machen und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht nur das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von Anwendern bestraft werden?
    -
    Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue ich noch zu, dass die die Wahrheit sagen.

  3. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Anonymer Nutzer 01.05.19 - 19:14

    heikom36 schrieb:
    --------------------------------------------------------------------------------
    > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher machen
    > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht nur
    > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    Dann ist der Programmierer der so ein Kennwort zulässt der vollpfosten!

    Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich das überblicken kann.

    > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von Anwendern
    > bestraft werden?
    Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend muss man vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.

    > -
    > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue ich
    > noch zu, dass die die Wahrheit sagen.
    Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was unterscheidet diese firma von anderen das die ein solches vertrauen deinerseits verdienen?

  4. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: SchrubbelDrubbel 01.05.19 - 19:15

    heikom36 schrieb:
    --------------------------------------------------------------------------------
    > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher machen
    > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht nur
    > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.

    SSH zB erhörte die Wartezeit immer weiter bei falschen Logins.

  5. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: heikom36 01.05.19 - 19:19

    SchrubbelDrubbel schrieb:
    --------------------------------------------------------------------------------
    > heikom36 schrieb:
    > ---------------------------------------------------------------------------

    >
    > SSH zB erhörte die Wartezeit immer weiter bei falschen Logins.

    Kopf <.-> Tisch - wie sich die Leute immer einfach was hinkonstruieren wollen... heul.

  6. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: heikom36 01.05.19 - 19:28

    Prinzeumel schrieb:
    --------------------------------------------------------------------------------
    > heikom36 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher
    > machen
    > > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht
    > nur
    > > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    > Dann ist der Programmierer der so ein Kennwort zulässt der vollpfosten!
    >

    AUS WELCHEM GRUND? Seid ihr echt so doof, dass der Programmierer daran denken muss? Nö - der ist nicht dafür verantwortlich wenn ihr unfähig seid einen Rechner korrekt zu nutzen.
    Ich schreibe sowas in die Dokumentation - Wählen sie ein SICHERES Kennwort und erläutere was sicher ist. Wählt der dann trotzdem 1234, so sitzt weiter der Vollpfosten vorm Rechner.
    Und im 21.Jhd. darf man davon ausgehen, dass jeder allgemeines IT-Wissen hat. Wer es nicht hat, der ist einfach nicht fähig einen Rechner zu nutzen - ich wäre da sogar für ne Art von Führerschein, wo man die GRUNDLEGENDEN Dinge zu lernen hat.
    Aber in einem IT-Unternehmen - da sollte jeder Mitarbeiter fähig sein sichere Kennwörter zu wählen.

    > Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich das
    > überblicken kann.
    >

    Deswegen steht es auch in " - Rhetorische Aussage. Noch nie davon gehört?

    > > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von Anwendern
    > > bestraft werden?
    > Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend muss man
    > vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.
    >

    Die Anwender sind schlichtweg zu doof für den Rechner. Dafür kann der AG wohl nichts. Bewerbungen zu Faken ist einfach. Machen sogar unsere Politiker in schöner Regelmäßigkeit vor...
    > > -
    > > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue
    > ich
    > > noch zu, dass die die Wahrheit sagen.
    > Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was
    > unterscheidet diese firma von anderen das die ein solches vertrauen
    > deinerseits verdienen?

    Weil ich häufiger Nachrichten lese, mit der IT-Welt beruflich zu tun habe und mich intensiv dafür interessiere.
    Warum stellst du eigentlich so bescheuerte Fragen, die mit dem Thema so gar nichts mehr am Hut haben?

  7. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Tylon 01.05.19 - 20:25

    heikom36 schrieb:
    --------------------------------------------------------------------------------
    > Prinzeumel schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > heikom36 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > > > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher
    > > machen
    > > > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht
    > > nur
    > > > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    >
    > > Dann ist der Programmierer der so ein Kennwort zulässt der vollpfosten!
    > >
    >
    > AUS WELCHEM GRUND? Seid ihr echt so doof, dass der Programmierer daran
    > denken muss? Nö - der ist nicht dafür verantwortlich wenn ihr unfähig seid
    > einen Rechner korrekt zu nutzen.
    > Ich schreibe sowas in die Dokumentation - Wählen sie ein SICHERES Kennwort
    > und erläutere was sicher ist. Wählt der dann trotzdem 1234, so sitzt weiter
    > der Vollpfosten vorm Rechner.
    > Und im 21.Jhd. darf man davon ausgehen, dass jeder allgemeines IT-Wissen
    > hat. Wer es nicht hat, der ist einfach nicht fähig einen Rechner zu nutzen
    > - ich wäre da sogar für ne Art von Führerschein, wo man die GRUNDLEGENDEN
    > Dinge zu lernen hat.
    > Aber in einem IT-Unternehmen - da sollte jeder Mitarbeiter fähig sein
    > sichere Kennwörter zu wählen.
    >
    > > Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich das
    > > überblicken kann.
    > >
    >
    > Deswegen steht es auch in " - Rhetorische Aussage. Noch nie davon gehört?
    >
    > > > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von
    > Anwendern
    > > > bestraft werden?
    > > Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend muss
    > man
    > > vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.
    > >
    >
    > Die Anwender sind schlichtweg zu doof für den Rechner. Dafür kann der AG
    > wohl nichts. Bewerbungen zu Faken ist einfach. Machen sogar unsere
    > Politiker in schöner Regelmäßigkeit vor...
    > > > -
    > > > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue
    > > ich
    > > > noch zu, dass die die Wahrheit sagen.
    > > Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was
    > > unterscheidet diese firma von anderen das die ein solches vertrauen
    > > deinerseits verdienen?
    >
    > Weil ich häufiger Nachrichten lese, mit der IT-Welt beruflich zu tun habe
    > und mich intensiv dafür interessiere.
    > Warum stellst du eigentlich so bescheuerte Fragen, die mit dem Thema so gar
    > nichts mehr am Hut haben?

    Und da arbeitet kein Gärtner, oder Hausmeister, der seine Aufgaben in nem Ticketsystem bekommt, oder? Ist ja ne IT-Firma, das macht sich alles von alleine. Und der muss natürlich nebenbei IT-Sicherheitsexperte sein. Logo.
    Und kann man den von außen sperren? Nein, denn erstens wirbt man damit, sichere Lösungen für sowas zu verkaufen und zweitens ist ggf. nicht überall wlan im Garten und der hat ein Handy oder
    Tablet für das
    Ticketsystem dabei wie in größeren Firmen durchaus üblich.
    Die Firma hat dafür zu sorgen Passwort-Policies zu erlassen, die sicher sind und zweitens dafür zu sorgen, dass von draußen zwei Faktor verpflichtend ist. Dafür gibts in der Regel nen zu gut bezahlten CISO der in dem Fall wohl gänzlich versagt hat.

  8. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Ghost2902 01.05.19 - 21:52

    Meiner Meinung nach ist es schon sehr ironisch, dass eine Firma wie Citrix mit einem Produkt wie dem Citrix ADC Ihre externen Logins nicht zumindest mit einem zweiten oder dritten Faktor sichert....

  9. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Hotohori 02.05.19 - 07:43

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > heikom36 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Prinzeumel schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > heikom36 schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > > > > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher
    > > > machen
    > > > > und dabei sitzt der Vollpfosten hinterm Rechner und die Software
    > macht
    > > > nur
    > > > > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu
    > wählen.
    > >
    > > > Dann ist der Programmierer der so ein Kennwort zulässt der
    > vollpfosten!
    > > >
    > >
    > > AUS WELCHEM GRUND? Seid ihr echt so doof, dass der Programmierer daran
    > > denken muss? Nö - der ist nicht dafür verantwortlich wenn ihr unfähig
    > seid
    > > einen Rechner korrekt zu nutzen.
    > > Ich schreibe sowas in die Dokumentation - Wählen sie ein SICHERES
    > Kennwort
    > > und erläutere was sicher ist. Wählt der dann trotzdem 1234, so sitzt
    > weiter
    > > der Vollpfosten vorm Rechner.
    > > Und im 21.Jhd. darf man davon ausgehen, dass jeder allgemeines IT-Wissen
    > > hat. Wer es nicht hat, der ist einfach nicht fähig einen Rechner zu
    > nutzen
    > > - ich wäre da sogar für ne Art von Führerschein, wo man die
    > GRUNDLEGENDEN
    > > Dinge zu lernen hat.
    > > Aber in einem IT-Unternehmen - da sollte jeder Mitarbeiter fähig sein
    > > sichere Kennwörter zu wählen.
    > >
    > > > Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich
    > das
    > > > überblicken kann.
    > > >
    > >
    > > Deswegen steht es auch in " - Rhetorische Aussage. Noch nie davon gehört?
    >
    > >
    > > > > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von
    > > Anwendern
    > > > > bestraft werden?
    > > > Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend
    > muss
    > > man
    > > > vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.
    > > >
    > >
    > > Die Anwender sind schlichtweg zu doof für den Rechner. Dafür kann der AG
    > > wohl nichts. Bewerbungen zu Faken ist einfach. Machen sogar unsere
    > > Politiker in schöner Regelmäßigkeit vor...
    > > > > -
    > > > > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen
    > traue
    > > > ich
    > > > > noch zu, dass die die Wahrheit sagen.
    > > > Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was
    > > > unterscheidet diese firma von anderen das die ein solches vertrauen
    > > > deinerseits verdienen?
    > >
    > > Weil ich häufiger Nachrichten lese, mit der IT-Welt beruflich zu tun
    > habe
    > > und mich intensiv dafür interessiere.
    > > Warum stellst du eigentlich so bescheuerte Fragen, die mit dem Thema so
    > gar
    > > nichts mehr am Hut haben?
    >
    > Und da arbeitet kein Gärtner, oder Hausmeister, der seine Aufgaben in nem
    > Ticketsystem bekommt, oder? Ist ja ne IT-Firma, das macht sich alles von
    > alleine. Und der muss natürlich nebenbei IT-Sicherheitsexperte sein. Logo.
    > Und kann man den von außen sperren? Nein, denn erstens wirbt man damit,
    > sichere Lösungen für sowas zu verkaufen und zweitens ist ggf. nicht überall
    > wlan im Garten und der hat ein Handy oder
    > Tablet für das
    > Ticketsystem dabei wie in größeren Firmen durchaus üblich.
    > Die Firma hat dafür zu sorgen Passwort-Policies zu erlassen, die sicher
    > sind und zweitens dafür zu sorgen, dass von draußen zwei Faktor
    > verpflichtend ist. Dafür gibts in der Regel nen zu gut bezahlten CISO der
    > in dem Fall wohl gänzlich versagt hat.

    Klar, und der Gärtner/Hausmeister hat so viele Rechte im System, dass er private Daten von Mitarbeitern abgreifen kann...

  10. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: dEEkAy 02.05.19 - 09:27

    heikom36 schrieb:
    --------------------------------------------------------------------------------
    > Prinzeumel schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > heikom36 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > OK... du nimmst das Passwort "1234" und ist schnell herausgefunden.
    > > > Und dann kommst du mit "Drecks Firma XYZ", die können nichts sicher
    > > machen
    > > > und dabei sitzt der Vollpfosten hinterm Rechner und die Software macht
    > > nur
    > > > das, was der vorgegeben hat - ein extrem schlechtes Kennwort zu wählen.
    >
    > > Dann ist der Programmierer der so ein Kennwort zulässt der vollpfosten!
    > >
    >
    > AUS WELCHEM GRUND? Seid ihr echt so doof, dass der Programmierer daran
    > denken muss? Nö - der ist nicht dafür verantwortlich wenn ihr unfähig seid
    > einen Rechner korrekt zu nutzen.
    > Ich schreibe sowas in die Dokumentation - Wählen sie ein SICHERES Kennwort
    > und erläutere was sicher ist. Wählt der dann trotzdem 1234, so sitzt weiter
    > der Vollpfosten vorm Rechner.
    > Und im 21.Jhd. darf man davon ausgehen, dass jeder allgemeines IT-Wissen
    > hat. Wer es nicht hat, der ist einfach nicht fähig einen Rechner zu nutzen
    > - ich wäre da sogar für ne Art von Führerschein, wo man die GRUNDLEGENDEN
    > Dinge zu lernen hat.
    > Aber in einem IT-Unternehmen - da sollte jeder Mitarbeiter fähig sein
    > sichere Kennwörter zu wählen.
    >
    > > Ich habe übrigens nichts von ''drecks firma'' geschrieben soweit ich das
    > > überblicken kann.
    > >
    >
    > Deswegen steht es auch in " - Rhetorische Aussage. Noch nie davon gehört?
    >
    > > > Sollen jetzt Unternehmen auch für die unbegrenzte Dummheit von
    > Anwendern
    > > > bestraft werden?
    > > Ja. Weil bekannt ist das anwender dumm und faul sind. Entsprechend muss
    > man
    > > vorsorgen das ein passwort a la "1234" nicht gesetzt werden kann.
    > >
    >
    > Die Anwender sind schlichtweg zu doof für den Rechner. Dafür kann der AG
    > wohl nichts. Bewerbungen zu Faken ist einfach. Machen sogar unsere
    > Politiker in schöner Regelmäßigkeit vor...
    > > > -
    > > > Vorausgesetzt die Aussagen von Citrix stimmen - dem Unternehmen traue
    > > ich
    > > > noch zu, dass die die Wahrheit sagen.
    > > Wieso traust du DIESEM untenehmen zu die Wahrheit zu sagen? Was
    > > unterscheidet diese firma von anderen das die ein solches vertrauen
    > > deinerseits verdienen?
    >
    > Weil ich häufiger Nachrichten lese, mit der IT-Welt beruflich zu tun habe
    > und mich intensiv dafür interessiere.
    > Warum stellst du eigentlich so bescheuerte Fragen, die mit dem Thema so gar
    > nichts mehr am Hut haben?


    Ich erzähl dir mal was zu meinem aktuellen Projekt.

    Dort gibt es seit kurzem "ein Passwort für alles". Es muss genau 8 Zeichen lang sein, klein, mit Zahlen und einem Sonderzeichen. Alle 30 Tage muss es geändert werden.
    Im Artikel im Intranet wurden schon Passwortlisten ausgetauscht, damit sich die ganzen Mitarbeiter keine Passwörter mehr merken müssen, damit diese die PWs für die nächsten 1-2 Jahre erstmal haben.

    Alle kotzt es an, jeder ist genervt von dieser Änderung, speziell die PW-Richtlinien. Allerdings wird nach 3 Fehlversuchen der Account gesperrt. Immerhin das. Übrigens ein Unternehmen aus dem IT Sektor.

  11. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: quineloe 02.05.19 - 09:44

    Ich bin gestern wieder beim Gang durch eine unserer WP/StB Abteilungen an jemandem vorbeigekommen, bei dem Stand auf dem Bildschirm gerade der Windowspasswort-Ändern Dialog.

    Was macht die Mitarbeiterin? Sie holt einen Block aus der Schublade. Warum wohl...

    Verifizierter Top 500 Poster!

  12. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: leucen 02.05.19 - 09:54

    > Ich erzähl dir mal was zu meinem aktuellen Projekt.
    >
    > Dort gibt es seit kurzem "ein Passwort für alles". Es muss genau 8 Zeichen
    > lang sein, klein, mit Zahlen und einem Sonderzeichen. Alle 30 Tage muss es
    > geändert werden.
    > Im Artikel im Intranet wurden schon Passwortlisten ausgetauscht, damit sich
    > die ganzen Mitarbeiter keine Passwörter mehr merken müssen, damit diese die
    > PWs für die nächsten 1-2 Jahre erstmal haben.
    >
    > Alle kotzt es an, jeder ist genervt von dieser Änderung, speziell die
    > PW-Richtlinien. Allerdings wird nach 3 Fehlversuchen der Account gesperrt.
    > Immerhin das. Übrigens ein Unternehmen aus dem IT Sektor.

    wieso sollte ein Passwort auf genau 8 Zeichen festgelegt sein, das is doch schon etwas unsicher? sobald ein potentieller Angreifer von dieser Richtlinie weiß (und das werden genug
    Mitarbeiter bereitwillig erzählen), kann er seinen Angriff doch viel zielgerichteter ausrichten und alle anderen Möglichkeiten rauswerfen mit mehr oder weniger Zeichen.
    Sowieso wäre eine Richtlinie ab 15 Zeichen aber dafür egal, welche Zeichen sicherer als die bestehenden Richtlinien. Und gleichzeitig einfacher zu merken, weil man sich nicht merken muss, an welcher stelle welches sonst nie verwendetes Sonderzeichen ist

  13. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Kommentator2019 02.05.19 - 10:21

    Tylon schrieb:
    --------------------------------------------------------------------------------


    > Die Firma hat dafür zu sorgen Passwort-Policies zu erlassen, die sicher
    > sind und zweitens dafür zu sorgen, dass von draußen zwei Faktor
    > verpflichtend ist.

    Gibt's dort bei Citrix seid eh und je mit RSA-Token, Groß/Klein, Ziffern/Sonderzeichen

  14. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: peh.guevara 02.05.19 - 10:31

    dEEkAy schrieb:
    > Ich erzähl dir mal was zu meinem aktuellen Projekt.
    >
    > Dort gibt es seit kurzem "ein Passwort für alles". Es muss genau 8 Zeichen
    > lang sein, klein, mit Zahlen und einem Sonderzeichen. Alle 30 Tage muss es
    > geändert werden.
    > Im Artikel im Intranet wurden schon Passwortlisten ausgetauscht, damit sich
    > die ganzen Mitarbeiter keine Passwörter mehr merken müssen, damit diese die
    > PWs für die nächsten 1-2 Jahre erstmal haben.
    >
    > Alle kotzt es an, jeder ist genervt von dieser Änderung, speziell die
    > PW-Richtlinien. Allerdings wird nach 3 Fehlversuchen der Account gesperrt.
    > Immerhin das. Übrigens ein Unternehmen aus dem IT Sektor.

    Was für einen Sinn hat es das PW auf 8 Zeichen festzulegen? Ist ja wohl Wurst ob es 8 oder 255 Zeichen hat, gespeichert wird hoffentlich eh ein salted Hash (und der braucht mehr Platz als 8 Zeichen (hoffentlich)).

    Passwordänderung all x-Tage ist sowas von 90er. Weiß mittlerweile jeder, dass das nur zu noch unsichererem Verhalten der User führt.

    Ein Passwort für alle/alles:
    Das dümmlichste was man machen kann! Ein Passwort für genau einen Zugang. Und auch kein sharing unter den Usern wäre das Beste. Im Falle, dass das Passwort eines Users komprommitiert wurde sind nicht gleich alle betroffen (3 Fehlversuchen der Account gesperrt) und ich weiß wer es verbockt hat und kann ihn in die nächste Schulung packen, so dass er es lernt!



    5 mal bearbeitet, zuletzt am 02.05.19 10:34 durch peh.guevara.

  15. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Tylon 02.05.19 - 12:52

    Hotohori schrieb:
    --------------------------------------------------------------------------------

    > Klar, und der Gärtner/Hausmeister hat so viele Rechte im System, dass er
    > private Daten von Mitarbeitern abgreifen kann...

    Jemals von Mimikatz gehört? Dann googel mal.

  16. Re: keine Sicherheitslücke im System...stattdessen...Passwortlisten und Brute-Force-Angriffe

    Autor: Tylon 02.05.19 - 12:53

    Kommentator2019 schrieb:
    --------------------------------------------------------------------------------
    > Tylon schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Die Firma hat dafür zu sorgen Passwort-Policies zu erlassen, die sicher
    > > sind und zweitens dafür zu sorgen, dass von draußen zwei Faktor
    > > verpflichtend ist.
    >
    > Gibt's dort bei Citrix seid eh und je mit RSA-Token, Groß/Klein,
    > Ziffern/Sonderzeichen

    Siehe Artikel, es gab Accounts bei denen das deaktiviert war und die werden verdächtigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Komm.ONE Anstalt des öffentlichen Rechts, verschiedene Standorte
  2. Limbach Gruppe SE, Heidelberg
  3. IDS Imaging Development Systems GmbH, Obersulm
  4. itsc GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 39,90€ (Vergleichspreis 52,70€)
  2. 124,99€
  3. mit täglich wechselnden Angeboten
  4. (u. a. Forza Horizon 4 (Xbox One / Windows 10) für 28,49€ und Total War - Three Kingdoms für 22...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberpunk 2077 angespielt: Zwischen Beamtenbestechung und Gunplay mit Wumms
Cyberpunk 2077 angespielt
Zwischen Beamtenbestechung und Gunplay mit Wumms

Mit dem Auto von der Wüste bis in die große Stadt: Golem.de hat den Anfang von Cyberpunk 2077 angespielt.
Von Peter Steinlechner

  1. CD Projekt Red Cyberpunk 2077 nutzt Raytracing und DLSS 2.0
  2. Cyberpunk 2077 Die Talentbäume von Night City
  3. CD Projekt Red Cyberpunk 2077 rutscht in Richtung Next-Gen-Startfenster

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
Laravel/Telescope
Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.
Ein Bericht von Hanno Böck

  1. IT-Sicherheitsgesetz Regierung streicht Passagen zu Darknet und Passwörtern
  2. Callcenter Sicherheitsexperte hackt Microsoft-Betrüger
  3. Sicherheit "E-Mail ist das Fax von morgen"

Außerirdische Intelligenz: Warum haben wir noch keine Aliens gefunden?
Außerirdische Intelligenz
Warum haben wir noch keine Aliens gefunden?

Seit Jahrzehnten gucken wir mit Teleskopen tief ins All. Außerirdische haben wir zwar bisher nicht entdeckt, das ist aber kein Grund, an ihrer Existenz zu zweifeln.
Von Miroslav Stimac