OpenBSD - verschlüsselte Festplatte

jonas_101

Well-Known Member
Hallo :-)

Die meisten werden sicherlich schon festgestellt haben, dass OpenBSD wieder einen Schritt nach vorn gemacht hat. Ein Versionswechsel stand an. Natürlich, im Normalfall macht der geneigte User ein 'sysupgrade' und alles ist wie immer - nur eben in neu. :-) Mach ich eigentlich auch so. Doch diesmal dachte ich mir - "Machste es mal anders." Also mache ich ein Backup von all dem Kram den ich so habe. Ich mach mich auf den langen Weg zu einer neuen OpenBSD-Version. Download des iso*s --> Firmware der W-LAN-Karte im iso einbinden --> iso auf einen USB-Stick --> Installation. Alles klappt wunderbar. :-) Ich kann die Festplatte verschlüsseln, Installation läuft sauber durch, das Backup zurück - alles fein. :-) (Ich habe für die erste Installation ein einfaches PW für die Verschlüsselung genommen.) Ich erfreue mich am Sein. :-)

Jetzt reitet mich etwas und ich entschließe mich dazu, das PW für die Verschlüsselung der Festplatte zu ändern. Gut, dann mach ich das einfach: Ich tue und gebe in das Terminal das Folgende ein: doas bioctl -P sd1

Ein neues, viel besseres und sowas von sicheres, Passwort wird vergeben - und auch angenommen. :-)

Blöd ist nun, dass die Tastatureinstellungen beim Start des System nicht 'deutsch' ist, sondern (vermutlich) englisch/amerikanisch. Was für ein Reinfall. :-D Das System ist verloren.

Ok, ich installieren noch einmal (ohne Verschlüsselung), noch einmal das Backup einspielen usw. tralala. :-)

Meine Frage ist jetzt:

Wie kann ich dem Kernel, mit Nachdruck, mitteilen, dass er von Anfang an, dass "Deutsche"-Layout für die Tastatur nutzen möchte?

Ich wünsche Euch ein super Rutsch in's neue Jahr. :-)
 
Tja.. "garnicht"?

Es gibt einige Sonderzeichen, die in US+DE gleich gelagert sind
Code:
!,.$

Mutmasslicher background: an der Stelle koennte der Kernel noch nicht aus dem Filesystem auf Layoutdateien (und Fonts..)
zugreifen. Und das will man auch nicht alles statisch in den Kernel packen. Daher gibt's "nur simples" US.
 
Oder einfach vor dem Aendern des Passworts im Terminal # kbd us eingeben, um das Tastaturlayout auf englisch zu stellen, dann das Passwort aendern und anschliessend mit # kbd de wieder auf deutsch stellen. Notfalls einen kleinen Dreizeiler dafuer schreiben, wenn Du das haeufiger machst.
 
Und eventuell auch in anderen Situationen. Kann echt nervig sein und ist ja generell eher unnötig, weil ein paar Zeichen weniger ja nicht wirklich einen Unterschied machen. Immer extrem nervig wenn irgendwelche Websites und so unbedingt Sonderzeichen wollen oder so einen Unfug. Vor allem wenn sie dann sowas wie ein Limit auf acht Zeichen oder so haben.
 
Aus interesse: Hat OpenBSD da eine US oder eine US INTL Keymap? Also gibts Sonderzeichen wie äöü über AltGr oder garnicht?

Ansonsten gehe ich bei FDE immer so vor: Das PW "falsch" eintippen, damit ichs dann beim US Layout automatisch "richtig" tippe. Kann natürlich aber auch wie midnight beschrieben vorher das Layout umstellen :)
 
Dieser US-Intl map ist Windows-Gedoens und wieso sollte man das (aus Sicht der Herkunft) das wollen - und dann tun.
Machen wir (deutsche) Umlaute, dann kommen die Franzosen (was aus kanadischer Sicht......), dann Iberia, .. es ist US-ASCII, fertig.
 
Es ist eine Keymap, ist doch egal für welches System die ursprünglich gemacht wurde, man kann sich aber auch ideologisch verbeissen.. US INTL ist nicht nur für DE Umlaute sondern - ich würd mal sagen - allgemein für "westliche" Bedürfnisse.
 
Ich wollte eigenltich nur wissen ob es eben die normale US oder INTL ist, da auf letzterer in dem von OP beschiebenen Fall es einfacher ist, noch ins System zu kommen, da die meisten Tasten über Kombinationen erreichbar sind. Hat mich eben interessiert. Somit danke auch für die Antwort.
 
Vielen Dank Euch allen. :-)

Mein Gedanke ist, unter Linux klappt das ganz prima. Mit Sonderzeichen und all dem Gedöns. Ich kann mir hier allerdings nicht vorstellen, dass die Leute dort all die von Euch genannten Dinge in den Kernel packen. Fonts scheinen mir hier auch nicht wirklich wichtig zu sein, es werden auch keine angzeigt bei der Eingabe des Passwortes. :-)

Ich habe die verschlüsselte Festplatte und OpenBSD erstmal auf die lange Bank verschoben.

Beste Grüße
Jonas
 
Man könnte jetzt noch streiten, ob &*~ schneller gebruteforced werden würde, als UbnQRv. ;)

Die Länge ist kriegsentscheidend, daher fährt man mit genug Zahlen und Buchstaben schon gut.
 
Vielen Dank Euch allen. :-)

Mein Gedanke ist, unter Linux klappt das ganz prima. Mit Sonderzeichen und all dem Gedöns. Ich kann mir hier allerdings nicht vorstellen, dass die Leute dort all die von Euch genannten Dinge in den Kernel packen. Fonts scheinen mir hier auch nicht wirklich wichtig zu sein, es werden auch keine angzeigt bei der Eingabe des Passwortes. :-)

Ich habe die verschlüsselte Festplatte und OpenBSD erstmal auf die lange Bank verschoben.

Beste Grüße
Jonas

Linux verwendet ja ne initial Ramdisk, da wird dann das benötigte Keymap reingeladen. In der Regel kümmert sich da der Installer drum.

Man könnte jetzt noch streiten, ob &*~ schneller gebruteforced werden würde, als UbnQRv. ;)

Die Länge ist kriegsentscheidend, daher fährt man mit genug Zahlen und Buchstaben schon gut.

Je nach persönlichem Passwortschema kann man sich Sonderzeichen durchaus gut merken und vergrößert dann den Suchraum. Und wenn du wirklich ein komplet zufälliges PW hast ists auch egal ob du dir etwas alphanumerisches merkst, oder ob noch 3 Sonderzeichen dazu kommen - bringt bei gleicher Länge immer mehr Entropie. Ich würd halt einfach das verwenden, was am standard US Layout vorhanden ist :)
 
Ja oder eben zur Not die wichtigsten merken...wo die sonst 'blind' sitzen. Drücken Sie Z für Yes :D
Als irgendwann Umlaute und Sonderzeichen in Dateinamen legit waren, fand ich das befremdlich. Bis heute habe ich mich davon nicht erholt und es fühlt sich einfach immer noch seltsam verboten an. ;)
 
Groß/klein und Zahlen reicht immer, und die Länge spielt eine wesentlich größere Rolle als die möglichen Zeichen. Ergo:
Code:
[0-9a-xA-X]
nutzen und fertig.

Edit: https://www.wolframalpha.com/input?i=62^17+/+62^15 d.h. 17 Zeichen mit 62 Möglichkeiten sind 3844 mal mehr Möglichkeiten als 15 Zeichen mit 62 Möglichkeiten, während 15 Zeichen mit 72 Möglichkeiten nur 9 mal mehr sind als 15 Zeichen mit 62 Möglichkeiten https://www.wolframalpha.com/input?i=72^15+/+62^15 d.h. mit nur 2 Stellen mehr Länge habe ich ein wesentlich stärkeres Passwort als wenn ich bei gleicher Länge 10(!) Sonderzeichen dazunehme.
 
Das länger besser als komplex ist, ist ja nichts neues und bestreitet ja keiner. Aber angenommen wir haben ein wirkliches randomisiertes PW ist die Länge der entscheidende Faktor ob man es sicht gut merken und gut eingeben kann. Sonderzeichen ändern da nichts daran, bzw. für mich erleichtert es sogar das merken, da ich das PW automatisch in Gruppen zwischen den Sonderzeichen einteile. Die Frage ist also nicht 10 Zeichen mit Sonderzeichen oder 15 sondern das maximum an Zeichen mit dem man arbeiten kann mit oder ohne Sonderzeichen. Und ganz ehrlich, das US Layout ist jetzt kein Hexenwerk.
 
Das länger besser als komplex ist, ist ja nichts neues und bestreitet ja keiner. Aber angenommen wir haben ein wirkliches randomisiertes PW ist die Länge der entscheidende Faktor ob man es sicht gut merken und gut eingeben kann. Sonderzeichen ändern da nichts daran, bzw. für mich erleichtert es sogar das merken, da ich das PW automatisch in Gruppen zwischen den Sonderzeichen einteile. Die Frage ist also nicht 10 Zeichen mit Sonderzeichen oder 15 sondern das maximum an Zeichen mit dem man arbeiten kann mit oder ohne Sonderzeichen. Und ganz ehrlich, das US Layout ist jetzt kein Hexenwerk.

Man sollte bedenken das man das Kennwort evtl. mal mit und mal ohne Tastaturlayout eingeben muss - schon allein das ist ja uu ein Problem.

Aber es gibt auch einige Sonderzeichen die auf dem Deutschen UND auf dem Englischen Tastaturlayout identisch sind, die kann man ja nehmen.

(Dazu weiß ein angreifer ja uu auch nicht auf welche man nun verzichtet - also ich bin kein Security-Experte aber das man standardmäßig erstmal nur die zeichen versucht zu "cracken" die auf allen Tastaturlayouts an der gleichen stelle sind halte ich für unwahrscheinlich - am ehesten noch das man deutsche Umlaute dazu nimmt wenn man weiß der Benutzer kommt aus D)
 
Man sollte bedenken das man das Kennwort evtl. mal mit und mal ohne Tastaturlayout eingeben muss - schon allein das ist ja uu ein Problem.

Aber es gibt auch einige Sonderzeichen die auf dem Deutschen UND auf dem Englischen Tastaturlayout identisch sind, die kann man ja nehmen.

(Dazu weiß ein angreifer ja uu auch nicht auf welche man nun verzichtet - also ich bin kein Security-Experte aber das man standardmäßig erstmal nur die zeichen versucht zu "cracken" die auf allen Tastaturlayouts an der gleichen stelle sind halte ich für unwahrscheinlich - am ehesten noch das man deutsche Umlaute dazu nimmt wenn man weiß der Benutzer kommt aus D)

Oh genau das machen die :D

Musst dir nur die frei verfügbaren Templates für gängige Bruteforce Programme ansehen. Zu erst wird ja meist ne Wordlist durchgearbeitet, die dann mit Templates vervielfacht wird - also automatisch Buchstaben mit Nummern ersetzen, Zahlen hinten dran, Sonderzeichen, ... relativ zu Beginn wird z.b. sowas wie ! oder % probiert. Wie genau die das alles zu stande kommt weiß ich auch nicht, aber vermutlich anhand von statistischen erhebungen von Passwörtern.

Wenn man Infos hat - z.b. Land/Sprache/Tastaturlayout wird das natürlich alles entsprechend angepasst. Als User ist es aber immer kontraprodutkiv da viel zu denken, wichtig ist echter Zufall und nicht versuchen "zu optimieren", das geht schief.
 
übrigens hatte ich zu meiner "guten Zeit" immer einen Ausdruck des US-Layouts in der Tasche, denn Umstellen (verlieren) der Locale ist nicht nur bei OpenBSD (FreeBSD...) mitunter ein Problem, sondern ich habe das mehrmals auch mit älteren Windows-Geräten im Zusammenhang mit SW-Updates erlebt.
Ich denke, dass wir uns mit diesem Problem einfach abfinden sollten. Auch, wenn es irgendwelche Lösungen für einen Einzelfall gibt.
Ein einfacher Ausdruck des US-Layouts hilft weiter und gut ist. Ich meine, wenn es beim zweiten Mal Eingeben des PW nicht geht, wird es ja nicht plötzlich auf russisch gesprungen sein. Dann betrachtet man das US-Layout und probiert mal dies. Fast immer hat man damit Erfolg und wenn nicht, erst mal ne neue Tastatur anklemmen, bevor man tatsächlich noch russisch probiert.
 
Ich denke, dass wir uns mit diesem Problem einfach abfinden sollten. Auch, wenn es irgendwelche Lösungen für einen Einzelfall gibt.
Oder man nimmt eine allgemeine Lösung und muss sich mit nichts abfinden. Einfach auf Buchstaben und Zahlen beschränken (da ja Sonderzeichen eh nichts bringen und man stattdessen lieber noch 2 weitere Stellen nimmt) und y und z nicht verwenden.

Irgendwelche Ausdrucke bei sich haben, halte ich für völlig unpraktikabel und führt garantiert dazu, dass man im wichtigsten Moment den Ausdruck nicht dabei hat. Und selbst wenn, "verschwendet" es mit ziemlicher Sicherheit immer einen Versuch. Bei OpenBSD ist das egal, es gibt jedoch auch Lösungen, da hat man nur eine bestimmte Zahl Versuche und muss dann richtig kompliziert werden mit Recovery-Keys etc.

Auf der "peace of mind"-Skala gewinnt eindeutig [0-9a-xA-X]
 
Oder man nimmt eine allgemeine Lösung
leider konnte ich damals nicht selbst wählen, sondern musste mit Vorgaben leben. Die Passworte wurden zentral vergeben und enthielten halt auch Zeichen, die US-Layout und DE-Layout unterschiedlich hatten. Details führen aber zu weit. Vielleicht nur so viel: damals hatte man noch keine Tabletts oder Laptops dabei, mit denen man allzeit Online sein kann und bei Bedarf schnell ein Layout gegoogelt hat.
Alle wichtigen Dinge mussten wir in Papier mit haben, oder im Kopf. Kollegen hatten regelrechte Ordner mit Notizen im Gepäck.
 
Zurück
Oben