Category: Bugs | Vulnerabilities

Sichere Passwörter – ohne Generator

Tuesday, 26. May 2009 / / 1 Comment

Im Internet gibt es eine Reihe von Passwortgeneratoren. Das Problem ist jedoch oft, das man ein Passwort braucht, wenn man gerade keinen Zugang zum Internet oder sogar zu seinem eigenen PC hat. In vielen Firmennetzwerken läuft das Passwort automatisch nach einer bestimmten Zeit ab.

In diesem Fall bringen einem all die Passwortgeneratoren egal ob online oder offline nichts. Weil der PC das neue Passwort schon bei der Anmeldung haben will. Jetzt steckt man echt in der Klemme. Auf der einen Seite braucht man ein sicheres Passwort, schließlich will man nachher nicht das Sicherheitsleck in der Firma sein, auf der anderen Seite sollte man es sich auch noch übers Wochenende merken können, falls heute gerade Freitag ist. Schließlich ist nichts peinlicher als wenn man am Montag den Admin anrufen muß und das Passwort zurücksetzen lassen muss.

Natürlich wissen wir alle, wie so ein richtig sicheres Passwort aussehen muss. 100 Zeichen lang, nichts aus dem Wörterbuch und nach Möglichkeit mit allen Zeichen die so auf einer Tastatur vorhanden sind. Schnell hat mir jedoch wieder das Problem, das man es sich aufschreiben muss und schon ist das Sicherheitsrisiko wieder da.

Also mal ein ganz anderer Ansatz, das Passwort als Erinnerung. Schließlich gibt man ein Passwort viele Male am Tag immer wieder ein. Ein kleines Beispiel zur Verdeutlichung. Wie wäre es wenn ich mir zum Beispiel vorgenommen habe jeden Abend mit den Hantel zu trainieren. Dann könnte ich als Passwort folgendes verwenden H4nt3l . Genau 6 Zeichen lang, steht nicht im Wörterbuch, mit großen und kleinen Buchstaben. Wer es länger braucht kann einfach noch tr41n13r3n dranhängen. Am Besten verbindet man die Wörter mit einem Punkt oder Bindestrich bzw. Unterstrich. Schon hat man ein einfaches Passwort welches einen auch noch motiviert.

Jetzt gibt es aber auch Menschen, diese Schreibweise mit Zahlen und Buchstaben in einem Wort gemixt überhaupt nicht mögen. Wie wäre es mit absichtlichen Rechtschreibfehlern in Wörtern. Zum Beispiel Pazwort oder eiluvyu , wenn man sich jetzt noch überwinden kann einen Punkt, Unterstrich oder Bindestrich einzufügen, wäre es ein sicheres Passwort.

Nach Hause telefonieren…

Tuesday, 17. March 2009 / / 0 Comments

Also irgendwie verstehe ich es nicht ganz. Habe heute mal wieder meine Logfiles durchgesehen und dabei folgendes entdeckt.

192.168.0.100

192.168.0.100


Für alle Feed-Leser und Blinde, die das Bild nicht sehen können, schreibe ich mal kurz was es zu sehen gibt. Man sieht das die IP-Adresse 192.168.0.100 auf meine Seite zugegriffen hat. Dabei sind die folgenden Adressräume für private Netzwerk reserviert. Sie sollten also gar nicht geroutet werden.

10.0.0.0 bis 10.255.255.255
172.16.0.0 bis 172.31.255.255
192.168.0.0 bis 192.168.255.255

Quelle: http://de.wikipedia.org/wiki/Private_IP-Adresse

Ein bisschen weiter oben habe ich außerdem noch folgenden Eintrag gefunden.

localhost

localhost

Wie man sehen kann, hat sich der Server jetzt selber über Google gefunden und an- bzw. aufgerufen.

Also wenn man schon im Internet mit einer anderen IP-Adresse unterwegs sein will, sollte man eine wählen die nicht gleich so auffällt, oder? Sonst erregt man doch nur noch mehr Aufmerksamkeit.

Strg + S tötet Putty

Monday, 16. March 2009 / / 8 Comments

Irgendwie wechsle ich zur Zeit immer zwischen Putty und anderen Desktop Anwendungen hin und her. So kann es auch schon mal passieren das man in ein Word-Dokument :w eintippt. Dieses kann man später aber noch relativ einfach finden. Schlimmer war es jedoch bisher immer für mich, wenn ich über Putty mit Vim bzw. Vi ein File geöffnet hatte und Strg + S gedrückt habe.

Das Problem war, ich tat es so automatisch, das ich mich nicht mehr erinnern konnte, was ich gedrückt hatte. Ich merkte nur auf einmal das sich der Cursor nicht mehr bewegte. Also Putty schließen, neu starten und den eigenen User abschießen, bzw. das Swap File von Vi alias Vim löschen.

Ab heute ist damit Schluss. Die Lösung lautet Strg + Q, gepriesen sei der Herr und Putty kann wieder auferstehen.

Bot / Virus: age-inf.ru / age-age.ru

Friday, 13. March 2009 / / 1 Comment

Als ich gestern Abend nach Hause kam, leuchtet auf einem Notebook ein Chatfenster. Der Inhalt des Fensters war:

[HTML]
Ïðèêèíü áåñïîäîáíûé òecò THUMBS UP www.age-age.ru
[/HTML]

Ich wunderte mich noch, weil mir die Person erstens schon seit Jahren nichts mehr geschrieben hatte, zweitens konnte ich mir nicht vorstellen, das sie irgendwas mit russisch am Hut hat.

Ohne auf die URL zu klicken konnte ich mir jedoch schon denken, was dahinter steckt. Auf der anderen Seite war ich gestern auch zu müde. Aber zurück zum Thema. Vor ein paar Tagen hatte mir nämlich ein anderer Bekannter folgende Message geschickt:

[HTML]
Ïpoéäè êëåâûé cåðâèc :-) www.age-inf.ru
[/HTML]

Das Problem damals, ich wußte das die Person russisch kann und konnte mir durchaus vorstellen, das er damit etwas zu tun hat. Nachdem ich ihn heute Morgen zufälligerweise “getroffen” habe und drauf angesprochen habe, wußte er nichts davon. Er erzählte mir nur das er irgendwelche Probleme mit einem Bot oder Virus hatte und jetzt seinen Rechner platt gemacht hat.

Bin mir nicht ganz sicher, ob der Besuch der Seite schon zur Infizierung führt oder ob der Bot / Virus / Wurm was auch immer nur im Auftrag handelt und die Seite in Wirklichkeit “seriös” ist. Um mal die Spannung zu nehmen was es auf der Seite gibt, man muss einen Haufen Fragen beantworten, alle in russisch und am Ende erfährt man auch kein Ergebnis, wenn man nicht eine SMS irgendwohin schickt.

Nachschlag: ICQ in GMail

Sunday, 22. February 2009 / / 0 Comments

Anfang Dezember hatte ich mich gefreut wie ein Schneekönig, das es möglich ist ICQ in GMail zu laden. Besonders wenn man hinter einer Firewall sitzt ist das schön bequem. Heute musste ich jedoch eine weitere Schattenseite entdecken, die mich doch schon ein bisschen nervt. Unter bisher noch ungeklärten Umständen, kann es passieren, das man manche Nachrichten nicht bekommt.

Bin mir im Moment noch nicht ganz sicher, ob es nur die Nachrichten sind, die einem geschickt werden, wenn man offline ist. Zufälligerweise habe ich heute mal wieder mein ICQ angeschmissen und habe dort interessante Nachrichten gefunden, auf die ich schon gewartet hatte. Aufgrund der Menge an Messages habe ich auch den Verdacht, das manchmal Nachrichten verloren gehen, obwohl man online ist.

Gleichzeitig in ICQ über GMail und normalen ICQ kann man im übrigen nicht angemeldet sein. Nachdem ich ICQ gestartet hatte, wurde die Verbindung in GMail gekappt.