Hacker haben offenbar (stets) Zugriff zu ALLEM!...

[Volker Bartheld]

On Sat, 26 Nov 2022 22:41:06 +0100, Rolf Bombach wrote:

Helmut Schellong schrieb:
[...]
Das war der Trick, um unter RSX-11 ein Passwort rauszufinden.
Einfach die Konsole des Sysadmins starten und dieses
Fehlversuch-Logging aktivieren.

Heutzutage viel spannender. Sonntagsmatinee-Empfehlung:

https://www.youtube.com/watch?v=BHqrA8lzz2o
https://www.youtube.com/watch?v=lXFpCV646E0
https://www.youtube.com/watch?v=-O9Vs_NlTpk
https://www.youtube.com/watch?v=jmTwlEh8L7g

Kennste vermutlich alles schon. Trotzdem cool.

Volker

 

[Wolfgang Allinger]

On 26 Nov 22 at group /de/sci/electronics in article tltvv9$1f6fs$1@dont-email.me
<rolfnospambombach@invalid.invalid> (Rolf Bombach) wrote:

Wolfgang Allinger schrieb:

eMail und vermutetes Passwort: Falsches Passwort!
eMail und \"Passwort vergessen\": BenutzerID unbekannt!
eMail und \"Neuer Account\": BenutzerID bereits vergeben!

Das ist die übliche Kniefickerei auf vielen Seiten!
Scheissskriptkiddies ... na immerhin 5 S :]

Weltweit gibt es 10+Mio Webshops. Jeder ist irgendwie anders.
Jeder kann irgendwas nicht, was nervt. Und mindestens ein was
ist total schräg. Als wolle man absichtlich Scheisse durch-
permutieren.
ACK

IT selber ist *die* Cash Cow. Meine Verschwörungstheorie ist,
dass das eine Verschwörung ist :-].
Arbeitsbeschaffungsmassnahme und Geldverschwendung ohne Ende.
Dazu kommt die Abschottung wie bei den Juristen, Ärzten etc.

(Schein)Heilige schotten sich immer ab, macht sie heiliger und
unantastbarer.

Autos wurden zuerst auch einzeln angefertigt und es gab
tausende von kleinen Firmen. Das hat sich schnell gelegt.
In der IT... ich frag mich, bald 60(!) Jahre nach der PDP-8
wird da immer noch einzeln rumgestümpert.

Wie kommst Du auf einzeln und klein?
SIEMENS (R300, 3964R, alles), Bosch (SPS), DEC (PDP8, PDP11, VAX, RT11,
RSX34...), PLESSEY (MiPROC16AS), intel, IBM (IchBinMurks), Microsoft
(alles), AEG (60-10, 60-50 +OS), SAP nur um ein paar Grosse Murkser zu
nennen aus dem vorigen Jahrtausend, einige immer noch hochaktiv!


Saludos (an alle Vernünftigen, Rest sh. sig)
Wolfgang

--
Ich bin in Paraguay lebender Trollallergiker reply Adresse gesetzt!
Ich diskutiere zukünftig weniger mit Idioten, denn sie ziehen mich auf
ihr Niveau herunter und schlagen mich dort mit ihrer Erfahrung!
(lt. alter usenet Weisheit) iPod, iPhone, iPad, iTunes, iRak, iDiot

 

[Alexander Schreiber]

Rolf Bombach <rolfnospambombach@invalid.invalid> wrote:

Gregor Szaktilla schrieb:
Am 15.11.22 um 18:47 schrieb Andreas Graebe:
Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Jein

Ich denke, dass es dabei darum geht, lexikalische Passwörter zu verhindern. Die Möglichkeiten werden zwar eingeschränkt, aber es wird erheblich erschwert, ein Passwort zu erraten.

Sehe ich auch so. Der Nutzer wird damit quasi gezwungen,
einen Textfluss erratisch zu unterbrechen. Schwachstelle
ist ja üblicherweise, dass einfache Wörter genommen werden.

Passphrasen sind ebenso gefährlich, da die längst in den
Listen aufgeführt werden. Anfangsbuchstaben von Gedichten,
insbesondere aus Pflichtstoff aus der Schule, sind alle
schon in den Listen und daher speziell dämlich.
Fest gemauert in der Erden...

Nimm halt die Hennecke-Version:

Loch gebuddelt, Bronze rein, Glocke fertig, bim-bim-bim. ;-)

SCNR,
Alex.
--
\"Opportunity is missed by most people because it is dressed in overalls and
looks like work.\" -- Thomas A. Edison

 

[Alexander Schreiber]

Rolf Bombach <rolfnospambombach@invalid.invalid> wrote:

Helmut Schellong schrieb:

Wenn ich in der Industrie mit Paßwort geschützte Zugänge programmierte (uC), hatte ich
eine um jeweils 5 Sekunden verzögerte Eingabemöglichkeit programmiert.
Und nach drei Fehlversuchen war Ende im Gelände - Zugang gesperrt, ohne Umgehungsmöglichkeit.
Jeder Fehlversuch wurde in die Fehlerhistorie eingetragen, EEPROM, mit Uhrzeit+Datum.

Das war der Trick, um unter RSX-11 ein Passwort rauszufinden.
Einfach die Konsole des Sysadmins starten und dieses
Fehlversuch-Logging aktivieren. War eh immer auf einem
DECwriter.
Dort einfach auf die \"Fehlversuche\" achten. Da stand da etwa

User \"MUELLER\" tried \"AudiQuattrp\"

Rest bleibt der Fantasie des Lesers überlassen.

*aua* LARTable offense.

Bei sowas den Usernamen ins Log schreiben: klar. Das Passwort: niemals,
allenfalls \"login failed, wrong password\". Und das Log zugriffsgeschützt
machen.

Man liest sich,
Alex.
--
\"Opportunity is missed by most people because it is dressed in overalls and
looks like work.\" -- Thomas A. Edison

 

[Alexander Schreiber]

Gerrit Heitsch <gerrit@laosinh.s.bawue.de> wrote:

On 11/26/22 22:55, Rolf Bombach wrote:
Hanno Foest schrieb:

Industrieanlagen hingegen dürften eher selten verlorengehen, die
stehen meist rechts ortsfest irgendwo rum, und eine gewisse Anzahl
Mitarbeiter hat Zugang.

Diese Sicherheitsmassnahme hat mir nie gefallen und hat mir auch viele
Diskussionen eingehandelt. In grösseren Betrieben wird man nie endgültig
rauskriegen, wer alles Zugang hat.
Die IT war äusserst pingelig mit Accounts und Passwörtern etc. Auf der
andern Seite hielten sie im Labor rumstehende PCs, eingeloggt auf einem
\"allgemeinen\" Account für keine Sicherheitslücke. Begründung: Kommt ja
sonst eh keiner rein. Hä?
Ich habe z.B. nie rausgekriegt, wer alles Zugang zu \"meinem\" Laserlabor
hat. Vordergründig nur einige wenige Mitarbeiter. Und dann natürlich
\"die Elektriker\", da ein Verteiler irgendwo angedübelt ist. Und
Mitglieder der Gaswarntruppe (WTF?). Und Labor-Pikettdienst des
Gebäudes. Gas Wasser Scheisse, möglicherweise. Heizung Lüftung Klima,
eher weniger, da die nie reinkamen, aber ist man sicher? Und die
Sicherheitszentrale. Feuerwehr. SU. Und und und.

Putzdienst nicht vergessen. Die haben oft mehr Zugangsrechte als alle
anderen.

Und deswegen hat ein früherer Arbeitgeber von mir (mit recht sensitiven
Daten) _alle_ Mitarbeiter mit Gebäudezugang durch die Sicherheits-
überprüfung gescheucht, einschliesslich der Putztruppe (die waren
fest angestellt, kein externer Dienstleister mit ständig wechselndem
unterbezahltem Personal). Externe (z.B. Field Saboteur^WEngineer
von $HardwareHersteller wurden _immer_ begleitet von einem entsprechendem
Mitarbeiter (und waren nur auf dem WC allein).

Man liest sich,
Alex.
--
\"Opportunity is missed by most people because it is dressed in overalls and
looks like work.\" -- Thomas A. Edison

 

[Rolf Bombach]

Ole Jansen schrieb:

Bis jemand dem Tool Cockney oder Gälisch bei bringt.
Die Gefahr dass man bei der Wahl seiner \"Geheimsprache\"
ins Klo greift bleibt also.

Navjo?

> \"przybylski\" jedenfalls ist Mist. Kaspersky kann also schon polnisch.

\"Mb2.r5oHf-0t\" ist auch verbrannter Mist.

--
mfg Rolf Bombach

 

[Gerrit Heitsch]

On 11/27/22 16:23, Rolf Bombach wrote:

Ole Jansen schrieb:

Bis jemand dem Tool Cockney oder Gälisch bei bringt.
Die Gefahr dass man bei der Wahl seiner \"Geheimsprache\"
ins Klo greift bleibt also.

Navjo?

\"przybylski\" jedenfalls ist Mist. Kaspersky kann also schon polnisch.

\"Mb2.r5oHf-0t\" ist auch verbrannter Mist.

Was ist mit \"Mb2-r5oHf.0t\"?

Gerrit

 

[Rolf Bombach]

Helmut Wabnig schrieb:

On Tue, 15 Nov 2022 12:28:48 +0100, Helmut Schellong
rip@schellong.biz> wrote:

Ein Paßwort wie \'Start123!\' [1] hatte ich nie, sondern so etwas wie \'cessoGar#sUpo45(*t)\'.

Erzähl das meiner Großmutter.

Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

\"Start123\" Google 87000 hits.

\"Mb2.r5oHf-0t\" Google immerhin 367 hits.

--
mfg Rolf Bombach

 

[Thomas Einzel]

Am 27.11.2022 um 16:27 schrieb Rolf Bombach:

Helmut Wabnig schrieb:
On Tue, 15 Nov 2022 12:28:48 +0100, Helmut Schellong
rip@schellong.biz> wrote:

Ein Paßwort wie \'Start123!\' [1] hatte ich nie, sondern so etwas wie
\'cessoGar#sUpo45(*t)\'.

Erzähl das meiner Großmutter.

Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

\"Start123\"  Google 87000 hits.

\"Mb2.r5oHf-0t\"  Google immerhin 367 hits.

Da hätte ich ein paar mehr erwartet... ah, 453 mal findet es google.de

und:

https://www.datenschutz-notizen.de/das-sicherste-passwort-der-welt-4115712/

--
Thomas

 

[Andreas Neumann]

Thomas Einzel wrote:

Am 27.11.2022 um 16:27 schrieb Rolf Bombach:

\"Mb2.r5oHf-0t\"  Google immerhin 367 hits.

Da hätte ich ein paar mehr erwartet... ah, 453 mal findet es google.de

Metager: ~ 12.000.000.000 Ergebnisse
Google taugt nichts. Tell news.

 

[Enrik Berkhan]

Alexander Schreiber <als@usenet.thangorodrim.de> wrote:

Bei sowas den Usernamen ins Log schreiben: klar. Das Passwort: niemals,
allenfalls \"login failed, wrong password\". Und das Log zugriffsgeschützt
machen.

Selbst den Usernamen zu loggen kann problematisch sein, denn ja nach
Ablauf kann es auch ganz schnell mal passieren, dass man statt des
Usernamens das Passwort eintippt.

Gruß,
Enrik

 

[Ole Jansen]

Am 27.11.22 um 16:27 schrieb Gerrit Heitsch:

On 11/27/22 16:23, Rolf Bombach wrote:
Ole Jansen schrieb:

Bis jemand dem Tool Cockney oder Gälisch bei bringt.
Die Gefahr dass man bei der Wahl seiner \"Geheimsprache\"
ins Klo greift bleibt also.

Navjo?

\"przybylski\" jedenfalls ist Mist. Kaspersky kann also schon polnisch.

\"Mb2.r5oHf-0t\" ist auch verbrannter Mist.

Was ist mit \"Mb2-r5oHf.0t\"?

Fyr Ka$p3r$ky i5t 1E37 d0ch C3|N3 GEh3I]\\/[zPR@kh3 m3HR...

O.J.

 

[Alexander Schreiber]

Enrik Berkhan <Enrik.Berkhan@inka.de> wrote:

Alexander Schreiber <als@usenet.thangorodrim.de> wrote:
Bei sowas den Usernamen ins Log schreiben: klar. Das Passwort: niemals,
allenfalls \"login failed, wrong password\". Und das Log zugriffsgeschützt
machen.

Selbst den Usernamen zu loggen kann problematisch sein, denn ja nach
Ablauf kann es auch ganz schnell mal passieren, dass man statt des
Usernamens das Passwort eintippt.

Kann man zur Not filtern: wen gültiger Username, loggen, wenn nicht
\"invalid username\" loggen. Aber dann entgeht einem der Unterhaltungs-
wert, an einem Unix-Server Loginversuche mit \"Administrator\" zu sehen ;-)

BTST.

Man liest sich,
Alex.
--
\"Opportunity is missed by most people because it is dressed in overalls and
looks like work.\" -- Thomas A. Edison

 

[Peter Heirich]

Alexander Schreiber wrote:

Kann man zur Not filtern: wen gültiger Username, loggen, wenn nicht
\"invalid username\" loggen. Aber dann entgeht einem der Unterhaltungs-
wert, an einem Unix-Server Loginversuche mit \"Administrator\" zu sehen ;-)

Oder als md5 Hash loggen?

Die eigenen, bekannten Usernamen kann man so identifizieren.

Peter

 

[Rolf Bombach]

Eric Bruecklmeier schrieb:

Am 16.11.2022 um 13:52 schrieb Thorsten Böttcher:


Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

Das kann sein, muß aber nicht. In der IT geht es ganz oft um gefühlte Sicherheit und auch hauptberufliche ITler erzählen oft genug hanebüchenen Unsinn...

Ich gehe davon aus, dass sich jeder Informatiker, Informatik-Spezialist
usw. nennen darf.
Automobil-Spezialist Dudenhöffer, weia, \"gehört zu den renommiertesten
Automobilexperten Deutschlands\".

Wer was kann, tut es. Wer es nicht kann, geht labern.

--
mfg Rolf Bombach

 

[Rolf Bombach]

Helmut Schellong schrieb:

On 11/17/2022 10:06, Holger Schieferdecker wrote:

Das weiß ich nicht. Meine Vermutung wäre eher, daß die Vorgaben zu Länge und zu verwendenden Zeichen verhindern sollen, daß die allermeisten Paßwörter kürzer als 8 Zeichen sind und nur aus
Kleinbuchstaben bestehen.


Kombinationen = zeichenmenge_einer_stelle ^ anzahl_stellen

Der Informationsgehalt typischer Passwörter ist aber _überprüft_
um Grössenordnungen kleiner. Lies einfach das Posting von Ole
vom 16.11.22 14:10.

Ja, du machst es schon richtig, wenn du einen Zufallsgenerator
für deine Passworte verwendest. Dann kannst du deine Formel
anwenden.
Aber die Statistik zeigt, dass das kaum jemand macht.

--
mfg Rolf Bombach

 

[Helmut Schellong]

On 12/14/2022 20:51, Rolf Bombach wrote:

Helmut Schellong schrieb:
On 11/17/2022 10:06, Holger Schieferdecker wrote:

Das weiß ich nicht. Meine Vermutung wäre eher, daß die Vorgaben zu Länge und zu verwendenden Zeichen verhindern sollen, daß die allermeisten Paßwörter kürzer als 8 Zeichen sind und nur aus Kleinbuchstaben bestehen.


Kombinationen = zeichenmenge_einer_stelle ^ anzahl_stellen

Der Informationsgehalt typischer Passwörter ist aber _überprüft_
um Grössenordnungen kleiner. Lies einfach das Posting von Ole
vom 16.11.22 14:10.

Ich habe alle Postings meines Threads gelesen.
Start-Posting 11/15/2022 12:28
Und ich kenne das NIST schon lange, spätestens seit 2011.

Ja, du machst es schon richtig, wenn du einen Zufallsgenerator
für deine Passworte verwendest. Dann kannst du deine Formel
anwenden.
Aber die Statistik zeigt, dass das kaum jemand macht.

Ich verwende kryptographisch produzierte Keys nur bei der Verschlüsselung meiner Dateien.
Bei meinen Paßwörtern bisher nicht.
Sondern beispielsweise: rUz3#vur4Ksoer{ (mit Phantasie ausgedacht)

Generell kümmere ich mich nicht darum, was andere machen.
Ich mache fast nichts nach, sondern mache mein Ding.
Meistens ist \'mein Ding\' deutlich besser als das, was fast alle anderen verwenden.
Beispielsweise habe ich den Keccak-Algorithmus (NIST: sha3_256, sha3_512) implementiert.

Meine Formel ist nicht meine Formel, sondern eine Grundformel, die es
seit Jahrhunderten geben dürfte.
Beispielsweise 2^16 = 65536


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Volker Bartheld]

On Wed, 14 Dec 2022 20:47:39 +0100, Rolf Bombach wrote:

Ich gehe davon aus, dass sich jeder Informatiker,
Informatik-Spezialist usw. nennen darf. Automobil-Spezialist
Dudenhöffer, weia, \"gehört zu den renommiertesten Automobilexperten
Deutschlands\".

Wer was kann, tut es. Wer es nicht kann, geht labern.

Einige mir namentlich bekannte Handwrecker sind dann wohl die Ausnahme
von Deiner Regel. Obwohl, ich kenne die typischen Handwerkslaberer
nicht. Es könnte also noch schlimmer sein.

Volker

 

[Alexander Schreiber]

Rolf Bombach <rolfnospambombach@invalid.invalid> wrote:

Alexander Schreiber schrieb:

Zu meiner Wehrdienstzeit kursierte der Spruch:
\"Wer zu dumm ist und nichts kann, geht zu Post und Deutscher Bahn.
Ist er aber noch viel dümmer, die StOV, die nimmt ihn immer.\"

Finde ich fies.

War es, ohne Frage. Zudem der uniformtragende Teil der Bundeswehr
definitiv _nicht_ in der Position war, als Erster mit Steinen zu
werfen.

Das (von der Truppe wahrgenommene) Problem war nicht, dass da
evtl. Leute mit Behinderungen arbeiten (bis auf ein paar wenige
untersozialierte Idioten hat das keinen interessiert), sondern
dass der ganze Verein ... na sagen wir mal, wie es so schön
heisst, \"die Arbeit nicht gerade erfunden hatte\" (die Uniform-
träger aber auch nicht - Topf, Kessel, usw).

Hintergrund: Damals hatten Post & Bahn als Staatsbetriebe noch die
Nebenaufgabe, die Arbeitslosenzahlen etwas niedriger zu halten
(in moderatem Umfang). StOV war die StandOrtVerwaltung, der zivile
Arm der Bundeswehr der sich um die Kasernen kümmern sollte und bei
der Truppe einen ... gewissen Ruf \"genoss\".

In der Schweiz waren die Bundesbetriebe angehalten, einen gewissen
Personalanteil mit Invaliden zu besetzen. Das fand ich toll und
auch nützlich.

Sehr sinnvoll, keine Frage.

Im damaligen \"Eidgenössischen Institut für Reaktor-
forschung\" waren drei Blinde in der Telefonzentrale angestellt.
Das waren sehr interessante Leute, die man auch gern zum Mittag-
essen mitgenommen hat. Die hatten immer interessante Berichte,
etwa wenn sie von ihrem letzten Schi-Urlaub berichtet haben.
An einen Ingenieur im Rollstuhl konnte ich mich noch erinnern.
Dann kam Reorganisation, Rotstifte, Finanzautonomie und alles
wurde wegrationalisiert. Klar, Telefonzentrale macht heute keinen
Sinn mehr, aber so was wie einen sozialen Auftrag sieht man
heute nicht mehr.

Die übliche kurzsichtige Lokaloptimierung. Dabei ist es für alle
Beteiligten besser, wenn man solche Leute sinnvoll in die Arbeits-
welt integrieren kann. Und es gibt oft genug Möglichkeiten, wie
man Leute mit Behinderungen ohne grossen Aufwand einbinden kann.

Man liest sich,
Alex.
--
\"Opportunity is missed by most people because it is dressed in overalls and
looks like work.\" -- Thomas A. Edison

 

[Eric Bruecklmeier]

Am 14.12.2022 um 20:47 schrieb Rolf Bombach:

Eric Bruecklmeier schrieb:
Am 16.11.2022 um 13:52 schrieb Thorsten Böttcher:


Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

Das kann sein, muß aber nicht. In der IT geht es ganz oft um gefühlte
Sicherheit und auch hauptberufliche ITler erzählen oft genug
hanebüchenen Unsinn...

Ich gehe davon aus, dass sich jeder Informatiker, Informatik-Spezialist
usw. nennen darf.
Automobil-Spezialist Dudenhöffer, weia, \"gehört zu  den renommiertesten
Automobilexperten Deutschlands\".

Wer was kann, tut es. Wer es nicht kann, geht labern.

Im Zweifel muß halt dann der Lesch ran - der ist Experte für ALLES!
Dr. rer. omn. mult.