Meeresdruide Geschrieben 22. August 2023 report Geschrieben 22. August 2023 vor 19 Minuten schrieb Owen: Eine Smart Watch kann meine Schritte, meinen Puls, meinen Schlafrhythmus uvm. messen, aber die Uhrzeit einstellen geht ohne App nicht. Das ist nicht besonders smart. Außer man meint mit "smart" eigentlich "strohdumm, aber mit Äpp". 2
draco2111 Geschrieben 22. August 2023 Autor report Geschrieben 22. August 2023 Das auch die Uhr nicht mit den Handy verbindet ist blöd. Aber warum sollte ich auf so einen kleinen Display rumfummeln, wenn sich die Uhr über das Handy automatisch stellt?
Owen Geschrieben 22. August 2023 report Geschrieben 22. August 2023 vor 38 Minuten schrieb draco2111: Das auch die Uhr nicht mit den Handy verbindet ist blöd. Aber warum sollte ich auf so einen kleinen Display rumfummeln, wenn sich die Uhr über das Handy automatisch stellt? Das verstehe ich jetzt nicht. Entweder ist die SW mit dem Handy verbunden oder nicht. Und einen vierer Zahlenblock mit wischen einzustellen ist auch mit einem kleine Display leicht möglich.
draco2111 Geschrieben 22. August 2023 Autor report Geschrieben 22. August 2023 vor 1 Stunde schrieb Owen: Das verstehe ich jetzt nicht. Entweder ist die SW mit dem Handy verbunden oder nicht. Und einen vierer Zahlenblock mit wischen einzustellen ist auch mit einem kleine Display leicht möglich. Möglich ist vieles. Normalerweise sollte es nicht nötig sein die Uhr zu stellen, da mit demb Handy verbunden. Aber ich kenne das Problem. Mein Fitnesstracker hat auch Recht schnell immer so 20 Minuten verloren. Ich verstehe überhaupt nicht, wie das passieren kann Ich bin aber eben auch gar nicht auf die Idee gekommen dass an der Uhr direkt zu verstellen. So was hat automatisch zu gehen.
Owen Geschrieben 31. August 2023 report Geschrieben 31. August 2023 (bearbeitet) vor 1 Stunde schrieb Randver MacBeorn: Verdammte Passwort******!!!! Ja, die lieben Passwörter. Wir holen von >200 Postfächern automatisch die Mails ab. Die dazugehörigen User und PW haben wir in einer Tabelle gespeichert. Die PW müssen aber einmal im Jahr geändert werden. Mein Kollege ist da als Serviceverantwortlicher eingetragen. Ich kann ihn da leider nicht unterstützen. Er macht das dann meistens von zu Hause am Abend. Das Prozedere ist wie folgt. - anmelden mit User und PW - 4stelligen PIN eingeben (kommt per SMS) - altes und neues PW eingeben das > 200 mal. Wir haben insgesamt 11 Regeln hinterlegt wie ein PW zu sein hat. Hier mal ein paar. - mindestens 15 Stellen - es muss Zeichen aus zumindest drei der folgenden Kategorien enthalten: o Großbuchstaben von A bis Z o Kleinbuchstaben von a bis z o Ziffern o Sonderzeichen (!, ?, $, %, #, ....) - es dürfen weder wesentliche Teile der Benutzerkennung noch des Vor-bzw. Familiennamens des Benutzers enthalten sein - wiederholende oder aufeinanderfolgende Zeichen sind untersagt (z.B. Aaaaaaa1!, bBbbbbbb2, 3Cccccccc) - simple Zahlenfolgen (z.B.: 1, 2, 3, ...) dürfen nicht verwendet werden - das erste Zeichen darf keine Ziffer sein - das neue Passwort muss sich von den vorangegangenen 24 Passwörtern unterscheiden Bearbeitet 31. August 2023 von Owen 1 1
Godrik Geschrieben 31. August 2023 report Geschrieben 31. August 2023 Ich bin mit 1Password recht zufrieden. Die haben einen Passwort-Generator eingebaut, den man auch auf ihrer Website ausprobieren kann. Was mir nicht gefällt ist, dass gelegentlich (selten) Eingabefelder nicht erkannt werden. Dann muss ich das Passwort kopieren. Ansonsten einfach toll, auch als sicheres Notizbuch (Kreditkartendaten, Bankverbindung, Zahlenschlosskombination, …). 1
Ma Kai Geschrieben 1. September 2023 report Geschrieben 1. September 2023 Am 31.8.2023 um 16:26 schrieb Owen: muss sich von den vorangegangenen 24 Passwörtern unterscheiden Das heißt, in Jahr 25 darf man einen Zyklus beginnen? Wow. Darf man denn die 200 Passwörter untereinander alle gleich setzen? D. h. z. B. Tcghcfgjhikh2.0.2.3.hxghbkhg, und dann halt während dieses Jahres eines nach dem anderen darauf umstellen, dann 2024 das gleiche mit 4 statt 3, usw? Ich geh ja schon zurück zur Computer-FU…
Owen Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 14 Minuten schrieb Ma Kai: Das heißt, in Jahr 25 darf man einen Zyklus beginnen? Wow. Darf man denn die 200 Passwörter untereinander alle gleich setzen? D. h. z. B. Tcghcfgjhikh2.0.2.3.hxghbkhg, und dann halt während dieses Jahres eines nach dem anderen darauf umstellen, dann 2024 das gleiche mit 4 statt 3, usw? Ich geh ja schon zurück zur Computer-FU… Die PW sind alle unterschiedlich, aber mein Kollege hat des recht schlau gelöst. Jeder Datensatz in der Tabelle wo die PW drin stehen hat eine eindeutige ID. Diese plus die Jahreszahl hat er in das PW geschrieben. z. B. lkajsdf!23ldkfjAsl%115, lkajsdf!23ldkfjAsl%116 nächstes Jahr dann d!sfgd24asdfAsl%115, d!sfgd24asdfAsl%116 Gott sei Dank müssen wir diese PW nicht selbst eingeben. Mein Kollege hat ein Programm geschrieben, dass per IMAP die PF abgreift. Außer einmal im Jahr zum PW ändern.
Ma Kai Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 1 Stunde schrieb Owen: Mein Kollege hat ein Programm geschrieben, dass per IMAP die PF abgreift. Außer einmal im Jahr zum PW ändern. Komm, das schafft er auch noch!
Kazzirah Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 1 Stunde schrieb Owen: Gott sei Dank müssen wir diese PW nicht selbst eingeben. Mein Kollege hat ein Programm geschrieben, dass per IMAP die PF abgreift. Außer einmal im Jahr zum PW ändern. Klingt für mich nach Lazy Admin. Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers.
Abd al Rahman Geschrieben 1. September 2023 report Geschrieben 1. September 2023 34 minutes ago, Kazzirah said: Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers. Heute noch immer… 1
Abd al Rahman Geschrieben 1. September 2023 report Geschrieben 1. September 2023 2 hours ago, Owen said: Mein Kollege hat ein Programm geschrieben, dass per IMAP die PF abgreift. Außer einmal im Jahr zum PW ändern. Abmahnen. Sofort. 1 1
Kazzirah Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 16 Minuten schrieb Abd al Rahman: vor 51 Minuten schrieb Kazzirah: Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers. Heute noch immer… Ja, offenes Scheunentor mit Leuchtreklame. 1
Ma Kai Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 24 Minuten schrieb Kazzirah: vor 41 Minuten schrieb Abd al Rahman: vor einer Stunde schrieb Kazzirah: Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers. Heute noch immer… Ja, offenes Scheunentor mit Leuchtreklame. Aber dafür wiederholt sich ein Passwort garantiert frühestens nach 25 Jahren. Ey, sicher, ey. 1
Owen Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 1 Stunde schrieb Kazzirah: Klingt für mich nach Lazy Admin. Ich hatte mal nen WS, wo wir selbst in ein System rein kommen sollten. Da waren so Programme der feuchte Traum eines jeden Hackers. Nein, wieso? Das sind PF die wir verarbeiten sollen. Die Mails darin werden automatisch von dem Programm das mein Kollege geschrieben hat abgeholt und in unser System importiert. Die Logindaten für die über 200 PF sind in einer Tabelle abgespeichert. Nur einmal im Jahr müssen die eben geändert werden. Das muss manuell über eine Webseite gemacht werden. Anmelden, 4stelligen PIN der per SMS kommt eingeben und PW ändern.
Ma Kai Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 9 Minuten schrieb Owen: Nein, wieso? Das sind PF die wir verarbeiten sollen. Die Mails darin werden automatisch von dem Programm das mein Kollege geschrieben hat abgeholt und in unser System importiert. Die Logindaten für die über 200 PF sind in einer Tabelle abgespeichert. Nur einmal im Jahr müssen die eben geändert werden. Das muss manuell über eine Webseite gemacht werden. Anmelden, 4stelligen PIN der per SMS kommt eingeben und PW ändern. Screenscraping? So wie StarMoney sich in diverseste Bankwebseiten einloggt, wenn die nicht FinTS können? 1
Kazzirah Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 6 Minuten schrieb Owen: Nein, wieso? Das sind PF die wir verarbeiten sollen. Die Mails darin werden automatisch von dem Programm das mein Kollege geschrieben hat abgeholt und in unser System importiert. Die Logindaten für die über 200 PF sind in einer Tabelle abgespeichert. Nur einmal im Jahr müssen die eben geändert werden. Das muss manuell über eine Webseite gemacht werden. Anmelden, 4stelligen PIN der per SMS kommt eingeben und PW ändern. Das heißt, ein Hacker kriegt auf dem Weg easy access auf über 200 Postfächer. Es geht nicht ums Ändern, es geht um den Zugriff. So was macht nicht nur euch das Leben leicht, sondern eben auch jedem Angreifer. Die meisten Angriffe dauern Monate, mit viel Warten auf Gelegenheiten, umschauen nach Schwachpunkten, knapp unter der Wahrnehmungsgrenze bleiben. Und nach genau solchen Treffern wird besonders gesucht. 1
Owen Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 2 Minuten schrieb Kazzirah: Das heißt, ein Hacker kriegt auf dem Weg easy access auf über 200 Postfächer. Es geht nicht ums Ändern, es geht um den Zugriff. So was macht nicht nur euch das Leben leicht, sondern eben auch jedem Angreifer. Die meisten Angriffe dauern Monate, mit viel Warten auf Gelegenheiten, umschauen nach Schwachpunkten, knapp unter der Wahrnehmungsgrenze bleiben. Und nach genau solchen Treffern wird besonders gesucht. Wie denn? Das sind ja nicht irgendwelche Server die von extern erreichbar sind.
Owen Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 12 Minuten schrieb Ma Kai: Screenscraping? So wie StarMoney sich in diverseste Bankwebseiten einloggt, wenn die nicht FinTS können? Ist auszuschließen. Wenn das der Fall wäre, hätte das Unternehmen für das ich arbeite ein gewaltiges Problem.
Abd al Rahman Geschrieben 1. September 2023 report Geschrieben 1. September 2023 1 minute ago, Owen said: Wie denn? Das sind ja nicht irgendwelche Server die von extern erreichbar sind. Schritt 1 gemäß Hackerhandbuch für Anfänger: Erlange Zugang zu einem Rechner im Netzwerk von dem aus Du Zugang zu internen Ressourcen hast. 1
Kazzirah Geschrieben 1. September 2023 report Geschrieben 1. September 2023 Gerade eben schrieb Owen: Wie denn? Das sind ja nicht irgendwelche Server die von extern erreichbar sind. Ja, die Illusion ist anscheinend immer noch tief drin, dass es reicht, gut nach außen abgesichert zu sein. Fakt ist: die Mauern sind brüchig. Es ist der Normalfall, dass sich Unbefugte in einem lokalen, nach außen gut gesicherten Netzwerk befinden und umschauen. Erfolgreiche Hacks laufen über Monate, Monate, in denen sie sich im lokalen Intranet umschauen. Und eine Security, die rein auf Außengrenzen schaut, hat verloren und funktioniert nach den St. Floriansprinzip. 1
Abd al Rahman Geschrieben 1. September 2023 report Geschrieben 1. September 2023 5 minutes ago, Owen said: Ist auszuschließen. Wenn das der Fall wäre, hätte das Unternehmen für das ich arbeite ein gewaltiges Problem. Nach dem was Du schreibst hat Dein Unternehmen ein Problem.
Owen Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 1 Minute schrieb Abd al Rahman: Schritt 1 gemäß Hackerhandbuch für Anfänger: Erlange Zugang zu einem Rechner im Netzwerk von dem aus Du Zugang zu internen Ressourcen hast. Schon klar. Und deshalb haben wir auch so strikte Passwortregeln und diverse andere Mechanismen die verhindern sollen das Firmenfremde zugriff auf unsere Systeme erhalten. Die verrate ich aber nicht. Ich sag nur soviel: Früher hat es gereicht zum Hörer zu greifen und das PW wurde zurückgesetzt. War eher suboptimal.
Abd al Rahman Geschrieben 1. September 2023 report Geschrieben 1. September 2023 1 minute ago, Owen said: Schon klar. Und deshalb haben wir auch so strikte Passwortregeln und diverse andere Mechanismen die verhindern sollen das Firmenfremde zugriff auf unsere Systeme erhalten. Die verrate ich aber nicht. Ich sag nur soviel: Früher hat es gereicht zum Hörer zu greifen und das PW wurde zurückgesetzt. War eher suboptimal. Du kannst glauben was Kazzirah und ich schreiben oder nicht. Ich kann nur sagen, dass ich weiß von was ich rede.
Owen Geschrieben 1. September 2023 report Geschrieben 1. September 2023 vor 7 Minuten schrieb Abd al Rahman: Du kannst glauben was Kazzirah und ich schreiben oder nicht. Ich kann nur sagen, dass ich weiß von was ich rede. Ich hab doch nirgends geschrieben das ich euch nicht glaube. Ich weiß aber auch, dass ich in einem Unternehmen mit österreichweiter systemkritischer Infrastruktur arbeite. Wir wissen auch was wir tun. 1
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden