Block > Verschluesselung
4 min (712 Wörter, 4204 Zeichen)
Hinweis
Dieser Eintrag ist älter als 3 Jahre und entspricht vermutlich nicht mehr dem neuesten Stand der Technik/Realität.
Verschluesselung bzw. Sicherheit in der IT fand ich schon immer
interessant, so habe ich z.B. auch den beiden Vorlesungen
Cryptography und Security an der Uni beigewohnt.
Demnach ist mein Beduerfnis danach recht hoch.
Es ist dann immer wieder erstaunlich, was ausserhalb der
Security-Blase abgeht …
Hier einige Beispiele.
-
Drucker
Drucker im Netzwerk mit einem Passwort zu sichern (und damit den Adminzugang) macht gerade in einer Firma viel Sinn. Traurig ist es dann nur, wenn ein 20-stelliges Passwort mit Sonderzeichen den Drucker zum Absturz bringt, und erst ein Hardware-Reset ihn wieder zum funktionieren bringt … Das angenommene Passwort (es gab natuerlich keine Auskunft ueber Laenge und Auswahl der Zeichen), welches den Drucker nicht zum Absturz brachte war ein 8-stelliges alphanumerisches Passwort … -
WLAN-Router
aehnlich zum Drucker hatte ich auch hier Probleme mit der Zeichenbeschraenkung. Und auch hier macht es eigentlich Sinn, ein gutes Passwort zu verwenden, wenn nicht schon das WLAN-Passwort sicher genug ist, als Sicherheitsstandard WPA2 eingesetzt wird und die SSID verborgen ist.
Ich glaube es war ein Router von Kabel Deutschland , jedenfalls brachte ich auch diesen mit einem 20-stelligen Passwort mit Sonderzeichen zum Absturz. Abhilfe schaffte ein 10-stelliges alphanumerisches Passwort …
Und auch hier habe ich wieder keine Dokumentation gefunden. Coole Menschen haben aber einige Informationen zum System in einem Repository auf GitHub zusammengetragen.
Und gerade ist mir aufgefallen, dass das Klartext Passwort nach dem Anmelden in einem Cookie gespeichert wird. Toll ist auch"passwordhaha":$('#user_password').val()im Quellcode der Anmeldeseite (http://kabel.box/). -
Websites
Super sind auch einige Websites mit ihrer Passwortpolitik. Einen Rant darueber hat Meillo geschrieben .
Das hat mich auch schon super oft genervt. Beschraenkungen bei Passwoertern ist ein No-Go und deutet auf eine schlechte Verschluesselung hin (z.B. Klartext). Bei Heise oder in diesem Artikel wird beschrieben, wie Passwoerter gut & sicher gespeichert werden koennen (Schlagworte: Salt , Pepper , bcrypt /PBKDF2 , SHA-2 /SHA-3 ), und zwar am Besten weder im Klartext, noch mit MD5 … -
LDAP an der Uni
Jedes Semester mussten alle Studierenden an der Uni ihre Passwoerter aendern. Aber auch hier gab es eine Begrenzung: acht (alphanumerische?) Zeichen. Zu diesem No-Go gab es dann noch folgendes “Feature”: Stimmte ein Teil des neuen Passworts mit einem Teil des alten Passworts ueberein, konnte das Passwort nicht geaendert werden. Und sowas kann nur ueberprueft werden, wenn das Passwort im Klartext gespeichert wird … 🤦 -
nochmal WLAN-Router
Ich kam auf meinem Weg durch Teile von Indien mit verschiedenen WLAN-Routern (9 an der Zahl) in Kontakt. Fuenf davon nutzten immerhin den WPA2-Standard, ein Router WEP (bitte nicht nutzen! ) und drei keine Verschluesselung (gar nicht erst in Erwaegung ziehen!) zur Anmeldung. Leider war unter den dreien auch ein Hotel …
Jedenfalls: der eine Router ohne Verschluesselung fiel dauernd aus. Weil ich das super nervig fand, tippte ich einfach mal die IP-Adresse des Routers (192.168.1.0) ein und gelangte zu einem Login. Ich erriet den Namen und das Passwort zum Anmelden beim ersten Versuch (admin/admin) und startete den Router mit anderen Einstellungen neu, und konnte erfolgreich surfen 😉Hinweis
Nicht nur ein gutes Passwort zum Einloggen ins WLAN verwenden, sondern auch das Standardpasswort vom Router aendern 😉
Update (2015-02-04)
Ein Kommentar von Gerald (danke dafuer!):Von daher: egal ob keine Verschluesselung, WEP oder WPA benutzt wird, bitte immer noch eine Ende-zu-Ende-Verschluesselung nutzen!
Ich koennte noch einige Zeit so weitermachen, aber ich glaube, ihr wisst, was ich meine 😉
Warum? Weil du nie weißt, was hinter dem WLAN kommt. Seit Snowden (spätestens) sollten wir wissen, dass Spione sich einfach in die Netzinfrastruktur des Hotels hacken (oder sich mit Wissen des Hotels verbinden) und dann hinter dem WLAN-Router bequem die IP-Pakete mitsniffen . Dazu kommt, dass viele Hotels Firewalls verwenden, also nur bestimmte UDP - bzw. TCP -Ports freigeschaltet haben. Schon das sollte hellhörig machen, denn das geht nur, wenn man zumindest die IP-Header im “Klartext” sieht.
Wer einen öffentlichen Zugangspunkt nützt, muss also sowieso Ende zu Ende verschlüsseln, entweder nur HTTPS verwenden oder einen verschlüsselten Proxy oder, noch besser, ein VPN (z.B. versteckt hinter TCP-Port 443, damit es durch die Firewall geht). Somit ist es völlig egal, ob das WLAN selbst verschlüsselt ist oder nicht.
Dein Blog verleitet in diesem Punkt dazu, sich auf trügerische Sicherheit zu verlassen.