sichere passwörter erstellen

d4mi4n

d4mi4n

volksoperator on duty
hiho,
hat zufällig jemand links wo man algorithmen für sichere passwörter herbekommt?
ich such mich dumm und dämlich bei google, gefunden hab ich schon welche, aber die muss man dann erstmal aus irgendnem quellcode raussuchen und der rest ist nicht zum passörter erstellen sondern zum verschlüsseln von daten
 
Wo willst du es denn einsetzen?
Ein Freund von mir wollte mal in der Firma in der er arbeitet sichere Passwörter verteilen, die meisten habe die sich auf einen Zettel geschrieben und an den Monitor geheftet. -_-
Sei also vorsichtig wenn du sowas einsetzt, das kann zu noch mehr Unsicherheit führen. ;)

cya
 
na wenns da feine tools hat hat sichs erledigt
robsn:
kenn auch dina4 blatt an der seite des monitors das es jeder lesen kann der zur tür reinkommt oder unter der tastatur oder eine textdatei aufm desktop mit dem passwort als namen (was soll das bringen? ich kanns ja nicht lesen wenn ichs vergessen hab)
 
ich war im Telekom Konzern tätig, solche Passwörter sind an der Tagesordnung.
An den Arbeitsplatzrechnern versucht man die Sicherheit mit Chipkarten zu erhöhen, nur wenn die nicht aktiviert werden!!??
 
hhmm... jaja, mit der datensicherheit an arbeitsplätzen ist das so 'ne sache... wenn ich mich da an meine praktika erinnere... immerwieder schön zu sehen wie die komplexesten sicherungen und verschlüsselungen von etwas simplen wie passwörtern umgehen werden können, welche auch schon mal quer durch die "kundenecke" gebrüllt werden oder sich kollegen im beisein anderer kollegen/kunden über eben solche sachen frei unterhalten... emails von unbekannten absendern mit dateianhängen wurden natürlich voller neugier geöffnet, und wenn nach mehrmaligen ausführen eines der meist angehängten programme sich keine visuelle tätigkeit äußerte, kam es in den mülleimer.... meiner ansicht nach etwas zu spät.

mein kopfschütteln in dieser zeit traf jedoch auf unverständnis...
 
Zuletzt bearbeitet:
Ja ja, ich glaub das ist in jeder Firma so. Man kann es den Leuten sogar ausführlich erklären, nur nützen tut das auch nicht besonders viel. Die meisten stellen ihre Ohren einfach auf Durchzug.

Das einzige was die aufrüttelt, ist wenn ihr Rechner zu Hause mal so richtig "misbraucht" wird. Und man denen dann sagt: "Kein Wunder, so dumm wie SIE waren."

Dann gucken die ganz blöd. :eek:
 
mit dummheit hat das nichts zu tun, eher fehlendes verständnis oder leichsinnigkeit... vielen leuten ist es einfach egal was mit ihren rechner (oder sich dort befindlichen informationen) passiert, solange sie selbst keinen schaden nehmen... es kommt beim vom kiddie zerstörten system höchstens leichter ärger auf, wegen dem "zeitaufwand" das system wieder herzustellen, oder verlust wichtiger daten... aber solange es halt kein wirklicher schaden ist... schlimm wirds höchstens wenn informationen missbraucht werden, aber ein großteil derer die an sowas rankommen haben gerade noch genug niveau und hirn um zu wissen, dass man sowas besser nicht macht... die, die es nicht wissen (die allgemeinen hacker-kiddies eben), werden es danach wissen... (afaik gibts für sowas in manchen fällen ziemlich lange freiheitsstrafen und/oder hohe finanzielle strafen) eine mitschuld beim provider der offenen informationsschleuder gibt es eher selten...

hat wer jemand vor ein paar wochen stern tv gesehen? irgendwelche leute haben da festplatten bei ebay verkauft, und wie das ja so ist, geht benutzer xyz natürlich davon aus, dass wenn er unter windows formatiert, das ding auch leer ist... naja, dem ist natürlich nicht so... irgendeine firma hat stichprobenartig welche aufgekauft und ist mit einigen privaten ausgedruckten dokumenten zu den leuten hingefahren... sehr erfreut sahen die nicht aus, als die ihre meist sehr privaten und intimen ex-"dokumente" betrachteten, aber auch nicht, als dass die das länger als 5 minuten beschäftigen würde... (nebenbei wurde die sendung noch dazu genutz ein low-level formatierungs programm zu vertreiben...)

aber hat ja gerade nichts mit dem thema hier zu tun :)
 
ich hab schon riesenstreit bekommen weil ich alle 3 Monate!!! die Passwörter mit Historie rotiere. Sicherheit is nunma unbequem.
 
also bitte ich muss mich mal einsetzten hier, telekom = riesen konzern, mit 10000 aufgabengebieten, bei 10..schlagmichtot mitarbeitern gibts bestimmt paar hirsche....
ich hab letzends auch ein ganz dummes wort als passwort bekommen, mit der afforderung es sofort zu ändern, dann hab ich nochmal eins bekommen, das kann ich mir nie merken, zu krass
und die chipkarten sind an jedem rechner an es sei denn es wird megamässig geschlampt
 
Wir haben hier etwa 10 (nicht tausende, sondern zehn) Mitarbeiter mit Rechner. Und sämtliche Versuche den Leuten etwas über Sicherheit und Passwörter zu erzählen ist so als redet man an eine Stahlbetonwand. Von ca. 5 dieser Leute ist Login der Nachname und was kommt dann wohl als Passwort, wird nie geändert und schon garnicht durch Sonderzeichen o.ä. verschleiert?
Da war mein vorheriger Arbeitgeber sicherheitsbewusster. 30 Tage gültig, 24 letzten in der Historie, alpha-nummerisch, mind. 8 Zeichen ...aber das ist nicht wirklich vergleichbar.
 
Wirklich sichere Passwörter müssen aus einem echten Zufallspool erstellt werden. Die bisher erwähnten Tools wie apg und pwgen erzeugen lediglich Passwörter aus Pseudozufallswerten, die zwar für den Alltagsgebrauch ausreichen dürften, aber eben nicht im strengen Sinne des Wortes und auch nicht nach dem Standard FIPS 140-2 zufällig sind. Die nötige Entropie zur Erzeugung eines hinreichend definierten Zufallspools gewinst du z. B. durch Messung physikalischer Ereignisse wie etwa thermisches Rauschen (Brown'sche Molekularbewegung), Elektronenspin und radioaktiver Zerfall. Das bedeutet, dass sichere Zufallsgeneratoren bei dem gegenwärtigen Stand der Technik nicht durch Algorithmen, sondern ausschließlich durch adäquate Hardwarekomponenten umzusetzen sind. Damit sind auch die bisher erwähnten Tools wie apg und pwgen hinfällig. Du könntest z. B. einen Binärschlüssel "hinreichender" Zufallsqualität mit dem Befehl
Code: 
cat /dev/audio | compress > random.bin
erzeugen, sofern kein Mikrofon an das Line-In der Soundkarte angeschlossen ist. Inwieweit /dev/random und /dev/urandom als Entropiequelle genutzt werden kann, ist noch nicht ausreichend untersucht worden.
 
Doch, wenn ich von "Brown'schen Molekularbewegungen" lese, die ich zur Sicherheit brauche, dann hörts auf - Netzkabel ziehen und gut ist ;)
Aber gut, ich will diese wundervolle Diskussion nicht weiter durch meine unqualifizierten Einwürfe stören ;)

Gruß
 
@Heidegger
Mal wieder über das Ziel hinausgeschossen? Es geht um Passwörter, und ich denke für den alltäglichen Gebrauch, und nicht um eine wissenschaftliche Abhandlung der Molekularbewegung, radioaktiven Zerfall oder weiss der Geier was. Das ist vollkommen an Thema vorbei da in diesem Fall irrelevant.
Ich selbst habe, für den Zugriff auf die Firmenserver, ein 27 stelliges Passwort um micht mit ssh einzuloggen. Viel Spass beim hacken und herausfinden des Passwortes (so denn kein Fehler im sshd vorliegen sollte) wird Dir dies mit Deinen Mitteln, nicht gelingen.
Das ist der Bezug zur Realität und keine Dinge wie Elektrospin oder ähnlich beschriebenes die am Ziel vorbeisegeln wie eine Zahnbürste mit der man das Empire State builing putzen möchte...
 
saintjoe schrieb:
Doch, wenn ich von "Brown'schen Molekularbewegungen" lese, die ich zur Sicherheit brauche, dann hörts auf - Netzkabel ziehen und gut ist ;)
Zum Vergrößern anklicken....

Hehe, verstehe, aber soweit hergeholt ist mein Einwand nicht: Unternehmen, die sich mit der praktischen Umsetzung des IT-Grundschutzbuches befassen, verwenden in kritischen Bereichen tatsächlich solche physikalischen Zufallsgeneratoren.
 
also der thread gefällt mir, vor allem das mit dem vielen zufallszeug, hab da auch nen artikel vor kurzem im pm gelesen, sehr interessant, wirklich
heidegger: wer war eigentlich der mann von dem ersten avatar?
 
d4mi4n schrieb:
heidegger: wer war eigentlich der mann von dem ersten avatar?
Zum Vergrößern anklicken....

Hmm, lass mal überlegen... also Michael Moore war es nicht, Theo de Raadt auch nicht, Helge Schneider auch nicht, hmmm...., ich weiß auch nicht.... hmm...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben