1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bastelrechner: Raspberry Pi OS…

Password kann ich ja noch verstehen, aber User auch?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Password kann ich ja noch verstehen, aber User auch?

    Autor: M.P. 11.04.22 - 09:49

    Der einzige Grund könnte sein, dass es Wörterbuch-Attacken auf das Password erschwert ...
    Wieso nicht gleich Zertifikats-basiertes Anmelden empfehlen?

    Ich frage mich, ob es mehr Raspberries gibt, die NUR per remote zugreifbar sind, als solche, die nur über angeschlossene Maus/Tastatur/Monitor bedient werden?

    Mein Pi hat noch nie einen Monitor/Tastatur/Maus gesehen. Raspbian Lite und SSL Zugang ...



    1 mal bearbeitet, zuletzt am 11.04.22 09:53 durch M.P..

  2. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: TheDevilsLettuce 11.04.22 - 10:00

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Der einzige Grund könnte sein, dass es Wörterbuch-Attacken auf das Password
    > erschwert ...
    > Wieso nicht gleich Zertifikats-basiertes Anmelden empfehlen?
    >
    > Ich frage mich, ob es mehr Raspberries gibt, die NUR per remote zugreifbar
    > sind, als solche, die nur über angeschlossene Maus/Tastatur/Monitor bedient
    > werden?
    >
    > Mein Pi hat noch nie einen Monitor/Tastatur/Maus gesehen. Raspbian Lite und
    > SSL Zugang ...

    Du meinst sicher SSH über SSL abgesichert oder so^^

  3. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: sg-1 11.04.22 - 10:36

    Schon mal ins auth log geschaut? Es dauert nicht länger als 5 minuten, bis erste Bots auf einem frischen Server aufschlagen. Die probieren natürlich zuerst die Standard User durch und leicht zu erratende User/pw

  4. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: Bright5park 11.04.22 - 10:45

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Der einzige Grund könnte sein, dass es Wörterbuch-Attacken auf das Password
    > erschwert ...
    > Wieso nicht gleich Zertifikats-basiertes Anmelden empfehlen?

    Für meinen Eigenbedarf wäre ich dabei, nur sind die EIGENDLICHE Zielgruppe für die Himbeere ja Schulen und andere, die bisher noch keine Computererfahrung haben. Wenn man denen dann direkt mit Anmeldung via Zertifikat um die Ecke kommt und allem, dann sind die Leute schnell raus.

    Benutzername und Kennwort ausdenken, dass sollte man hingegen noch so gerade eben hinbekommen, auch als Voll-Laie.

  5. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: #YOLO 11.04.22 - 11:02

    sg-1 schrieb:
    --------------------------------------------------------------------------------
    > Schon mal ins auth log geschaut? Es dauert nicht länger als 5 minuten, bis
    > erste Bots auf einem frischen Server aufschlagen.
    Stimmt:

    Status for the jail: sshd
    |- Filter
    | |- Currently failed: 1
    | |- Total failed: 14502
    | `- File list: /var/log/auth.log
    `- Actions
    |- Currently banned: 0
    |- Total banned: 1885
    `- Banned IP list:

  6. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: Kein Kostverächter 11.04.22 - 11:16

    Das spart auch Rechenzeit. Denn für einen Login mit Username und Passwort ist folgendes nötig:
    1. Den Usernamen suchen.
    Bei einer überschaubaren Liste nicht teuer.
    2. Das übergebenen Passwort hassen
    Das ist schon mehr zur tun für die CPU.
    3. Hash mit Passworthash des Userd vergleichen.

    Bei einem Login ist das alles nicht viel, aber bei vielen Loginversuchen ist es schon gut, wenn Schritt 2 und 3 nicht stattfinden müssen. Bei einem Standardnamen finden Sie aber immer statt.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  7. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: _Winux_ 11.04.22 - 11:25

    Wie viele Raspberrys hängen als Server direkt im Internet? Also nicht irgendwo im Lan hinter einem Router sondern wirklich von außen erreichbar?

    Die meisten dieser Geräte werden doch vermutlich im lokalen Bereich - und dafür waren sich doch auch gedacht. Wer SSH über die Portfreigabe aus dem Internet zulässt und dabei Standarduser/Passwort verwendet - dem ist sowieso nicht mehr zu helfen. Der verwendet vermutlich auch beim neuen User/Passwort etwas ziemlich triviales.

  8. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: mibbio 11.04.22 - 11:50

    Spart da SSH mit Public Key wirklich so viel? Da muss doch auch der Username (und dessen Home Verzeichnis) rausgesucht werden, um dann zu prüfen, ob der Keys hinterlegt sind und ob einer davon mit dem gesendeten überein stimmt. Einzig das Hashen des Passworts fällt da weg.

    Und SSH mit Public Key macht ja nicht vorrangig Performancegründen, sondern weil es in der Regel sicherer ist als Nutzername + Passwort.

  9. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: tomatentee 11.04.22 - 12:48

    mibbio schrieb:
    --------------------------------------------------------------------------------
    > Spart da SSH mit Public Key wirklich so viel? Da muss doch auch der
    > Username (und dessen Home Verzeichnis) rausgesucht werden, um dann zu
    > prüfen, ob der Keys hinterlegt sind und ob einer davon mit dem gesendeten
    > überein stimmt. Einzig das Hashen des Passworts fällt da weg.
    >
    Nein, die Authentifizierung über den Key ist (je nach Algorithmus, bcrypt und Co vmtl nicht) wesentlich aufwändiger als ein Passwort zu hashen.
    Die Last ist aber tatsächlich geringer: Der Server schickt bei einer Anfrage erstmal eine Liste der supporteten Authentifizierungsmethoden, aus denen sich der Client dann eine aussucht - ist da nur key-basiert drin brechen die meisten Angreifer ab ;-)

  10. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: brutos 12.04.22 - 00:14

    Ja, ganz trival: geänderter SSH-Port, Eingang kann nur mit Port-Knocker geöffnet werden und Afick läuft auch noch :-)

  11. Re: Password kann ich ja noch verstehen, aber User auch?

    Autor: Megusta 12.04.22 - 13:23

    brutos schrieb:
    --------------------------------------------------------------------------------
    > Ja, ganz trival: geänderter SSH-Port, Eingang kann nur mit Port-Knocker
    > geöffnet werden und Afick läuft auch noch :-)


    Sehe ich durchaus als sinnvollen Schritt, dies zu tun. Mich hat es anfangs geärgert, warum ich nicht den Benutzernamen von Anfang an selber auswählen kann, funktioniert ja mit jeder anderen Distro auch. SSH Port sollte man ebenfalls gleich abfragen...

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP IS-Retail Berater Job (m/w/x) mit Fokus SAP SD/MM Stammdaten, Konditionen & Aktionen
    über duerenhoff GmbH, Raum Mannheim
  2. System Engineer (m/w/d) Autonomous Systems
    SICK AG, Waldkirch bei Freiburg
  3. IT-Administrator (m/w/d)
    TES Electronic Solutions GmbH, Leinfelden-Echterdingen
  4. Graduate* Operational Technology 4.0 / International Graduate Program (m/f/d)
    SCHOTT AG, Mainz

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. ab 69,99€ (inkl. digitaler Bonusinhalte + Lanyard im God of War-Design)
  2. 18,99€
  3. 37,49€ (UVP 54,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de