Files |  Tutorials |  Articles |  Links |  Home |  Team |  Forum |  Wiki |  Impressum

Aktuelle Zeit: Mi Okt 09, 2024 21:09

Foren-Übersicht » DGL » News
Unbeantwortete Themen | Aktive Themen



Ein neues Thema erstellen Auf das Thema antworten  [ 18 Beiträge ]  Gehe zu Seite Vorherige  1, 2
Autor Nachricht
BeitragVerfasst: Mo Apr 06, 2015 00:06 
Offline
DGL Member
Benutzeravatar

Registriert: Mi Aug 14, 2013 21:17
Beiträge: 588
Programmiersprache: C++
Banken begrenzen die Passwortlänge deshalb, weil sie wohl sonst mit "Ich habe mein Passwort vergessen"-Anrufen überflutet würden. Das würde Supportkosten verursachen, die den Schaden übersteigen, der dadurch zu erwarten ist, dass Kundenpasswörter erraten werden. Dazu muss man sagen, dass die Bank davon ausgeht, dass ihre Server so sicher sind, dass niemand es schafft die Passwortdatenbank auszulesen. Es sind also nur online-Angriffe möglich. Und die sind natürlich nicht besonders erfolgreich, wenn der Server nach 10 Fehlversuchen den Zugang sperrt.

Btw, meine Raiffeisenbank begrenzt auch auf 5 Zeichen, es sind jedoch nicht nur Zahlen erlaubt, auch wenn Mitarbeiter das vielleicht anders behaupten. Diese Leute haben keine Ahnung von allem, was irgendwie mit Computern zu tun hat. (Frag mal in der Bank nach dem korrekten Fingerprint des aktuellen SSL-Zertifikats...)

_________________
So aktivierst du Syntaxhighlighting im Forum: [code=pascal ][/code], [code=cpp ][/code], [code=java ][/code] oder [code=glsl ][/code] (ohne die Leerzeichen)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Di Apr 07, 2015 04:15 
Offline
DGL Member
Benutzeravatar

Registriert: Di Dez 03, 2002 22:12
Beiträge: 2105
Wohnort: Vancouver, Canada
Programmiersprache: C++, Python
Phobeus hat geschrieben:
Denn immer wieder wird ein einzelner Dienst gehackt und Klartextpasswörter (Sony? WTF? Kein Geld für Profis?) oder gehashte Passwörter werden geleakt.

Da du Sony ansprichst, der hack ende letztes Jahr (Sony Pictures) hat leider sehr deutlich gezeigt wie weit es mit Identitätsdiebstahl heute schon ist.. wobei das allerdings in den USA ein sehr viel größeres Problem ist als z.B. in Deutschland.

In den USA kann jemand deine gesamte Identität übernehmen sobald er deine SSN (Social Security Number) kennt. Hast du diese Nummer, kannst du im Grunde an alle Bank Konten etc. der Person ran, á la "Ja guten Tag, ich habe leider sämtliche meiner Zugangsdaten zu Ihrem OnlineBanking vergessen und bin zudem kürzlich umgezogen.. hier ist meine SSN, könnten sie mir bitte die Daten an folgende Adresse schicken?".

Wir haben daher alle von Sony einen Identity-Protection-Service bekommen - ein Service der dich erst fragt ob jemand etwas mit deiner SSN machen darf bevor die Aktion letzten Endes durchgeführt wird.


Hat eigentlich damals irgendwer hier die geleakten Daten mal heruntergeladen?
Ich habe lediglich in die liste mit den geleakten filenamen geschaut gehabt - laut derer sind von mir dinge wie mein Visum, Reisepass, Arbeitsvertrag etc. geleaked.. würde mich mal Interessieren ob die Daten wirklich am ende dabei waren oder nicht.

Aber wie schon gesagt, auch wenn all meine Daten geleaked wurden kann damit niemand wirklich etwas anfangen. Mit einer Kopie eines Reisepasses kommt man halt doch nicht allzu weit :)



Was die Sicherheit der Daten bei Sony angeht, warum manche Dinge unverschlüsselt gespeichert wurden ist denke ich ganz einfach damit erklärt das dort tausende Mitarbeiter arbeiten bei denen nicht jeder so vernünftig ist und dinge verschlüsselt ablegt. Es reicht wenn es einen einzigen Mitarbeiter gibt der aus Faulheit ein Passwort irgendwo in einer text-datei speichert um es einfach copy/pasten zu können.

Auch hat Sony ein sehr großes Vertrauen in seine Mitarbeiter. Bis zum hack hatten wir beispielsweise alle Internet an unserem Arbeitsrechner - trotzdem ist nie ein Film oder auch nur ein einzelnes Bild von einem Film jemals geleaked.

Es wurde viel aus den Fehlern die begangen wurden gelernt (nicht nur bei Sony, alle VFX Firmen) - aber es musste halt leider einmal etwas passieren damit wirklich was geändert und unternommen wird. Genauso wie man erstmal Daten verlieren muss, bevor man anfängt Backups zu machen ;)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Mi Apr 08, 2015 09:00 
Offline
Fels i.d. Brandung
Benutzeravatar

Registriert: Sa Mai 04, 2002 19:48
Beiträge: 3827
Wohnort: Tespe (nahe Hamburg)
Zitat:
Passwörter im Browser sind doch bereits dadurch nicht sicher (im anderen Sinn jetzt), dass sie weg sind, wenn der Computer krepiert. Insofern dann vielleicht eher eine verschlüsselte Datei, die du auch kopieren kannst (Truecrypt zb, falls auf einem Linux-System)

Naja, auch das Browserprofile lässt sich sichern. ;) Aber der Browser sollte hier keineswegs als "Passwortsafe" beworben werden. Aber halt lieber den als überall das gleiche Passwort zu verwenden.
Bzgl. Truecrypt, solltest Du Dich dringend auf einen aktuellen Stand bringen: https://de.wikipedia.org/wiki/TrueCrypt#Bekanntgabe_der_Einstellung_des_Projekts/. Gerade als Linux-Nutzer hat man mit LUKS eine ausgezeichnete Infrastruktur fürs allgemeine Datenverschlüsseln. TrueCrypt war nur dort interessant für jene die sowohl Windows als auch Linux nutzen. Für eine Passwortsicherung würde ich hier jedoch eher auf GPG setzen, dass auch in beiden Welten verfügbar ist.

Bei Banken ist noch anzumerken, dass dies sehr unterschiedliche gehandthabt wird. Gerade die Volks- und Raffeisenbanken fallen dadurch auf, dass sie mit den 5 Zeichen arbeiten (vor einigen Jahren sogar noch 6...). Dafür führte man vor einigen Jahren "Benutzernamen" statt der Kontonummer ein. Die HASPA z.B. die individuelle Vergabe von Passwörtern und ist auch hinsichtlich der Länge wesentlich flexibler.

Wichtig ist halt, dass man einfach geistig wach für solche Themen bleibt. In der Datenschleuder #97 ist z.B. ein interessanter Artikel zu Bankautomaten gewesen. An Hand vom Bestätigungspiepsen des Automaten und einer akustischen Aufzeichnung wurde versucht die "PIN" vorher zu sagen. Es zeigte sich dabei, dass das viel beschworene "Händchendrüberhalten" technisch überholt wurde, da sich eine sehr gute Trefferquote nur durch die Audioaufzeichnung ergab. Die anzufertigen in der Zeit in der jeder ein Handy dabei hat, ist nicht einmal besonders schwer. Das ganze funktioniert jedoch nur, wenn der Mensch sich "normal" verhält. Die meisten "Laden" zunächst die Pin aus dem "Speicher" und fangen dann mit der Prozessierung an. Die geht meist dann sehr fix und gleichmäßig vorher eine solche Vorhersage erst möglich wird. Ältere Menschen oder jene mit mechanischen Einschränkungen arbeiten die Zahlen meistens langsamer oder rhythmischer ab, wodurch der Angriffsvektor nicht mehr besonders gut funktioniert. Empfehlung: Einbauen von Gummierung + visuelles Eingabefeedback. ;)

_________________
"Light travels faster than sound. This is why some people appear bright, before you can hear them speak..."


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 18 Beiträge ]  Gehe zu Seite Vorherige  1, 2
Foren-Übersicht » DGL » News


Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
  Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
[ Time : 0.021s | 18 Queries | GZIP : On ]