im internet findet man so ziemlich alles aber ich bin auf was gestoßen :
Hotmail & MSN Password Recovery 1.0
soll angeblich msn passwörter wiederfinden… etc da bin ich mal gespannt… was haltet ihr davon? ich finde es eigentlich nicht so gut,wenn es sowas gibt und es auch noch funktioniert…
bin da noch unerfahren, deswegen hätte ich gerne eure experten meinungen dazu…
Hy,
Hotmail & MSN Password Recovery 1.0
soll angeblich msn passwörter wiederfinden… etc da bin ich
mal gespannt… was haltet ihr davon? ich finde es eigentlich
nicht so gut,wenn es sowas gibt und es auch noch
funktioniert…
Wieso? Wie oft gibts die Anrufe bei den Systemadministratoren in den Firmen „Ich hab mein passwort vergessen. Können Sie das bitte mal zurücksetzen?!“ Das der Admin das dann zurücksetzt ist ganz normal!
man KANN solche Programme Regelgerecht (Du bist Inhaber des msn Accounts und möchtest somit Deinen eigenen Account wieder verwenden) oder Regelwiedrig (Du bist nicht der inhaber) anwenden. Ist genauso wie mit all den anderen zigtausen Password-Recovery Programmen, die es für ebensoviele programme da draussen gibt.
Gruß
h.
Wieso? Wie oft gibts die Anrufe bei den Systemadministratoren
in den Firmen „Ich hab mein passwort vergessen. Können Sie das
bitte mal zurücksetzen?!“ Das der Admin das dann zurücksetzt
ist ganz normal!
Da gibt es aber einen gewaltigen Unterschied: Der Administrator setzt das Passwort lediglich zurück, dafür braucht er das vom Anwender vergebene Passwort nicht zu kennen. Hat der Anwender ein hinreichend starkes Passwort gewählt und sind die Routinen zur Passwortabfrage und -verwaltungg sauber und sicher implementiert, hat der Administrator auch keine Chance, das Passwort des Anwenders (zeitnah) zu ermitteln.
Wenn es aber mittels eines Tools möglich ist, z. B. vergessene Hotmail-Passwörter nachträglich wieder zu ermitteln, spricht das in der Tat entweder gegen die Art und Weise, wie die Software oder wie der Anwender mit den Kennwörtern umgeht.
Gruss
Schorsch
Hallo,
Wenn es aber mittels eines Tools möglich ist, z. B. vergessene
Hotmail-Passwörter nachträglich wieder zu ermitteln, spricht
das in der Tat entweder gegen die Art und Weise, wie die
Software oder wie der Anwender mit den Kennwörtern umgeht.
Die Nutzung von Passworten für den Zugangsschutz ist stets die schlechtest mögliche Lösung gleich nach dem komplett offenen Zugang. Man sollte wann immer möglich auf sicherere Methoden ausweichen.
Gruß
Fritze
Moien
soll angeblich msn passwörter wiederfinden… etc da bin ich
mal gespannt… was haltet ihr davon?
Mal ins Unreiche gesponnen: Es gab einige geklaute Hotmail-accounts in den letzten paar Wochen. Die Daten wurden kopiert, gelöscht und eine einzige Nachricht hinterlassen: ein Erpresserbrief. Man sollte seine Daten freikaufen.
Die Passwörter wurden alle in Internet-cafes geklaut.
Einen solchen Aufhänger für die Verbreitung von Trojaner muss magisch auf bestimmte Leute wirken.
bin da noch unerfahren, deswegen hätte ich gerne eure experten
meinungen dazu…
Hotmail ist eine wandelde Zeitbombe die schon öfter ganz real komplett gehackt wurde. Allerdings nie durch vollautomatische Programme, nie über einfache klicky-klick Tools… wenn das Ding funktioniert dann über das auslesen von Outlook-Einstellungen oder IE-caches, nicht über gehackte Server.
cu
Hallo Fritze
Man sollte wann immer möglich auf sicherere Methoden
ausweichen.
Was wären denn sicherere Methoden?
CU
Peter
Hallo Fritze
Man sollte wann immer möglich auf sicherere Methoden
ausweichen.Was wären denn sicherere Methoden?
RSA/DSA mit anständigen Schlüssellängen in Verbindung mit Smartcards oder biometrischen Verfahren z.B.
Gruß
Fritze
was ist denn rsa/dsa oder biometrische verfahren?? was sind das für dings?? sind die sicher?
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
RSA/DSA mit anständigen Schlüssellängen in Verbindung mit
Smartcards oder biometrischen Verfahren z.B.
Das schöne an biometrischen Verfahren, soweit ich sie aus der Praxis kenne, ist, dass sie das gulte alte Passwort herrlich transparent machen. Anders gesagt: Der Benutzer identifiziert sich z. B. per Fingerabdruck an einer Identifikationseinheit, die wiederum sendet anschliessend das gute alte Benutzerkennwort (das dafür - wenn auch verschlüsselt, aber alles andere als ein Sicherheitsmerkmal, auf der ID-Einheit abgelegt sein muss) an die Authentifizierungsserver, an die der Benutzer sonst sein Kennwort sendete.
Dein Verweis auf biometrische Verfahren ist somit zunächst nichts weiter als Werbung für Schlangenöl.
Gruss
Schorsch
was ist denn rsa/dsa oder biometrische verfahren?? was sind
das für dings?? sind die sicher?
RSA und DSA sind Verfahren für die Verschlüsselung (nur RSA) und digitale Signatur elektronischer Daten. Die digitale Signatur ermöglicht es, ein Dokument (beliebiger Art) eindeutig einem Verfasser zuzuordnen und stellt vor allem sicher, dass jede nachträgliche Änderung an diesem Dokument, durch dritte oder durch den Verfasser selbst, erkennbar wird. Genauer: nicht die Veränderung selbst, aber die Tatsache, dass geändert wurde, da jede Veränderung notwendigerweise auch die Signatur ändert.
Und biometrische Verfahren sind alle Verfahren, mit denen ein Mensch sich mithilfe eindeutiger und unveränderlicher körperlicher Merkmale ausweist. Fingerabdruck, Irisscan, DNS…
Digitale Signatur- und Verschlüsselungsverfahren wie sie heute eingesetzt werden, werden grundsätzlich für sicher gehalten. Ihr Aufgabenzweck liegt allerdings nicht in der Identifikation oder Authentifikation gegenüber z. B. einem Hotmail-Server. Die Identifikation mittels biometrischer Verfahren aber bietet nur dann einen echten Sicherheitsgewinn, wenn sie in einem geschlossenen System angewendet wird.
Ich habe hier z. B. ein Fujitsu-Siemens-Notebook vorliegen, das sein Eigentümer nur wegen des integrierten Fingerabdruckscanners gekauft hat. Er hat gedacht, das Notebook sei damit im Falle eines Diebstahls vor Datendieben sicher. Dass die Festplatte nicht verschlüsselt ist und somit alle Daten nach dem Starten eines BS von CD direkt auslesbar sind, hat er dabei übersehen. Ebenso wie die Tatsache, dass neben der Anmeldung mittels Fingerabdruck immer noch die Anmeldung mit dem Vornamen seiner Frau als Kennwort möglich ist. Nunja, Errare humanum est.
Gruss
Schorsch
RSA/DSA mit anständigen Schlüssellängen in Verbindung mit
Smartcards oder biometrischen Verfahren z.B.Das schöne an biometrischen Verfahren, soweit ich sie aus der
Praxis kenne, ist, dass sie das gulte alte Passwort herrlich
transparent machen.
So wie ich die Verfahren kenne, gibt es da gar keine Passworte mehr. Es gibt eine Smartcard, auf der ein digitaler Schlüssel abgelegt ist. Bei manchen Systemen reicht die Smartcard alleine, bei anderen muss für die Freischaltung noch ein Fingerabdruck her.
Für den Hausgebrauch ist das nur bedingt tauglich, weil da einfach zu viele Dinge noch die Eingabe von Passworten verlangen. Da hilft dann vielleicht der Einsatz von vernünftigen Passwortgeneratoren. Diese „chaotischen“ Passworte hält man dann zentral z.B. in einem „Wallet“ vor, für das man sich dann gefälligst eine merkbare aber dennoch sichere Passphrase ausdenkt. Diese Passphrase durch eine Smartcard oder ein biometrisches Verfahren zu ersetzen ist dann allenfalls bequemer.
Wo immer es möglich ist, sollte man aber auch privat auf den Einsatz von Passworten verzichten. Mir ist z.B. schwer verständlich, warum bei SSH so häufig eine Anmeldung per username/passwort zugelassen wird. Am besten auch noch für root.
Gruß
Fritze
So wie ich die Verfahren kenne, gibt es da gar keine Passworte
mehr. Es gibt eine Smartcard, auf der ein digitaler Schlüssel
abgelegt ist. Bei manchen Systemen reicht die Smartcard
alleine, bei anderen muss für die Freischaltung noch ein
Fingerabdruck her.
Grundsätzlich ist eine zertifikatsbasierte Authentifikation einer passwortbasierten in der Tat vorzuziehen. Aber das setzt, wie a. a. O. schon bemerkt, ein geschlossenes System, eine entspr. Infrastruktur voraus. Und soweit diese (wie heute noch in den meisten Szenarien) nicht gegeben ist, bringen derartige Verfahren keine wirklichen Vorteile. Insbesondere, wenn sie zur Identifikation auf Fingerabdruckscanner aufsetzen, die sich heute noch mit den gleichen Mitteln überlisten lassen, mit denen man im 19. Jh. Fingerabdrücke schon fälschen konnte http://www.heise.de/newsticker/meldung/83013
Diese „chaotischen“
Passworte hält man dann zentral z.B. in einem „Wallet“ vor,
für das man sich dann gefälligst eine merkbare aber dennoch
sichere Passphrase ausdenkt. Diese Passphrase durch eine
Smartcard oder ein biometrisches Verfahren zu ersetzen ist
dann allenfalls bequemer.
Dieses Wallet ist wohl das Minimum für eine sichere Umgebung. Nur kann ich mir nicht vorstellen, dass Massendienste wie MSN in den kommenden Jahren auf entspr. Verfahren umstellen werden. Der Einsatz solcher Verfahren liegt nicht, wie du in deinem vorletzten Beitrag impliziert hast, in der Verantwortung oder Hand der Kunden.
Wo immer es möglich ist, sollte man aber auch privat auf den
Einsatz von Passworten verzichten. Mir ist z.B. schwer
verständlich, warum bei SSH so häufig eine Anmeldung per
username/passwort zugelassen wird. Am besten auch noch für
root.
Privat kann man da viel machen. Bei der Nutzung von Diensten dritter bist du darauf angewiesen, was die bieten.
Gruss
Schorsch
Hallo,
Grundsätzlich ist eine zertifikatsbasierte Authentifikation
einer passwortbasierten in der Tat vorzuziehen.
Da sind wir uns also einig? Fein.
Aber das
setzt, wie a. a. O. schon bemerkt, ein geschlossenes System,
eine entspr. Infrastruktur voraus.
Infrastruktur ja, geschlossenes System nein.
Und soweit diese (wie heute
noch in den meisten Szenarien) nicht gegeben ist, bringen
derartige Verfahren keine wirklichen Vorteile.
Nun, der ursprüngliche Fragesteller wollte wissen, ob man sich noch
schützen kann. Man kann. Wenn einem der eigene Anbieter kein
entsprechendes Angebot macht, dann wechselt man ihn eben oder aber
entscheidet sich dafür, das Risiko zu tragen. So einfach ist das.
Dieses Wallet ist wohl das Minimum für eine sichere Umgebung.
Das Minimum wäre, lediglich ein Passwort für alle Gelegenheiten zu
verwenden.
Nur kann ich mir nicht vorstellen, dass Massendienste wie MSN
in den kommenden Jahren auf entspr. Verfahren umstellen
werden. Der Einsatz solcher Verfahren liegt nicht, wie du in
deinem vorletzten Beitrag impliziert hast, in der
Verantwortung oder Hand der Kunden.
Doch, genau da liegt die Verantwortung. Die Kunden sollten sichere
Dienste verlangen! Sonst wird sich da in der Tat in den kommenden
Jahren nichts ändern.
Gruß
Fritze