Internet-Explorer + Passwort-Sicherheit

Ui. Überlesen.

OFFTOPIC

Zitat

Solang nur ich zu blöde bin zum lesen, solls mir recht sein. Wird nur doof, wenn andere auch was anderes lesen. Dann kommt es zu einem fiesen Kommunikationsproblem zwischen Sender und Empfänger. Und das kann ja auch eigendlich nicht im Sinne des Senders sein, oder?

Hallo BugCatcher,

meinst Du damit Dich oder Deinen virtuellen Stammtisch? Du brauchst Dich doch hier nicht gleich um Kopf und Kragen zu rechtfertigen, BC - nimm Dir mal ein Beispiel an Doc, der die Sache vergleichsweise souveräner abhandelt (ohne deshalb meiner Meinung zu sein zu müssen).

Ich würde mir wünschen, "Naturfreund" und "Dzweitausend" kommen auf das Ursprungsthema zurück - die Sache mit meiner IE-Zwischenbemerkung war vielleicht etwas unglücklich und unpassend eingestreut.

Oliver

Zitat von Oliver222

Ich würde mir wünschen, "Naturfreund" und "Dzweitausend" kommen auf das Ursprungsthema zurück - die Sache mit meiner IE-Zwischenbemerkung war vielleicht etwas unglücklich und unpassend eingestreut.

Oliver

Hi Oliver,
ich habe ja bereits gesagt das es theoretisch möglich ist wenn man lokal an den Client kommt ohne Probleme die Passwörter zu "klauen" dazu gibt es hier im Forum quasi auch eine Anleitung Stichwörter sind da für die Forensuche "Masterpasswort vergessen", "Profilordner".
Theoretisch kann man also auch einen Trojaner stricken der diese Daten klaut.
Da wäre also als Schlussfolgerung nur die Sicherheit gegeben wenn man gar keine Passwörter speichert.
Aber gegen Trojaner kann man sich schützen in dem Man mit "Hirn" seinen Datenverkehr nutzt. D.H. Emails, Downloads; Datenträger immer misstrauisch händeln und am besten noch auf einen Virenscanner zurück greifen.
Jetzt kann ich nur noch sagen wie ich das handhabe. Auf meinen Arbeitsclient ist KIS6 beruflich bedingt installiert wie auch auf meinen Homeoffice PC. Beide Rechner sind aber in einen LAN das wiederum durch eine Firewall Lösung geschützt ist.
Der Datenverkehr wird von Systembetreuer überwacht, so das z.B. Emails mit gefährlichen Inhalten gar nicht mal mehr bis zum Client durchdringen, da zentral die Emails abgeholt werden und die Clients auf einen Lokalen Emailsserver zurückgreifen.
Genauso wie der Browser nicht direkt ins Netz darf sondern nur über einen Proxy.
D.H. es kommt nie direkt etwas bei den 2 Clients an ohne das es vorher nicht geprüft wurde.
Nur bei Datenträgern ist das so eine Sache, die scanne ich direkt jedesmal beim ersten mal einlegen/anschließen.
So bin ich nun schon viele viele Jahren komplett frei von all den Ungeziefern die sich im Internet so tummeln. (ca. 12 Jahre schon als ab 1994)
Zu Zeiten mit IE kamen dann noch öfterns Spyware Scans dazu um von den Werbe müll nach hause telefonierer frei zu bleiben.
Da ich aber Fx seit 0.8 nutze wie auch Tb und eben mir keine Toolbars oder sonstiges installiere ist das seitdem auch schon sehr stark zurück gegangen.
Naja glaube das waren so alle Tipps die ich weiß in Moment wie man alles etwas sicherer nutzen kann.

MfG Carsten

P.S. in meiner Signatur unter Projekte kann man paar Beispiele sehen die ich bei Kunden installiert habe und als Serviceleistung verkaufe, die auch so zu mehr Sicherheit beitragen, wen es interessiert, dem kann ich auch gerne links dazu senden wie er selbst erlernen kann sich solche Konzepte und Lösungen kostenlos zu erarbeiten.

Zitat von dzweitausend

ich habe ja bereits gesagt das es theoretisch möglich ist wenn man lokal an den Client kommt ohne Probleme die Passwörter zu "klauen" dazu gibt es hier im Forum quasi auch eine Anleitung Stichwörter sind da für die Forensuche "Masterpasswort vergessen", "Profilordner".

Bruteforce. Insofern sind die Passwörter eben immer nur so sicher wie das Master-Passwort. Aber wenn der Cracker schon mit Bruteforce kommt, braucht er keinen Zugriff mehr auf den Computer. Ob er den Account selbst oder das Master-Passwort knackt, ist doch egal.

Zitat von Dr. Evil

Bruteforce. Insofern sind die Passwörter eben immer nur so sicher wie das Master-Passwort. Aber wenn der Cracker schon mit Bruteforce kommt, braucht er keinen Zugriff mehr auf den Computer. Ob er den Account selbst oder das Master-Passwort knackt, ist doch egal.

naja nur gegen bruteforce_attacken sind wenn es webserver und seitenaccounts sind diese in der regel gesichert jedefalls die ich betreue
dafür gibts ganz einfache sachen z.B: scripts die die Login versuche mit "loggen" und z.B: bei 3 fehleingaben den account für 48st sperren usw usf.
Brute_force_attacken sidn da eher die harmlosen...eher man in the middle attacken, keylogger a la phishing oder ähnliches sind gefährlich
MfG Carsten

Hallo Carsten,

Hut ab vor Deiner Fachkenntnis.

Ich glaube, dass Dein kleiner Naturfreund in Bezug auf "User-Anmeldungen" gewisse Dinge "in einen Topf schmeisst", so wie ich Eure Kommunikation bisher verstanden habe.

Müsste nicht entsprechende Hirachie gelten?

a. Konten-Einschränkung der Benutzer-Rechte auf Windows-System-Ebene, (Admin und darunter). Einrichtung der Benutzerkonten. Die Sub-Level Verifikation.

b. Windows-Anmeldung / Anmeldedialog / Willkommensbildschirm (in Bezug auf a.)

c. FF-Profilordner und FF-User-Anmeldung. (Innerhalb des Browsers, nach Boot des entsprechenden Nutzers unter Windows). Windows könnte dann bestimmte Funktionen des FF´s stilllegen. (genau bei entsprechend eingeschränkter Benutzer-Anmeldung auf Windows-Ebene).

d. PasswortManager / Passwortverwaltung innerhalbs des FF´s, bezüglich des angemeldeten Benutzer-Statuses unter Windows. Die High-Level Verifikation.

Korrigiere mich jemand, wenn ich falsch liegen sollte.

Offtopic / Carsten:

Zitat

Genauso wie der Browser nicht direkt ins Netz darf, sondern nur über einen Proxy. D.H. es kommt nie direkt etwas bei den 2 Clients an ohne das es vorher nicht geprüft wurde.

Du meinst einen Bastion-Host als vorgelagerten Filter-Proxy mit abgeschalteten Diensten für eingehenden Traffic, bzw. einen Application-Level-Gateway für externen? Hatte mal Probleme mit so einer Konfig.

Oliver

Zitat von Oliver222

Du meinst einen Bastion-Host als vorgelagerten Proxy, mit abgeschalteten Diensten, intern und einen Application-Level-Gateway extern? Hatte mal Probleme mit so einer Konfig.

Hi Oliver,
ja eine Demilitariezierte Zone eben.
Und zu der Hirachie, a und b tauschen glaub ich passt besser
Windows zum surfen als eingeschränkter User nutzen ist einfach besser und für wichtige Sachen gibt es ja immer noch tools oder den Dialog "Ausführen als"
Wie auch 2 Administratoren evtl. ganz gut. einmal den Standard den man nicht anfäßt sondern so beläßt für Notfälle und einen für "Ausführen als"
Wenn mann das alles mit einen Samba PDC Client/Server Lösung für zu hause macht kann man auch noch sehr gut Rechte nicht nur auf Benutzer ebene setzen sondern auch auf Gruppen und da die User drin aufteilen bei Mehrbenutzer Systemen.
Wie man eine DMZ realiesiert ist ganz gut in den Dokumentationen von http://www.fli4l.de und http://www.eisfair.org beschrieben, beides Linux Open Source Projekte mit sehr guten dt. Dokumentationen auch vielen dt. Howtos bei der man als Anfänger sich so mit bisschen Lesearbeit alles auch kostenlos erarbeiten kann. Es gibt aber auch IT Dienstleister die einen das gegen Geld gerne hinstellen spart man sich halt die Zeit zum lesen der Dokumentation.
Aber wenn man wirklich was dabei lernen will ist selber machen einfach besser naja und nen schönes Hobby ist es auch, was schneller zum Beruf werden kann als man denkt(so bei mir geschehen*grins*)

MfG Carsten

Zitat

Und zu der Hirachie, a und b tauschen glaub ich passt besser.

Hmmm,..., Du meinst erst die Anmeldung am System und danach erst die Konten Einrichtung ?

Ich lerne einfach nicht aus.

doc.

Zitat

Bruteforce. Insofern sind die Passwörter eben immer nur so sicher wie das Master-Passwort

Ein wunderbarer Einwand wie ich finde. Kennst Du vielleicht auch:

http://www.elcomsoft.com/prs.html

Vielleicht noch eine thematische Ergänzung hierzu, zur Veranschaulichung.

Die produzierbaren und druckbaren Zeichen auf einer Deutschen-Normal-Tastatur sind ungefähr 95 (ohne Umlaute, aber incl. Sonderzeichen). Dieser Faktor entspricht "a" als Basis.

Die Passwortlänge (also die Anzahl der Zeichen aus denen mein PW bestehen soll, aus dieser Menge) entspricht hoch "n".

Ich baue ein mir Passwort aus bloß 4 Zeichen aus dieser Gesamtmenge (95). (nicht gerade empfehlenswert).

Es gilt demnach also "a" hoch "n" (Die PW-Länge aus 4 Zeichen in diesem Beispiel würde also bedeuten: 95 hoch 4) sprich: 81.450.625 knackbare Kombinationen.

Ein Pentuim Celeron 550 Mhz (eigenltlich nichts Besonderes nach heutigem Standard) schafft nach Laborerkenntnissen ca. 100.000 Kombinationen / Sek.

So ein Passwort im obigen Beispiel wäre demnach nach bereits ca. 14 Minuten geknackt (Rechner dabei 24/h bei der Arbeit).

Es würde sich daher also lohnen, die Passwortkombies nocheinmal zu überdenken, egal ob der Einbrecher selber bei Euch am PC sitzten sollte oder die Brutforce-Attacke vielleicht über einen Trojaner (Remote) erfolgt. Dies bezieht sich auf alle Passwörter.

Nur soviel dazu...

Oliver

Zur Passwortlänge kann ich sagen das Passwörter mit 8 Zeichen mit einen 1ghz Pentuim in spätestens 72std geknackt sind

Es wurden generell Passwörter ab 16 Zeichen mit sonderzeichen und Groß/Kleinschreibung empfohlen in monatlichen wechsel bei einen früheren ehemaligen Arbeitgeber, was ich seitdem selber so für mich übernommen habe.

Zur Konteneinrichtung, wenn das ein lokaler Client ist, ist es eh egal wie man was anfängt einzurichten, die Reihenfolge ist da eher nebensache.

Bei Server/Clientlösungen werden sowieso die User, Gruppen und Maschinen auf den Servern eingerichtet mit Ihren Rechten.
Ich nutze dafür z.B. einen Samba PDC Server mit aktiven Serverseitigen Profilen (http://www.eisfair.or ist opensource und kostenlos muss nicht immer eine teure winserver lizenz also sein *grins*)

MfG Carsten

Zitat

Zur Passwortlänge kann ich sagen das Passwörter mit 8 Zeichen mit einen 1ghz Pentuim in spätestens 72std geknackt sind

Hallo Carsten,

in Bezug auf Dein Beispiel (aber ebem mit besagtem Celeron 550) wären es bei 8 Zeichen zur Auflösung des Passwortes dann schon 2103 Jahre. (Gibt es so eine Flatrate überhaupt?).

Drum wahre die Macht der Potenzen und respektiere die Kraft der digitale Kombinatorik. (hat ein alter Prof. gesagt.).

ich finde diese Thematik über die wir beide hier fachsimpeln nicht ganz uninteressant.

In der Hoffnung, dass der eine oder andere, vielleicht eher Uninformierte, diese Zeilen lesen möge und dass das Forum noch lange bestehen bleibt.

Abschluss des Themas? Dein kleiner Naturfreund hat sich schliesslich nicht mehr gemeldet.

Oliver

Zur Passwort-Sicherheit:
Der Prozessor ist doch ganz egal. Es kommt doch darauf an, nach wievielen Sekunden, man das nächste vermeintliche Passwort eintippen kann.

Zum Internet Explorer:
Der hält sich nicht an die Webstandards und die neusten kennt er nicht mal. So was kann man doch nicht als Alternative bezeichnen.

enter schrieb:

Zitat

Zur Passwort-Sicherheit:
Der Prozessor ist doch ganz egal. Es kommt doch darauf an, nach wievielen Sekunden, man das nächste vermeintliche Passwort eintippen kann.

Hallo enter,

Dein Posting stimmt leider nur insoweit, wie Du Dich an einem Interface (direkt am Server) anmelden kannst und darfst. Es gelten dann serverseitige Restrictions. (z.B. drei falsche Anmeldungen - Out for 20 Min. etc.).

Solltest Du jedoch in den Besitz einer loakal gespeicherten Passwortdatei (*.pwl, etc.) über Direk - oder Fernzugriff (u.A. Trojaner) gelangen, könntest Du diese in Ruhe zu Hause "beackern" und genau dort werden dann diese Passwort-Knacker interessant von denen wir hier die ganze Zeit geredet haben, insbesondere in Bezug auf die eingesetzte (auch dezentral, verteilte) Prozessorleistung.

Oliver

Google?
http://www.google.de/search?q=anmeldung+strg+alt+entf

Naturfreund fragte:

Zitat

Allerdings wird sie bei der Anmeldung nicht umgesetzt, weil ich mich nach wie vor ohne Strg+Alt+Entf anmelden kann. Hast du eine Idee, wo mein Fehler liegen könnte?

klassische Anmeldedung unter XP:

- unter Benutzerkonten -> Art der Anmeldung "Willkommenseite verwenden" deaktivieren.

danach:

- secpol.msc (nicht bei WinXP-Home verfügbar) -> Lokale Richtlinien -> Sicherheitsoptionen -> "Interaktive Anmeldung: STRG+ALT+ENTF erforderlich".

danach die entsprechende Konten-Einrichtung.

Ich musste zwar nicht Googeln, aber das hättest Du auch selber herausfinden können...

Oliver