Linux Login passwort

[whisper]

Weil gerade das Thema Password security war..
Für wie wichtig haltet ihr euer Desktop Login Passwort?
Ich habe da ein extrem einfaches pw, allerdings ist hier auch nur die Familie.
Der Browser ist mit einem Masterpasswort gesichert.
Bei Diebstahl wird ein Rechner sowieso platt gemacht, andererseits käme so man sehr leicht an mein Mail passwort...
hhm.

[uname]

Linux und gute Passwörter? Solange du die Platte nicht verschlüsselt helfen sie rein gar nichts. Ist aber bei Windows wohl ännlich.

[whisper]

Desdawegen.
Zur Zeit habe ich sogar die Bildschirmsperrung außer Betrieb genommen, d.h. wer meinen Laptop aufklappt, ist drin.

Vielleicht ein wenig Leichtsinnig, im Serverumfeld benehme ich mich anders.
Na klar, sollte hier mein Laptop entführt werden, muss ich den Server vom Handy aus besuchen und die .ssh/authorized_keys löschen, besser ist das.

[Radfahrer]

Auf meinem PC werde ich automatisch eingelogged. Ist kein Problem, da ich alleine wohne und wenn meine Freundin hier ist, darf die gerne meinen PC benutzen. Auch mit meinem Nutzer, da gibt es nichts, was sie nicht sehen darf.

Früher hatte ich den verschlüsselt, einfach weil es geht. Aber mittlerweile halte ich das für Unsinn. Man macht sich damit nur unnötigen Stress. Das fängt schon bei den Backups an. Habe ich keine Lust mehr zu.

Was Passwörter für Logins angeht, so bin ich faul und bequem und lasse mich auf den meisten Seiten automatisch einloggen. Wer also an meinem Rechner sitzt, kann z.B. auch hier Beiträge schreiben. Oder in anderen Foren, in denen ich Mitglied bin. Was solls, wie gesagt, ich lebe hier alleine.
Wichtige Login-Passwörter, wie z.B. amazon und andere Händler, Online Banking, usw. sind natürlich nicht im Browser gespeichert. Und auch nirgends sonst. Nur im Kopf.

Bei meinem Laptop sieht das anders aus. Da ich den auch ab und zu mal mitnehme, ist der natürlich komplett verschlüsselt. Natürlich auch mit einem sicheren Passwort (19 Zeichen).

[DeletedUserReAsG]

Bei meinem Laptop sieht das anders aus. Da ich den auch ab und zu mal mitnehme, ist der natürlich komplett verschlüsselt. Natürlich auch mit einem sicheren Passwort (19 Zeichen).

Erstaunlich, wie die Leute freiwillig Informationen rausrücken, die den Aufwand zum Knacken ihres Passwortes auf einen Bruchteil des ursprünglichen Aufwandes reduzieren

(Geht um die Länge. Ein $Angreifer muss nun nicht alle Varianten mit 1…18 Zeichen durchprobieren, sondern kann gleich mit der richtigen Länge anfangen)

[uname]

Komplizierte Passwörter verbessern die Sicherheit nur, wenn man sie z.B. gehasht in Dateien stehen und dort geklaut werden. Im Normalfall ist das gar nicht notwendig. Ob du 1- ein- oder 100-stelliges Passwort verwendest ist prinzipiell egal.

[guennid]

@niemand
Hättste mir mal im anderen Thread ein paar Beiträge vorher sagen sollen!

Ich versucht, im Nachhinein etwas weniger Angriffsfläche zu bieten.

Hier mal meine letzten Laien-Überlegungen: Zugangspasswort für den Plastic-Router halte ich für sehr wichtig, insbesondere, wenn dahinter kein eigener mehr steht. Hat der Angreifer das Zugangspasswort, kann er den Router nach Belieben manipuliren und hat Zugriff auf das Heimnetz, inclusive WLAN-Zugang.

Grüße, Günther

[whisper]

Erstaunlich, wie die Leute freiwillig Informationen rausrücken, die den Aufwand zum Knacken ihres Passwortes auf einen Bruchteil des ursprünglichen Aufwandes reduzieren

(Geht um die Länge. Ein $Angreifer muss nun nicht alle Varianten mit 1…18 Zeichen durchprobieren, sondern kann gleich mit der richtigen Länge anfangen)

Das ist wahr.
Aber wenn Niemand nun auch 14 geht, steht der Brute Force Attacke im Regen
Nebenbei 19 Stellen, alter Schwede, bei der Arbeit 16 Stellen und das ist schon eine Herausforderung.

[Radfahrer]

Erstaunlich, wie die Leute freiwillig Informationen rausrücken, die den Aufwand zum Knacken ihres Passwortes auf einen Bruchteil des ursprünglichen Aufwandes reduzieren

Du darfst gerne mal vorbeikommen und es versuchen.

Ich finde es aber auch erstaunlich, was für ein Gewese manche Leute um die Sicherheit ihres Rechners machen. Als ob jemand, wenn ich meinen Laptop irgendwo liegen lasse, einen riesigen Aufwand treiben würde, um das Passwort zu knacken. Das Passwort für einen Rechner über den er nicht weiß, was drauf ist und wem er gehört.
Derjenige würde das Ding platt machen, sich über sein neues Spielzeug freuen und fertig.

Und wenn nicht.... wie gesagt, jeder der will, darf es gerne mal versuchen.

Nebenbei 19 Stellen, alter Schwede, bei der Arbeit 16 Stellen und das ist schon eine Herausforderung.

Auch 30 Stellen sind kein Problem, wenn man es geschickt macht. Muss ja nicht kryptisch sein. Die Anzahl der Stellen ist wichtiger als Sonderzeichen oder Zahlen. Also irgendeinen sinnlosen Satz ausdenken ("Mein Luftkissenfahrzeug ist voller Aale!" (40 Stellen, wenn ich mich nicht verzählt habe...Danke Monty Python )), so etwas kann man sich leicht merken.

Und nein, den Satz von eben sollte man tunlichst NICHT nehmen!

Mein WLAN-Passwort hat übrigens 63 Stellen.

[DeletedUserReAsG]

Ich habe nicht gesagt, und auch nicht sagen wollen, dass es mit Kenntnis der Länge nun ein Kinderspiel wäre, das aufzumachen. Nur, dass alleine schon die Information über die konkrete Länge den Aufwand um Größenordnungen verringert. Nun lass’ da mal noch eine Schwachstelle oder einen Bug gefunden werden, der seinerseits den Aufwand um Größenordnungen verringert, aber alleine stehend bei derzeitigen Mitteln auch nur einen theoretischen Angriffsvektor bietet. Beides zusammen kann dann schon ausreichen, einen Angriff auch praktisch zu ermöglichen ….

Und dieses „ach, ich hab’ doch eh nix zu verbergen“ oder „für meinen Kram interessiert sich keiner“ – ich dachte, die ollen Kamellen wären schon lange tot …

[schwedenmann]

Hallo


Ich habe / und /home verschlüsselt per phys.devcie + lvm und tippe bei jedem boot eine passphrase von 22 Stellen ein, das normale userlogin ist kurz 12 Stellen und der Root login noch kürzer (spart Tipparbeit bei su ).


mfg
schwedenmann

[Radfahrer]

Cool sind ja die Leute, die ihren Rechner komplett verschlüsseln mit elendig langen Passphrasen und allem Pipapo..... und dann den Rechner Tag und Nacht laufen lassen, weil sie stolz auf ihre Uptime sind.

Gibt ja gerade unter den Linuxnutzern viele, die meinen, dass man einen Rechner nur dann runterfährt, wenn was kaputt ist.

[DeletedUserReAsG]

Ich hab ’nen Server verschlüsselt, der läuft 8760 Stunden im Jahr (allerdings nicht für Uptime, sondern weil’s halt ein Server ist). Was ist damit verkehrt?

[sbruder]

Cool sind ja die Leute, die ihren Rechner komplett verschlüsseln mit elendig langen Passphrasen und allem Pipapo..... und dann den Rechner Tag und Nacht laufen lassen, weil sie stolz auf ihre Uptime sind.

Wenn der an ist gibt es ein paar mehr Angriffsflächen, die man aber gut minimieren kann: Lockscreen (was gescheites nehmen, sollte X und TTYs abriegeln), SysRQ (am Besten abschalten) und BIOS/(U)EFI (Coreboot/Libreboot nehmen). Und wie niemand schon sagte ist ein Server nicht an, dass man mit einer hohen Zahl angeben kann, sondern weil man da bitte gerne 24/7-Verfügbarkeit hätte.

[tobo]

Bei meinem Laptop sieht das anders aus. Da ich den auch ab und zu mal mitnehme, ist der natürlich komplett verschlüsselt. Natürlich auch mit einem sicheren Passwort (19 Zeichen).

Erstaunlich, wie die Leute freiwillig Informationen rausrücken, die den Aufwand zum Knacken ihres Passwortes auf einen Bruchteil des ursprünglichen Aufwandes reduzieren

(Geht um die Länge. Ein $Angreifer muss nun nicht alle Varianten mit 1…18 Zeichen durchprobieren, sondern kann gleich mit der richtigen Länge anfangen)

Wobei der verbleibende Bruchteil dann immer noch so um die 97% groß ist!?

[DeletedUserReAsG]

Ich geb’s zu, die Art der Mathematik liegt weit hinter mir. Vom Gefühl her hätte ich halt gesagt, dass 24+24^2+…+24^17+24^18 mehr als drei Prozent von 24^19 sind (von 24 Buchstaben ausgehend, bei Sonderzeichen halt Basis anpassen). Kann ja mal jemand vorrechnen, der’s besser im Kopf hat, als ich

[tobo]

Nimm doch einfach nur mal die Ziffern für 1, 2 und 3-stellige Zahlen: 10+100+1000=1110 zusammen, 1 und 2-stellige weg, dann bleiben immer noch 1000 übrig. Und wenn man den Wertebereich entsprechend über 10 ausdehnt...

[Milbret]

Mein Passwort ist bei meinen Servern + WorkStation + VMs gleich und auch mein Default Benutzer, nicht root, ist ebenfalls immer identisch.
Das Passwort ist mit 12 Zeichen samt Sonderzeichen relativ sicher, könnte aber mit größerer Länge noch sicherer sein.

Ich kümmere mich eher mehr darum, dass meine Kisten nicht von ausserhalb erreichbar sind bzw. nicht über die üblichen Wege.
Es ist sicherer seine Rechner durch gesperrte Ports bzw. geänderte Default Ports abzusichern als sich zu sehr auf sichere Passwört zu verlassen.
Wenn man nicht gerade ein Passwort von mindesten12 Zeichen auch mit Sonderzeichen nutzt, hat man auch nicht viel Sicherheit
Die Länge + Sonderzeichen sind hier entscheidend, aber das ist ein alter Hut.

Gerade wenn man SSH auf Port 22 laufen lässt, kann man im syslog schön die Bots sehen, die sich mit allen möglichen Benutzern + Passwörtern anmelden wollen.
Hier reicht ein einfacher Port Wechsel und man hat Ruhe, kein Login Versuch auf meinem Home Server über ungültige Benutzer seit mehr als einem Jahr.

Martin

[maroc]

Ich geb’s zu, die Art der Mathematik liegt weit hinter mir. Vom Gefühl her hätte ich halt gesagt, dass 24+24^2+…+24^17+24^18 mehr als drei Prozent von 24^19 sind (von 24 Buchstaben ausgehend, bei Sonderzeichen halt Basis anpassen). Kann ja mal jemand vorrechnen, der’s besser im Kopf hat, als ich

Dein Gefühl trügt Dich nicht, es sind ca. 4,3 Prozent.

Meine Rechnung: Unter Beschränkung auf Passwörter auf der Basis von 24 Buchstaben ist der gesuchte Anteil gleich 1/24 + 1/24^2 + ... + 1/24^18. Diese Summe lässt sich nach oben abschätzen durch die unendliche konvergente Reihe (für n von 1 bis ∞) ∑ 1/24^n = 1/23 ≈ 0,0435, nach unten durch 1/24 +1/24^2 ≈ 0,0434.

Erweitert man die Zeichenbasis allerdings um die 24 Großbuchstaben, die 10 Ziffern und, sagen wir mal: 10 Sonderzeichen, summiert sich die Anzahl der Passwörter mit maximaler Länge 18 auf nur noch ca. 1/67 der Passwörter der Länge 19 – also auf bloß rund 1,5 Prozent.

[uname]

Verschlüsselte Server sind sinnvoll, wenn sie wie Laptops physikalisch gestohlen werden können oder jemand im ausgeschalteten Zustand irgendwie zugreifen kann. Wenn der Server in irgendeinem Rechenzentrum steht mach daher die Serververschlüsselung wenig Sinn. Aber man kann sich dann mit Wiederherstellung-Szenarien auseinandersetzen. Das freut den Angreifer, da für ernsthafte Sicherheitsmaßnahmen weniger Zeit bleibt

[DeletedUserReAsG]

Der Gedanke dahinter war: wenn, aus welchem Grund auch immer, ich beim Abgeben der Kiste nicht dazu komme, die Platten ordnungsgemäß zu säubern und der Provider sie weitervermietet, kann der Nachmieter auch mit forensischen Tools nicht mehr so einfach schauen, was da mal drauf war. Ich gebe zu, ich selbst gucke immer gerne, was mein Vormieter so getrieben hat – das ist dann recht witzig, wenn man Schlüssel und Zertifikate und so findet. Mir soll das halt nicht passieren

[novalix]

Moin,
in meiner kleinen Welt ist das Passwort das Interface zwischen Mensch und Maschine in Bezug auf Zugriff/Sicherheit.
Natürlich gibt es auch irgendwann Schlüsselinfrastruktur oder Passwort-Manager, aber um diese zu erstellen bzw. zu nutzen, müssen vorher Passwörter den Zugriff regeln.
5€ ins Phrasenschwein: Sicher gibt es nicht. Es gibt nur Annäherungswerte.
Das theoretisch Wünschenswerte wird von der Praxis unterlaufen. Ziel muss es daher sein, das praktisch Mögliche an dieses anzunähern.
Am Anfang sollte dabei immer ein möglichst "starkes" Passwort gebraucht werden und darauf aufbauend schichtweise so weiter gehen, dass die Praxis auch durchgehalten werden kann.
Festplattenverschlüsselung ist dann unsinnig, wenn man sich zurück lehnt und sagt: Puh, das war es. Das muss jetzt aber genug sein mit Sicherheit. In allen anderen Fällen ist sie sinnvoll. Wenn sie als das erkannt und betrieben wird, was sie ist, als ein möglicher Baustein in einer konsequent betriebenen Architektur. Dabei liegt der Fokus weniger auf dem Begriff "Architektur", sondern auf dem der "Konsequenz".

[Milbret]

@uname
Auch verschlüsselte Server sind eine gute Sache.
Gerade wenn man Server in Staaten laufen lassen hat, wo der Staat selbst mal einen Blick auf die Kiste nehmen will.
Es gibt auf der Welt genug Länder die nicht gerade für Menschenrechte oder Demokratie bekannt sind.
Gerade da macht es Sinn einen Server voll zu verschlüsseln.
Wenn man die Daten dann selbst vernichten will, reicht es den Key zu zerstören.
Dann kommt auch keiner mehr an die Daten, da die Verschlüsselungen hier in der heutigen Zeit quasi unknackbar sind.

Martin

[DeletedUserReAsG]

Dass eine Verschlüsselung nicht hilft, wenn der Angreifer physischen Zugriff auf den laufenden Server hat, sollte sich rumgesprochen haben. Da gibt es mittlerweile Möglichkeiten, den Schlüssel aus dem RAM zu extrahieren.