Kennwortsatz oder Kennwort?

Re(6): Kennworte und so...

gepeinigter_aon_neukunde — Tue, 08 Nov 2005 16:19:00 GMT

Jetzt kennst schon zwei .

Ich sehe aber kein Problem dabei... denn ich will Windows echt nur zum Spielen - gerade mal zum Testen von Windows-Programmen, die ich via gcc geschrieben habe. Ich finde Linux ein sehr bequemes und fähiges Arbeitstier...

Re(5): Kennworte und so...

Fly — Tue, 08 Nov 2005 16:15:45 GMT

Ich kenn jemanden, der NUR und AUSSCHLIESSLICH über Linux ins Internet geht. Er ist zwar nicht der Guru unter'm Herrn (auch wenn er in Sachen Mathematik mir wahrscheinlich weit überlegen ist), aber er hat einfach Angst vor Viren, Trojanern usw.

Etwas ZU paranoid für meine Begriffe, aber mir lieber als umgekehrt.

Re(4): Kennworte und so...

gepeinigter_aon_neukunde — Tue, 08 Nov 2005 16:05:34 GMT

Yup, du hast recht - ich ging von Firmenrechnern aus. Wobei ich persönlich (dessen berufliche Existenz vom Funktionieren des eigenen Rechners abhängt) beinhart eine feige Sau bin - und mich zB niemals unter Windows ins Netz trauen würde.

Ich gebe gerne zu, daß ich auch noch nicht auf allen meinen Heimrechnern auf SE umgestellt habe, und auch unter mickriger C2-Security unter Linux-"Standard" surfe.

Ein Problem ist IMHO, daß sich Win zu Userfreundlich gibt. Es verbirgt sehr komplexe Zusammenhänge unter zum Teil sehr Userfreundlichen Masken, wodurch bei vielen Endbenutzern der Eindruck entsteht, daß ein System-Aufsetzen eh jeder kann. Meiner Meinung nach entsteht genau aus dieser trügerischen Einfachheit das Phänomen von Millionen Zombie-PC's...

Jedem Heim-Benutzer würde ich empfehlen, unter einem alternativen OS (muß net Linux sein) ins INet zu gehen - denn selbst wenn er beshissen aufgesetzt ist, ist er sicherer - alleine weil weniger Angriffe erfolgen (außer er hat Dienste wie apache/analog, ... aktiviert) - und sich Win für Spiele draufläßt .

P.S.: Wenn ich ähnlich viel KnowHow bei Windows wie unter Linux hätte, würde ich zugegeben vermutlich umgekehrt schreiben... Denn ich hätte die Vorteile von B-Level nicht kennengelernt.

P.P.S.: Als Alternative könnte man sich vorstellen, zwar alles unter Windows zu lassen, wenn man will - und eine eigene INet-VM (zB via vmware) zu starten, die allen Netzwerkverkehr gebridget bekommt. Dann hast du ziemlich viel unter C2 herausgeholt - nur krankt es dann wieder am Transport der (eventuell verseuchten) Files von der INet-vm in die Produktion-vm.

Re(3): Kennworte und so...

Fly — Tue, 08 Nov 2005 15:49:51 GMT

Re(3): Kennworte und so...

Fly — Tue, 08 Nov 2005 15:49:51 GMT

Ja, ich red auch nicht von Firmensystemen.

Mir geht's in dem Zusammenhang auch nicht darum. Ich rede von viel größeren, und weltweiten, Schäden, die durch Privat-PCs entstehen, die ungesichert und ungeschützt im Internet rumschleudern.

Edit: Ich seh grad wo die Verwirrung herkommt. Ich hätt "Admin" statt "User" schreiben müssen. Ich war mit meiner Gedankenwelt halt im Heimbereich, wo das synonymhaft verwendet werden kann.

Re(2): Kennworte und so...

gepeinigter_aon_neukunde — Tue, 08 Nov 2005 15:44:50 GMT

Das ist schlicht unwahr - und sorry, es zeigt, daß du keinerlei Erfahrung von B-Level-Systemen hast.

Es geht ja auch darum, daß ein Systemadministrator sich darum kümmert, daß auch ein böswilliger, gut geschulter Mitarbeiter, der u.U. gerade seine Entlassung bekommen hat, keinerlei Schaden mehr anrichten kann.

Wenn ein Server so einfach umzubringen wäre, hätten sich Server nie durchgesetzt . Denn schließlich kann das lahmlegen eines Servers ja auch bedeuten, daß 1000e Benutzer nicht mehr arbeiten können - und dann wird's /schnell/ seeehr teuer für die Firma. Und in diesem Falle nutzt auch der redundante Server nix - denn den könnte ja ein Benutzer (absichtlich oder unabsichtlich) genauso schnell lahmlegen

Re(4): Kennworte und so...

gepeinigter_aon_neukunde — Tue, 08 Nov 2005 15:42:14 GMT

Bei Teilen stimme ich zu... aaaber :

1.) In einer Firma habe ich verschiedene "Sicherheitszonen". zB gelten für einen Server (insbesondere für welche, die MissionCritical fahren) ganz andere Richtlinien als für einen "lausigen" Client-PC.

2.) Hängt es wie immer von der Aufgabenstellung ab - und was ich erreichen will. Ich sage keineswegs, daß SELinux oder gar z/OS für /alle/ Enduser zwingend notwendig oder auch nur sinnvoll ist. Just for Fun würde ich keineswegs umstellen. Ich finde eine Umstellung in einigen Bereichen (insbesondere bei vielen nur-Thin-Client-Nutzern) durchaus überlegenswert - würde dann aber auch warten, bis ich den Client eh umstellen will (zB wenn der noch NT hat und ich wegen neuer HW nicht mehr NT will).

3.) Bei Daten, Applikationen, Business Logic, ... deren Einsicht/Modifikation durch Fremde (zB Kunden/Mitbewerb/Presse/Finanzamt/.. ) allerdings empfindliche Nachteile hat, würde ich sofort über eine Absicherung der betroffenen EDV-Infrastruktur nachdenken.

4.) Die Masse der Angriffe erfolgt von innerhalb einer Firma, nicht außerhalb. Natürlich gehört gegenüber dem INet eine extra Line of Defence hochgezogen - allerdings auch vor eigenen Mitarbeitern.

5.) In den zitierten White Papers wird es erläutert: Cryptographie macht natürlich Sinn - Sei es wenn einer meine Platten fladern könnte und mich damit erpressen will (schon mal passiert), sei es bei Kommunikation durch "fremde" Netze wie das INet. Tatsache ist aber auch (wie beschrieben), daß Angriffe gerne gegen fehlerhafte Implementierungen eines Service gestartet werden... Und mir genau dann, wenn es empfindlich wird, nix nutzt. Denn alles verschlüsselte auf Platten bzw. aus dem Netz wird ja in Memory entschlüsselt - und könnte u.U. direkt oder via Swap, ... ausgelesen werden.

6.) In Firmen gibt es i.d.R. sehr wenig Spezialsoftware (aber natürlich gibt es sie), für die kein ähnliches Produkt unter anderen OS existiert. Egal ob Oracle, Websphere, die Office Schiene, ... Ich würde mich hüten, unter Zwang /alles/ umzustellen, würde aber keinesfalls generell von Umstellungen abraten.

Re: Kennworte und so...

Fly — Tue, 08 Nov 2005 12:13:35 GMT

Auf Hackversuche reagiert sogar mein kleiner Heimrechner schon recht *TRÖT* (bitte nicht ausprobieren! ).

B-Level wär schon was. Aber ich behaupte mal kategorisch, daß es nix bringen würde. Security = min(OS-Level, User-Level). Sprich, nur so gut wie OS und User es sind, und der unsicherere bestimmt die Gesamtsicherheit.

Re(3): Kennworte und so...

Tschiki — Tue, 08 Nov 2005 12:07:48 GMT

Jedoch die wahrscheinlichkeit das SELinux,z/OS... in einer Firma eingeführt liegt etwa gleich bei Null. Man wird auch kaum erleben das eine ganze Fa. auf Linux umgestellt wird - weil das ganze System einfach MS lastig ist - und einfach viele Inkompatibiliäten vorhanden sind.

Man wird kaum einem Linux System mittels MS Server 2003 ein Paketzuweisen können - und ob es wirklich einen Sinn macht, auf eine B-Level-Security umzustellen - um die Sicherheit zu gewährleisten - die wahrscheinlich nicht benötigt wird.

Da ist es einfach die Firma von Internet abzuscheiden - und USB Sticks, Disketten etc. - wie bei anderen Hochsicherheitsnetzen zu unterbieten.

Re(3): Kennworte und so...

Tschiki — Tue, 08 Nov 2005 12:07:48 GMT

Jedoch die wahrscheinlichkeit das SELinux,z/OS... in einer Firma eingeführt liegt etwa gleich bei Null. Man wird auch kaum erleben das eine ganze Fa. auf Linux umgestellt wird - weil das ganze System einfach MS lastig ist - und einfach viele Inkompatibiliäten vorhanden sind.

Man wird kaum einem Linux System mittels MS Server 2003 ein Paketzuweisen können - und ob es wirklich einen Sinn macht, auf eine B-Level-Security umzustellen - um die Sicherheit zu gewährleisten - die wahrscheinlich nicht benötigt wird.

Da ist es einfacher die Firma vom Internet abzuscheiden - und USB Sticks, Disketten etc. - wie bei anderen Hochsicherheitsnetzen zu unterbieten - bzw. die Systeme zu verschlüsseln.

Re(2): Kennworte und so...

gepeinigter_aon_neukunde — Tue, 08 Nov 2005 10:17:53 GMT

Hehe, ich sprach auch von aktuellen Betriebssystemen - und meinte damit z/OS, SELinux und ähnliche. Software aus Redmond habe ich damit nicht so gemeint (drum meinte ich ja auch, daß C2-Security beshiccen sei )

Re(2): Kennworte und so...

gepeinigter_aon_neukunde — Tue, 08 Nov 2005 10:17:53 GMT

Hehe, ich sprach auch von aktuellen Betriebssystemen - und meinte damit z/OS, SELinux und ähnliche. Von Software aus Redmond habe ich damit nicht so gemeint (drum meinte ich ja auch, daß C2-Security beshiccen sei )

Re(4): Kennworte und so...

gepeinigter_aon_neukunde — Tue, 08 Nov 2005 10:16:14 GMT

Yup.

SELinux ist von der NSA geschrieben - kein Witz - um zu zeigen, wie man die Informationssicherheit in [größtenteils natürlich amerikanischen] Unternehmen nach oben pushen kann. Details findest du hier
http://www.nsa.gov/selinux/index.cfm
[von der nsa.gov-Site auf Research/SELinux]

Nett fü Beginner sind die Seiten unter Background - zB
http://www.nsa.gov/selinux/papers/inevit-abs.cfm
"The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments" - es zeigt im gaaaanz groben Überblick, warum Sicherheit unter C2-Systemen wie Linux Out-of-the-box oder Win2003 einfach ähnlich sinnvoll ist, wie das Meer mit einem Becher ausschöpfen wollen...

Eine "Manager-Einführung" - also ohne allzuviel technische Details - findest du hier:

http://www.nsa.gov/selinux/papers/selsymp2005-abs.cfm

Re: Kennworte und so...

Tschiki — Tue, 08 Nov 2005 10:13:11 GMT

Hi !Kennworte sind heute tendenziell nie ein Problem - da heute wohl
niemand mehr so blöd^H^H^H^Hnaiv ist, ein Kennwort wie "PASSWORT" oder
"GANDALF" oder sonst eines der Dictionary-Gschichtln zu verwenden.

Glaubst du das wirklich? Du glaubst nicht wieviel User - einfache Passwörter verwenden, und wenn man davon ausgeht wie in dem Artikel das standardmäßig ca. nur 30 Zeichen a,e... verwendet werden - und dadurch der Hash Wert relativ leicht geknackt werden kein - ist die Sicherheit nicht wirklich gegeben.

Da bringt einem auch nichts ein B-Level-Security.

IMHO sind die Sicherheits bei aktuellen
Betriebssystemen weit genug, daß sie de facto 100%ige Sicherheit bieten -

Meiner Meinung nach nicht, weil man einfach die altlasten um die Abwärtkompatibilität gewährleisten zu können, immer wieder in neuere Versionen mitnehmen muss - wie zB den LM-Hash. Da bringts einem einfach nichts, diesen zu deaktivieren - wenn man noch etliche Systeme bzw. Programme hat die auf den Hash zugreifen müssen.

Re(13): Kennwortsatz oder Kennwort?

teleth — Tue, 08 Nov 2005 07:31:11 GMT

gö do schaust!

Re(3): Kennworte und so...

Paradoxon — Mon, 07 Nov 2005 22:28:25 GMT

Danke, leuchtet mir ein. Vielen Dank für die viele Schreibarbeit. B-Level klingt recht vorteilhaft, wenn auch anfänglich langwieriger zu konfigurieren. Dann aber mächtig.

Jetzt wird mir auch klar, wie du das mit den Virenzugriffen so gemeint hast. Tja, tolle Technik, Hut ab.

nsa.gov-Seite gibt's gute Whitepapers dazu

Ehrlich, war eigentlich ein Scherzerl von mir, sind die echt so informativ?

Re(2): Kennworte und so...

gepeinigter_aon_neukunde — Mon, 07 Nov 2005 22:25:14 GMT

Also mal gaaanz kurz:
C2-Security kennt User, Gruppen, und Objekte (zB Dateien) plus die Zuordnung, wer worauf wie zugreifen darf - lesend, schreibend, ausführend, ... - also genau das, was du von Linux oder Windows kennst.

B-Level-Security geht weiter: Hier gibt es mandatory access paths. Es wird definiert, welches Programm wie auf welche Datei zugreifen kann.

Beispiel wenn Windows B-Security hätte..
Könntest du Outlook (und dessen Kindprozessen) verbieten auf andere als seine eigene Mail-Dateien zuzugreifen. Outlook hätte dadurch keine Chance, andere Dateien des Users anzugreifen. Genauso definierst du, welches der Programme auf welche Sockets zugreifen kann, welche Systemcalls welches programm machen darf, ...

Die Idee dabei ist, daß es /zusätzlich/ zu deinem Userkontext noch mehr Einstellungen gibt - matrixähnlich.

Du könntest genauso definieren, daß nur die Oracle auf deine dbf-Dateien zugreifen darf (und du dadurch mit deinem Notepad nicht auf die Dateien zugreifen kannst - auch wenn es deine sind).

Es gibt also fixe Datenwege - Data Paths - und kein anderes Programm kann so auf fremde Sachen (egal ob Socket, File, ...) zugreifen. Dadurch kann auch dein Mailclient so konfiguriert werden, daß er zB nur Acrobat starten darf - und sonst kein externes Programm (das evtl. als Attachment daherkommen würde).

B-Level-Security ist nebenbei (zumindest unter SE) relativ einfach aufzusetzen.
Zuerst verbietest du /alles/ - und aktivierst die Logs. Du startest dann dein Programm - und schaust im "normalzustand", was es so alles machen will und nicht darf. Dann aktivierst einfach alles, was es braucht. Es ist also ähnlich einfach zu konfigurieren wie eine firewall. Trotz allem solltest du genau wissen, was du tust - ähnlich wie bei der Firewall, damit du nur den gewünschten Programmen zugriffe gibst und net allen.

Das war jetzt gaaaanz vereinfacht... auf der nsa.gov-Seite gibt's gute Whitepapers dazu.

Re(12): Kennwortsatz oder Kennwort?

MidiFan — Mon, 07 Nov 2005 20:23:38 GMT

waaaaaahnnnnsinn... *lol*

Re(11): Kennwortsatz oder Kennwort?

i9120928 — Mon, 07 Nov 2005 20:22:22 GMT

nein er schrieb yoda haste recht
ich schrieb yoda hast du recht

Re(10): Kennwortsatz oder Kennwort?

MidiFan — Mon, 07 Nov 2005 20:21:23 GMT

wooohoooo paste and copy

Re(9): Kennwortsatz oder Kennwort?

i9120928 — Mon, 07 Nov 2005 20:20:08 GMT

´/()|)4 |-|4$7 |)|_| R3{|-|7

Re(8): Kennwortsatz oder Kennwort?

MidiFan — Mon, 07 Nov 2005 20:14:23 GMT

manno ihr geht mir aufn sack...könnt ihr keine gescheiten sätze schreiben oder was? immer nur diese kleine mini zeugs!!!!B-)

Re(7): Kennwortsatz oder Kennwort?

teleth — Mon, 07 Nov 2005 20:11:13 GMT

´/()|)4 |-|4$73 R3{|-|7

Re(4): Kennwortsatz oder Kennwort?

teleth — Mon, 07 Nov 2005 20:09:37 GMT

Re(6): Kennwortsatz oder Kennwort?

MidiFan — Mon, 07 Nov 2005 20:08:49 GMT

dann lass es doch einfach oder.....is ja extrem anstrengend zu lesen

Re(5): Kennwortsatz oder Kennwort?

i9120928 — Mon, 07 Nov 2005 20:02:47 GMT

_|4 |_31|)3|°

Re(4): Kennwortsatz oder Kennwort?

MidiFan — Mon, 07 Nov 2005 19:59:21 GMT

tja...tippen is halt sch.

Re(3): Kennwortsatz oder Kennwort?

i9120928 — Mon, 07 Nov 2005 19:36:40 GMT

|\/|$ 1$7 $<|-|31$$3

Re: Kennworte und so...

Paradoxon — Mon, 07 Nov 2005 17:50:45 GMT

Ich vermute allerdings, daß wir alle früher oder später bei B-Level-Security
landen (wo SELinux schon seit Jahren ist) - und wir die lausige C2-Security
[hoffentlich] bald über Bord werfen. Das Schöne dabei: Sauber aufgesetzte
B-Level-Security macht Viren/Würmer *unmöglich*.

Bitte noch einmal verständlich für Nicht-NSA-Mitarbeiter ?

Re(2): Kennwortsatz oder Kennwort?

teleth — Mon, 07 Nov 2005 12:37:47 GMT

|\/|$

Kennworte und so...

gepeinigter_aon_neukunde — Mon, 07 Nov 2005 11:19:52 GMT

Hi !

Kennworte sind heute tendenziell nie ein Problem - da heute wohl niemand mehr so blöd^H^H^H^Hnaiv ist, ein Kennwort wie "PASSWORT" oder "GANDALF" oder sonst eines der Dictionary-Gschichtln zu verwenden.

Nachdem heute ja die ungeschriebene Policy besteht, Kennworte aus zumindest 6 Zeichen zu verwenden, vermute ich sogar daß man mit einem 5-Zeichen-kennwort mehr Sicherheit als mit einem 6-Zeichen-Kennwort hat .

Brute-Force-Attacken spielts eh grundsätzlich nicht mehr. Ich kann mir keinen gewerblich genutzten Rechner vorstellen, der eine Attacke nicht mitkriegt und keine Gegenmaßnahmen einleitet (wie zB SMS an ein RZ, um u.a. auch polizeiliche Maßnahmen gegen den Angreifer einzuleiten).

IMHO sind die Sicherheitskonzepte bei aktuellen Betriebssystemen weit genug, daß sie de facto 100%ige Sicherheit bieten - wenn sie den korrekt implementiert wären

Ich vermute allerdings, daß wir alle früher oder später bei B-Level-Security landen (wo SELinux schon seit Jahren ist) - und wir die lausige C2-Security [hoffentlich] bald über Bord werfen. Das Schöne dabei: Sauber aufgesetzte B-Level-Security macht Viren/Würmer *unmöglich*.

Kurzum:
Die ganzen Sicherheitsprobleme scheinen mir als Kind unserer Zeit... und ich beurteile sie als gelöst - genauso wie die Kennwortdebatten

Re(2): Kennwortsatz oder Kennwort?

SchusterHarry — Mon, 07 Nov 2005 08:42:52 GMT

aber auf die Idee wär ich auch noch nie gekommen und eines is klar-nen Satz merkt man sich leichter als 10 Zeichen und wenn das dann auch noch der Sicherheit dienlich ist ists jo scho fast wieder genial

Re: Kennwortsatz oder Kennwort?

Tschiki — Mon, 07 Nov 2005 08:39:28 GMT

Meiner Meinung nach sehr interessante Ansätze - wobei der Kennwortsatz erst einmal den User in Hirn eingebrannt werden muss, was ich aber gut finde ist die durchschnittiche Merkfähigkeit eine Kennworts von 5 Zeichen.

Re: Kennwortsatz oder Kennwort?

Cornflakes Outta Skull Eater — Sun, 06 Nov 2005 23:44:44 GMT

Vielleicht haben Sie schon einmal ein Kennwort mit einem @ statt dem Zeichen "a", einem $ statt dem Zeichen "s", usw. verwendet.

Yeah. MS goes 1337.

Kennwortsatz oder Kennwort?

SchusterHarry — Sun, 06 Nov 2005 23:37:41 GMT

find ich ganz interessant:

http://www.microsoft.com/austria/technet/articles/grundsatzdiskussion_1.mspx
http://www.microsoft.com/austria/technet/articles/grundsatzdiskussion_2.mspx
http://www.microsoft.com/austria/technet/articles/grundsatzdiskussion_3.mspx