Winzip Passwort ausspionieren

Hallo,
wir sind in einem Netzwerk mit über 200 Clients. Es läuft Windows XP, das Dateisystem ist NTFS. Das heißt, wir können keine Ordner verschlüsseln. Dshalb wollten wir den Umweg gehen, sensible Dateien mit WinZip zu komprimieren, da wir dann hier ein Passwort verwenden können.
Jetzt meine Frage: ist es Administratoren mit „normalen“ Bordmitteln möglich, dieses Passwort herauszubekommen?

Grüße
Gerd

Warum könnt Ihr das nicht über Benutzerrechte regeln?

theoretisch ist es möglich das passwort heraus zu bekommen aber der der das passwort herausbekommen will sollte sehr viel zeit mitbringen der wird nämlich ein paar jahre brauchen (je nach länge des passworts)
z.b. das passwort ist A (wird etwa 5 sekunden dauern es heraus zu bekommen)
das passwort ist 564srgf65gfrf6j (konnte einige Monate dauern)

Danke! Das wollte ich wissen, jetzt bin ich etwas beruhigter.

Gruß
Gerd

wird von seiten der Leitung nicht eraslubt, würde angeblich zu viel Arbeit machen, da es dann jeder User möchte.

Gruß
Gerd

wird von seiten der Leitung nicht eraslubt, würde angeblich zu
viel Arbeit machen, da es dann jeder User möchte.

Öhm…ja…gut. Ist das jetzt eine Anforderung von Dir, daß Du Deine Daten vor den Mitarbeitern schützen willst, oder eine Anforderung der Leitung, die unfähig ist Eure Rechner zu administrieren?
Ich gebe zu bedenken, egal wie gut Dein Paßwort im WinZip File ist:

1. Kann es dennoch jeder löschen oder durch ein andres ersetzen.
2. Kann dennoch jeder zumindest den Ihnalt auflisten lassen.
3. Gibt es dutzende Programme, die dem Paßwort automatisiert zu leibe rücken, was zugegebenermaßen ineffizient ist, aber da er sich Deine Files nach Hause kopieren kann und es dort tut, hat der Angreifer die Zeit
4. Kann man offenbar Rückschlüsse auf das Paßwort ziehen, wenn man es schafft, ein Zip-File mit dem gleichen Inhalt zu erzeugen wie Du (weil Dein Paßwort mit in Deinem Zipfile liegt).

das geht alles von mir aus; es handelt sich hier teilweise um Daten aus einer Personalratstätigkeit. Und wir sind uns nicht ganz sicher, ob die Dateien nicht doch von „höherer“ Ebene gelesen werden.
Aber wir werden jetzt für diese sensiblen Sachen ein Notebook beantragen (am besten mit „Andock“-Funktion), damit die Sachen unabhängig vom Netz (und damit für andere nicht einsehbar) gespeichert werden können. Mal sehen, ob wsir das bekommen.
Der Vorschlag, die Daten auf USB-Sticks zu sichern, wurde - zu Recht - aus Datenschutzgründen abgelehnt.
Übrigens noch: danke für die Tipps

Hallo Gerd,

Jetzt meine Frage: ist es Administratoren mit „normalen“
Bordmitteln möglich, dieses Passwort herauszubekommen?

Definiere „normale Bordmittel“.

Mit dem Kram, der bei Windows dabei ist, nicht.
Richtige Freaks haben aber die passende Software (von der russischenFirma auf CD, und knacken ein ZIP-Passwort in Sekunden.

Wenn schon, dann benutzt RAR, das geht nur über eine Brute-Force-Attacke.
Und Guidelines aufstellen für sichere Passwörter, normale Wörter bekommt man mit einer Wörterbuch-Attacke auch bedeutend schneller (auf einer guten Maschine und nicht zu komplexem Passwort i.A. innerhalb weniger Stunden).

Und man sollte den Leuten auch klar machen, das man für verschiedene Zwecke auch verschiedene Passwörter benutzen sollte. Ich hab’s schon erlebt, das man sich mit dem Passwort aus der ZIP-Datei auch in den eBay-Account einloggen konnte . . .

lg, mabuse

Hallo,

wir sind in einem Netzwerk mit über 200 Clients. Es läuft
Windows XP, das Dateisystem ist NTFS. Das heißt, wir können
keine Ordner verschlüsseln. Dshalb wollten wir den Umweg
gehen, sensible Dateien mit WinZip zu komprimieren, da wir
dann hier ein Passwort verwenden können.

Security by obscurity? Denke bitte nochmals genauer über diese Konzept nach.

• Du hättest pro winzip archiv ein passwort. Dieses passwort wissen dann all die, die an dem Archiv etwas arbeiten wollen/sollen. Wie regelst Dud as dann? Wie stellst Du sicher, das das PW nicht doch weitergegeben wird? Wie willst Du die passwortvergabe zentral managen? ok, Du kannst auch wie in alten zeiten ein Turnschuhnetzwerk aufbauen oder das Passwort per mail senden *Augenbrauehochzieh* aber ich denke dann kann man sich das ganze sparen.
• weiss die GL davon? Ist das genehmigt? Sind die Daten somit revisionssicher abgelegt? Was sagt der betriebsrat zu diesem „Konstrukt“?
• Wie sieht es mit backup und Restore der Daten aus? Wie kommt man dann an die Daten wenn der AN nicht mehr da ist, etc.?

Eigentlich sollten sensible Daten zentral auf einem Server liegen, dieser ist dann abgesichert und über Zugriffsberechtigungen Abrufbar. Ein kleienr Datenserver und ein extra backupserver werden über eine Laufzeit von sagen wir mal 2-3 jahren günstiger sein als wenn ein admin den ganzen tag mit Winzip Archiven zu beschäftigen

Jetzt meine Frage: ist es Administratoren mit „normalen“
Bordmitteln möglich, dieses Passwort herauszubekommen?

Ja.

Gruß
h.

hallo

wieso mit passwortgeschützten zip-dateien herumexperimentieren, wenn die lösung in diesem brett nur eine zeile weiter unten steht? mit truecrypt kannst du virtuelle, verschlüsselte laufwerke definieren, die dann nur mit passwort abrufbar sind. bei sorgfältig gewähltem passwort sind diese dinger ausreichend sicher. v.a. hat man auch etwas schutz gegen „knoppix-attacken“ - unabhängig von den ntfs-berechtigungen kann man mit einer knoppix-cd auf das gesammte filesystem zugreifen.

lg
erwin

Hallo Mabuse,
danke für die Antwort. Ich meinte schon die normalen Windows-Mittel. Privat verwende ich auch RAR, aber in der Arbeit spielen es die Admins nicht auf und ich selbst kann/darf ja nicht installieren. Wir haben jetzt die Lösung mit Winzip verworfen, da neben dem unsicheren Passwort auch die Vorgehensweise einigen ungeübten Benutzern zu kompliziert ist.

Wir werden jetzt versuchen, ein Notebook zu bekommen, um die Daten vom Netz unabhängig (und dadurch von „Fremden“ nicht einsehbar) zu bekommen.

Grüße
Gerd

Hallo Erwin,
danke für den Hinweis. Wäre sicher sehr gut, aber die Admins werden mir das Teil nicht aufspielen und ich kann keine Programme installieren. Wir wollten schon mit einem anderen Program verschlüsseln (acrypt, Freeware), wurde aber abgelehnt.

Die Idee mit Winzio haben wir wieder verworfen.

Grüße
Gerd

Hallo,

ich habe mich vielleicht etwas undeutlich ausgedrückt. Wir sind nur eine kleine Gruppe von 5 Leuten und können weder „die passwortvergabe zentral managen“ noch „ein Turnschuhnetzwerk aufbauen“. Und wegen dem Betriebsrat… wir sind der Personalrat! Deshalb wollten wir auch unsere sensiblen Daten exra schützen. Also nicht allen Schriftverkehr, sondern nur die vertraulichen Sachen. Die Winzip-Lösung habe ich allerdings auch wieder verworfen, wir spekulieren jetzt auf ein netzunabhängiges Notebook.

Danke für den Tipp.

Gruß
Gerd

Hy,

Nichts für Ungut, aber gerade wenn es um Personenbezogene Daten geht macht man keine solchen Spielchen!
Solche Daten gehören auf einen und a hat neben der GL nur Ihr drauf Zugriff und gut.
Alles andere ist IMHO unsicher.

allerdings auch wieder verworfen, wir spekulieren jetzt auf
ein netzunabhängiges Notebook.

Und wie kommen da die Daten drauf? Wie läuft da dann das Backup? Sorry, aber Hier sollte echt euer Datenschutzbeauftragter mal mit der GL reden.

Gruß
h.

Wie läuft da dann das
Backup? Sorry, aber Hier sollte echt euer
Datenschutzbeauftragter mal mit der GL reden.

Wenn ich das richtig verstehe sind die Admins in dem Laden fähig Benutzerkonten anzulegen. Ich würde befürchten der Datenschutzbeauftragte hat seine Befähigung ähnlich wie die Admins durch Handauflegen erhalten.

Hallo Gerd,

zwei Ansätze:

1. Den Administrator bitten, irgendwo auf irgendeinem Server einen Ordner anzuelgen, auf den nur die gewünschten Mitglieder Zugriff haben.
   Das kostet ihn keine zwei Minuten Arbeit, und nur ein Riesenarsch würde das ablehnen. Damit wären aber alle eure Sorgen erschlagen.

2. Habt ihr Internet?
   Dann würde ich vieleicht eine externe Lösung vorziehen.
   Im einfachsten Fall irgend eine kleine Domain-Lösung, auf der nur ein FTP-Server läuft. Das kostet nicht viel und darauf haben definitiv nur die Leute, die URL und Passwort kennen, Zugriff.

lg, mabuse