Telekom Speedport Passwort

[guennid]

Hmmm,
alldiweil ich mich seit ein paar Tagen gezwungen sehe, die WLAN-Funktionalität eines Speedport 724 zu benutzen, wollte ich jetzt das voreingestellte WLAN-Passwort auf diesem Router (zielich lang, aber alles nur Zahlen) nach allen Regeln der Kunst ändern (Groß, Klein, Zahlen, Sonderzeichen), so wie das die Telekom selbst empfiehlt, und da will das Teil mein Passwort nicht. Ich hab's händisch eingetippt und auch aus einem Editorfenster hineinkopiert. Eine Erklärung etwa derart, dass Zeichen ausgeschlossen sind, habe ich nicht gefunden. Weiß da jemand was?

[edit:]

Aha! Leerzeichen mag er offenbar nicht! Kann es sein, dass das ziemlich bescheuert ist?

Grüße, Günther

[whisper]

Nein, das ist ziemlich schlau!
Leerzeichen können am Tastaturgeräusch erkannt werden, genau wie Enter.
Passphrasen mit Leerzeichen sind kontraproduktiv, das wird dir jeder Sicherheitsexperte besätigen.
Zum Beispiel die Passprase
"Mein Debian ist cool!"
Da kann man an Hand des Tippgeräusches schon erkennen, dass es sich mit ziemlicher Sicherheit um einen Satz mit 4 Worten handelt.
Natürlich kann man anführen, dass dein Wlan Password immer nur unbeobachtet eingegeben wird, das kann aber nicht sicher gestellt werden, vom Entwickler, meine ich

[guennid]

Aha! Interessant!

Gibt's weitere Wortmeldungen?

[MSfree]

Leerzeichen können am Tastaturgeräusch erkannt werden, genau wie Enter.

Und genau wie jede andere Taste auch. Wenn du verhindern willst, daß man Paßwörter über die akkustische Schnittstelle aufzeichnet, mußt du sie mit einem Touchscreen eingeben. Als Entschuldigung für angebliche Sicherheit ist das Sperren des Leerzeichens eher kontraproduktiv.

Allerdings haben so einige Systeme zur Eingabe von Paßwörtern ihre Probleme mit Leerzeichen, weil die Eingaberoutinen Leerzeichen als Ende der Eingabe auffassen und den Rest nach dem Leerzeichen abschneiden.

Um zusätzlich bestimmte Mehrdeutigkeiten bei der menschlichen Zeichenerkennung zu verhindern, verwende ich z.B. nur Zeichen aus dem Bereich:

a bis k
m bis z
A bis N
P bis Z
1 bis 9

Man verhindert dabei, daß bei der Paßworteingabe schlecht unterscheidbare Zeichen wie 0/O und l/1 verwechselt werden. Die paar Sonderzeichen und Umlaute, die man verwenden könnte, erhöhen die Sicherheit weniger als ein ein um eine Stelle längeres Paßwort aus den o.g. Bereich zu nehmen.

[whisper]

Noch ne Ergänzung, mein Beispiel ist übrigens ganz schlechte Wahl, weil es allesamt in Wörterbuchen vorkommenende Begriffe sind, dann auch noch nahe zu meinem Hobby.
Richtig gut sind nur generierte oder wenigstens verschrobene Mehrsprachige Begriffe.
"Train/aCHTeeRBAHN!=Z0ug" sollte da schon etwas besser sein, aber es sind immer noch Mutationen von Wörterbucheinträgen.


Buchstaben nach Leetspeak Manier ist übrigens einer der ersten Mutationen in gängigen Password Crackern.
Also "M31nP4ssw0rt" ist eher sehr unsicher

[guennid]

Ergo 2:1 für "bescheuert?

[whisper]

Leerzeichen können am Tastaturgeräusch erkannt werden, genau wie Enter.

Und genau wie jede andere Taste auch. Wenn du verhindern willst, daß man Paßwörter über die akkustische Schnittstelle aufzeichnet, mußt du sie mit einem Touchscreen eingeben.

Ich meinte damit, dass eine Leertaste anders klingt, als normale Zeichen. Und ja, auf Smartphones gibt es damit sowieso Probleme beim Eingeben.

[DeletedUserReAsG]

Möchtest du eine Liste der Zeichen, die es mit einiger Wahrscheinlichkeit nicht kann? Dürften so 95% der Unicodezeichen sein. Kann es halt nicht - sehe ich aber kein Drama drin. Nimmt man eben ein anderes.

Die Begründung mit dem akustischen Profiling mag zwar zutreffend, wenn auch unerheblich, sein - aber dass das der Gedanke hinter dieser Einschränkung war, wage ich zu bezweifeln.

[BenutzerGa4gooPh]

Herr Imaginär hat ein Haus abgesichert. Einige Fenster hat er zugemauert, vor anderen ist Gitter, die Hautür normal. Ein Loch hat er aus unbekannten Gründen übersehen, kennt es wahrscheinlich gar nicht - oder ist neu.

Ich bin für gesunden Menschenverstand. Mehr als 7 Zeichen, Groß und Kleinbuchstaben, Ziffern und Sonderzeichen. Habe heute auch ein Passwort geändert, weil dieses zweimal Underline beinhaltete. Mit deutscher Tastatur unter der Annahme des Systems einer englischen habe ich ne halbe Stunde gesucht, bis ich drauf kam, warum das Passwort angeblich falsch ist. Nochmal soll es nicht passieren.

Übrigens: Der Ziegenbock hat 2 Hörner und 1 Euter = DZbh2Hu1E. Oder dessen Frau.
(Z und Y sind je nach Tastatur vertauscht, also nicht die beste Idee, Ziegen zu missbrauchen.)

Edit:
Im Übrigen bin ich der Meinung, dass "Passworttresore" dem Gedächtnis nicht förderlich sind und Klartext-Notizen erfordern. Man überlege sich deren Speicherort gut!

[guennid]

Ich nehme in etwa Methode Jana. Textanfänge nehme ich da tunlichst nicht, insofern hat es "Gallia est onmis divisa ..." bisher nicht in eines meiner Passwörter geschafft.

Grüße, ünther

[whisper]

Vielleicht geht das geshiftete Leerzeichen?
Eher nicht, nimm doch + oder so dafür

[guennid]

Im Übrigen bin ich der Meinung, dass "Passworttresore" dem Gedächtnis nicht förderlich sind und Klartext-Notizen erfordern. Man überlege sich deren Speicherort gut!

Das geht runter wie Butter!

dass das der Gedanke hinter dieser Einschränkung war, wage ich zu bezweifeln.

Sie könnten die in ihren Anleitungen wenigstens erwähnen. Tun sie aber nicht, soweit ich sehe.

[rendegast]

(Groß, Klein, Zahlen, Sonderzeichen), so wie das die Telekom selbst empfiehlt, und da will das Teil mein Passwort (20 Zeichen) nicht.

Der Schreiber des Textes und der password-Engine können und werden wohl unterschiedliche Personen sein.

Gibt wohl auch genug Beispiele, in denen lange Paßwörter akzepiert und verarbeitet werden,
die Freischaltung aber mit weniger Zeichen gelingt.
Das kann nur durch Versuchen abgesichert werden,
wobei auch gleich festgestellt werden kann, ob die Site nach Fehlversuchen (auch von mehreren IP) sperrt.


Mit Groß/Klein und Zahlen sollte mensch auf der sicheren Seite sein.
Im PS-Safe ala keepass2 mit einer passenden expire-Zeit versehen zur Erinnerung.
Dieses Vorgehen bevorzuge ich zwecks kontrolliertem Neusetzen,
da die Zwangs-Dialoge der Webseiten gelegentlich nicht gut mit dem PW-Safe zusammenarbeiten.
Der hat dann auch mal Müll abgespeichert statt des neuen PW.

[whisper]

Bitte gebe Dein Passwort ein.
ananas

Entschuldigung, Dein Passwort ist zu kurz!
geschaelte ananas

Entschuldigung, Dein Passwort muss mindestens 1 Nummer enthalten
1 geschaelte ananas

Entschuldigung, Dein Passwort darf keine Leerzeichen enthalten.
50verficktegeschaelteananas

Entschuldigung, Dein Passwort muss Grossbuchstaben enthalten.
50VERFICKTEgeschaelteananas

Entschuldigung, Dein Passwort darf nur Grossbuchstaben enthalten, die nicht aufeinanderfolgend sind.
50VerfickteGeschaelteAnanas DieIchDirInDenArschSchiebe, WennDuNichtEndlichDas VerficktePasswortNimmst!!!

Entschuldigung, Dein Passwort darf keine Satzzeiten enthalten.
JetztWerdIchLangsamRichtigSauer 50VerfickteGeschaelteAnanas DieIchDirInDenArschSchiebe WennDuNichtEndlichDas VerficktePasswortNimmst

Entschuldigung, das Passwort ist schon in Benutzung. Wähle ein anderes!

[rendegast]

[BenutzerGa4gooPh]

Gab es eigentlich schon Brute Force auf Plastikrouter? Oder nur Nutzung von Exploits und unveränderten Standardpassworten/geringe Verschlüsselung ("großzügige" Werkseinstellungen) der Neugeräte.
Diese Risikobetrachtung erscheint mir sinnvoll - bevor man die Komplexität, respektive Sexualität von Spaßworten übertreibt.

[rendegast]

Gab es eigentlich schon Brute Force auf Plastikrouter?

Setz doch einen Honeypot mit den typischen Remote-Konsole-Port auf.

[BenutzerGa4gooPh]

Passwort root oder admin?

[guennid]

@whisper
Herrlich!!!

[MSfree]

Passwort root oder admin?

https://www.heise.de/security/meldung/h ... 79567.html

[Livingston]

Jana, Dein Beispiel mit

Übrigens: Der Ziegenbock hat 2 Hörner und 1 Euter = DZbh2Hu1E.

klingt sehr vielversprechend, aber ein Versuch mit "Zehn zahme Ziegen zogen zehn Zentner Zucker zur Zeche Zollverein" konnte sehr leicht mit üblichen Passwortcrackern ausgehebelt werden.Vielleicht hätte ich "zehn" durch "10" statt "z" ersetzen sollen.

[BenutzerGa4gooPh]

Passworte sind Spassworte: Ein PW-Cracker kann beim ersten Versuch Erfolg haben. (Nur die Wahrscheinlichkeit ist entsprechend gering, jedoch >0.) Mit wenigen Tipps gewinnen manche im Lotto, "Anfängerglueck" ist ja schon sprichwörtlich. Gesunder Menschenverstand und gut: Mann/frau kann/sollte mehrere Zäune aufstellen.

Passwort root oder admin?

https://www.heise.de/security/meldung/h ... 79567.html

Wenn ich mir manche Worte so ansehe ... (*) das Geschlecht des vmtl. ehemaligen Passwortinhabers tippen müsste ... auf die Intelligenz der Trägergruppe dieses Geschlechts schließen woellte ... Ergebnis abgelehnt auf Grund Gutwilligkeit und unzulässiger Pauschalisierung.

(*) Das Wort "auf" spare ich mal wegen leicht voraussehbarer, frecher Kommentare.

Es ist wirklich verwunderlich, wie wenig Systeme die Eingabezeit nach falschen Passworten erhöhen.

[MSfree]

(*) das Geschlecht des vmtl. ehemaligen Passwortinhabers tippen müsste ...

Ich generiere Paßwörter geschlechtsneutral

Code: Alles auswählen

dd if=/dev/urandom count=1 |tr -d -c 'a-km-zA-NP-Z1-9'|cut -b1-12

Das kann sich zwar keiner merken, ist aber auch nur schwer zu raten

[BenutzerGa4gooPh]

Das kann sich zwar keiner merken ...

Dann schreibst du es auf einen Zettel, den deine neugierigen Kinder finden oder in eine Textdatei die Locky findet. Verschlüsselter USB-Stick oder ext. Platte geht ja nicht wg. "Unmerkbarkeit" der Spassworte.

[MSfree]

Dann schreibst du es auf einen Zettel...

Kein Problem, den Zettel kann man ja im Wandtresor einschließen, an dessen Kombination ich mich dann auch nicht mehr erinnern kann