Computernerds unter sich - Der Computerschwampf

[Meeresdruide]

vor 19 Minuten schrieb Owen:

Eine Smart Watch kann meine Schritte, meinen Puls, meinen Schlafrhythmus uvm. messen, aber die Uhrzeit einstellen geht ohne App nicht.

Das ist nicht besonders smart.

Außer man meint mit "smart" eigentlich "strohdumm, aber mit Äpp".

[draco2111]

Das auch die Uhr nicht mit den Handy verbindet ist blöd.

Aber warum sollte ich auf so einen kleinen Display rumfummeln, wenn sich die Uhr über das Handy automatisch stellt?

[Owen]

vor 38 Minuten schrieb draco2111:

Das auch die Uhr nicht mit den Handy verbindet ist blöd.

Aber warum sollte ich auf so einen kleinen Display rumfummeln, wenn sich die Uhr über das Handy automatisch stellt?

Das verstehe ich jetzt nicht. Entweder ist die SW mit dem Handy verbunden oder nicht. Und einen vierer Zahlenblock mit wischen einzustellen ist auch mit einem kleine Display leicht möglich.

[draco2111]

vor 1 Stunde schrieb Owen:

Das verstehe ich jetzt nicht. Entweder ist die SW mit dem Handy verbunden oder nicht. Und einen vierer Zahlenblock mit wischen einzustellen ist auch mit einem kleine Display leicht möglich.

Möglich ist vieles. Normalerweise sollte es nicht nötig sein die Uhr zu stellen, da mit demb Handy verbunden. Aber ich kenne das Problem. Mein Fitnesstracker hat auch Recht schnell immer so 20 Minuten verloren. Ich verstehe überhaupt nicht, wie das passieren kann  

Ich bin aber eben auch gar nicht auf die Idee gekommen dass an der Uhr direkt zu verstellen.  So was hat automatisch zu gehen. 

[Owen]

vor 1 Stunde schrieb Randver MacBeorn:

Verdammte Passwort******!!!!

Ja, die lieben Passwörter. 

Wir holen von >200 Postfächern automatisch die Mails ab. Die dazugehörigen User und PW haben wir in einer Tabelle gespeichert. Die PW müssen aber einmal im Jahr geändert werden. Mein Kollege ist da als Serviceverantwortlicher eingetragen. Ich kann ihn da leider nicht unterstützen. Er macht das dann meistens von zu Hause am Abend. Das Prozedere ist wie folgt. 

- anmelden mit User und PW
- 4stelligen PIN eingeben (kommt per SMS)
- altes und neues PW eingeben

das > 200 mal. 

Wir haben insgesamt 11 Regeln hinterlegt wie ein PW zu sein hat. Hier mal ein paar.

- mindestens 15 Stellen
- es muss Zeichen aus zumindest drei der folgenden Kategorien enthalten:
          o Großbuchstaben von A bis Z
          o Kleinbuchstaben von a bis z
          o Ziffern
          o Sonderzeichen (!, ?, $, %, #, ....)
- es dürfen weder wesentliche Teile der Benutzerkennung noch des Vor-bzw. Familiennamens des Benutzers enthalten sein
- wiederholende oder aufeinanderfolgende Zeichen sind untersagt (z.B. Aaaaaaa1!, bBbbbbbb2, 3Cccccccc)
- simple Zahlenfolgen (z.B.: 1, 2, 3, ...) dürfen nicht verwendet werden
- das erste Zeichen darf keine Ziffer sein
- das neue Passwort muss sich von den vorangegangenen 24 Passwörtern unterscheiden

Bearbeitet 31. August 2023 von Owen

[Godrik]

Ich bin mit 1Password recht zufrieden. Die haben einen Passwort-Generator eingebaut, den man auch auf ihrer Website ausprobieren kann.
Was mir nicht gefällt ist, dass gelegentlich (selten) Eingabefelder nicht erkannt werden. Dann muss ich das Passwort kopieren. Ansonsten einfach toll, auch als sicheres Notizbuch (Kreditkartendaten, Bankverbindung, Zahlenschlosskombination, …).

[Ma Kai]

Am 31.8.2023 um 16:26 schrieb Owen:

muss sich von den vorangegangenen 24 Passwörtern unterscheiden

Das heißt, in Jahr 25 darf man einen Zyklus beginnen? Wow. 

Darf man denn die 200 Passwörter untereinander alle gleich setzen? D. h. z. B.  Tcghcfgjhikh2.0.2.3.hxghbkhg, und dann halt während dieses Jahres eines nach dem anderen darauf umstellen, dann 2024 das gleiche mit 4 statt 3, usw?

Ich geh ja schon zurück zur Computer-FU…

[Owen]

vor 14 Minuten schrieb Ma Kai:

Das heißt, in Jahr 25 darf man einen Zyklus beginnen? Wow. 

Darf man denn die 200 Passwörter untereinander alle gleich setzen? D. h. z. B.  Tcghcfgjhikh2.0.2.3.hxghbkhg, und dann halt während dieses Jahres eines nach dem anderen darauf umstellen, dann 2024 das gleiche mit 4 statt 3, usw?

Ich geh ja schon zurück zur Computer-FU…

Die PW sind alle unterschiedlich, aber mein Kollege hat des recht schlau gelöst. Jeder Datensatz in der Tabelle wo die PW drin stehen hat eine eindeutige ID. Diese plus die Jahreszahl hat er in das PW geschrieben. z. B. lkajsdf!23ldkfjAsl%115, lkajsdf!23ldkfjAsl%116 nächstes Jahr dann d!sfgd24asdfAsl%115, d!sfgd24asdfAsl%116
Gott sei Dank müssen wir diese PW nicht selbst eingeben. Mein Kollege hat ein Programm geschrieben, dass per IMAP die PF abgreift. Außer einmal im Jahr zum PW ändern.

[Ma Kai]

vor 1 Stunde schrieb Owen:

Mein Kollege hat ein Programm geschrieben, dass per IMAP die PF abgreift. Außer einmal im Jahr zum PW ändern.

Komm, das schafft er auch noch! 

[Kazzirah]

vor 1 Stunde schrieb Owen:

Gott sei Dank müssen wir diese PW nicht selbst eingeben. Mein Kollege hat ein Programm geschrieben, dass per IMAP die PF abgreift. Außer einmal im Jahr zum PW ändern.

Klingt für mich nach Lazy Admin. 

Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers. 

[Abd al Rahman]

34 minutes ago, Kazzirah said:

Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers. 

Heute noch immer…

[Abd al Rahman]

2 hours ago, Owen said:

Mein Kollege hat ein Programm geschrieben, dass per IMAP die PF abgreift. Außer einmal im Jahr zum PW ändern.

Abmahnen. Sofort. 

[Kazzirah]

vor 16 Minuten schrieb Abd al Rahman:

vor 51 Minuten schrieb Kazzirah:

Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers. 

Heute noch immer…

Ja, offenes Scheunentor mit Leuchtreklame.

[Ma Kai]

vor 24 Minuten schrieb Kazzirah:

vor 41 Minuten schrieb Abd al Rahman:

vor einer Stunde schrieb Kazzirah:

Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers. 

Heute noch immer…

Ja, offenes Scheunentor mit Leuchtreklame.

Aber dafür wiederholt sich ein Passwort garantiert frühestens nach 25 Jahren. 

Ey, sicher, ey. 

[Owen]

vor 1 Stunde schrieb Kazzirah:

Klingt für mich nach Lazy Admin. 

Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers. 

Nein, wieso? Das sind PF die wir verarbeiten sollen. Die Mails darin werden automatisch von dem Programm das mein Kollege geschrieben hat abgeholt und in unser System importiert. Die Logindaten für die über 200 PF sind in einer Tabelle abgespeichert. Nur einmal im Jahr müssen die eben geändert werden. Das muss manuell über eine Webseite gemacht werden. Anmelden, 4stelligen PIN der per SMS kommt eingeben und PW ändern. 

[Ma Kai]

vor 9 Minuten schrieb Owen:

Nein, wieso? Das sind PF die wir verarbeiten sollen. Die Mails darin werden automatisch von dem Programm das mein Kollege geschrieben hat abgeholt und in unser System importiert. Die Logindaten für die über 200 PF sind in einer Tabelle abgespeichert. Nur einmal im Jahr müssen die eben geändert werden. Das muss manuell über eine Webseite gemacht werden. Anmelden, 4stelligen PIN der per SMS kommt eingeben und PW ändern. 

Screenscraping? So wie StarMoney sich in diverseste Bankwebseiten einloggt, wenn die nicht FinTS können? 

[Kazzirah]

vor 6 Minuten schrieb Owen:

Nein, wieso? Das sind PF die wir verarbeiten sollen. Die Mails darin werden automatisch von dem Programm das mein Kollege geschrieben hat abgeholt und in unser System importiert. Die Logindaten für die über 200 PF sind in einer Tabelle abgespeichert. Nur einmal im Jahr müssen die eben geändert werden. Das muss manuell über eine Webseite gemacht werden. Anmelden, 4stelligen PIN der per SMS kommt eingeben und PW ändern. 

Das heißt, ein Hacker kriegt auf dem Weg easy access auf über 200 Postfächer. Es geht nicht ums Ändern, es geht um den Zugriff. So was macht nicht nur euch das Leben leicht, sondern eben auch jedem Angreifer. Die meisten Angriffe dauern Monate, mit viel Warten auf Gelegenheiten, umschauen nach Schwachpunkten, knapp unter der Wahrnehmungsgrenze bleiben. Und nach genau solchen Treffern wird besonders gesucht. 

[Owen]

vor 2 Minuten schrieb Kazzirah:

Das heißt, ein Hacker kriegt auf dem Weg easy access auf über 200 Postfächer. Es geht nicht ums Ändern, es geht um den Zugriff. So was macht nicht nur euch das Leben leicht, sondern eben auch jedem Angreifer. Die meisten Angriffe dauern Monate, mit viel Warten auf Gelegenheiten, umschauen nach Schwachpunkten, knapp unter der Wahrnehmungsgrenze bleiben. Und nach genau solchen Treffern wird besonders gesucht. 

Wie denn? Das sind ja nicht irgendwelche Server die von extern erreichbar sind.

[Owen]

vor 12 Minuten schrieb Ma Kai:

Screenscraping? So wie StarMoney sich in diverseste Bankwebseiten einloggt, wenn die nicht FinTS können? 

Ist auszuschließen. Wenn das der Fall wäre, hätte das Unternehmen für das ich arbeite ein gewaltiges Problem.

[Abd al Rahman]

1 minute ago, Owen said:

Wie denn? Das sind ja nicht irgendwelche Server die von extern erreichbar sind.

Schritt 1 gemäß Hackerhandbuch für Anfänger: Erlange Zugang zu einem Rechner im Netzwerk von dem aus Du Zugang zu internen Ressourcen hast. 

[Kazzirah]

Gerade eben schrieb Owen:

Wie denn? Das sind ja nicht irgendwelche Server die von extern erreichbar sind.

Ja, die Illusion ist anscheinend immer noch tief drin, dass es reicht, gut nach außen abgesichert zu sein. Fakt ist: die Mauern sind brüchig. Es ist der Normalfall, dass sich Unbefugte in einem lokalen, nach außen gut gesicherten Netzwerk befinden und umschauen. Erfolgreiche Hacks laufen über Monate, Monate, in denen sie sich im lokalen Intranet umschauen. Und eine Security, die rein auf Außengrenzen schaut, hat verloren und funktioniert nach den St. Floriansprinzip.

 

[Abd al Rahman]

5 minutes ago, Owen said:

Ist auszuschließen. Wenn das der Fall wäre, hätte das Unternehmen für das ich arbeite ein gewaltiges Problem.

Nach dem was Du schreibst hat Dein Unternehmen ein Problem. 

[Owen]

vor 1 Minute schrieb Abd al Rahman:

Schritt 1 gemäß Hackerhandbuch für Anfänger: Erlange Zugang zu einem Rechner im Netzwerk von dem aus Du Zugang zu internen Ressourcen hast. 

Schon klar.
Und deshalb haben wir auch so strikte Passwortregeln und diverse andere Mechanismen die verhindern sollen das Firmenfremde zugriff auf unsere Systeme erhalten. Die verrate ich aber nicht. Ich sag nur soviel: Früher hat es gereicht zum Hörer zu greifen und das PW wurde zurückgesetzt. War eher suboptimal. 

[Abd al Rahman]

1 minute ago, Owen said:

Schon klar.
Und deshalb haben wir auch so strikte Passwortregeln und diverse andere Mechanismen die verhindern sollen das Firmenfremde zugriff auf unsere Systeme erhalten. Die verrate ich aber nicht. Ich sag nur soviel: Früher hat es gereicht zum Hörer zu greifen und das PW wurde zurückgesetzt. War eher suboptimal. 

Du kannst glauben was Kazzirah und ich schreiben oder nicht. Ich kann nur sagen, dass ich weiß von was ich rede. 

[Owen]

vor 7 Minuten schrieb Abd al Rahman:

Du kannst glauben was Kazzirah und ich schreiben oder nicht. Ich kann nur sagen, dass ich weiß von was ich rede. 

Ich hab doch nirgends geschrieben das ich euch nicht glaube. Ich weiß aber auch, dass ich in einem Unternehmen mit österreichweiter systemkritischer Infrastruktur arbeite. Wir wissen auch was wir tun.