[sage] Und da war es weg, das Passwort

Christoph Wegener christoph.wegener at guug.de
Tue Sep 2 19:09:10 CEST 2008 

Andreas Jellinghaus wrote:
> Für Mich: lieber ein langes zufallspasswort nutzen - und das im PC 
> Passwortsafe speichern, als ein kurzes dingerl, das dann dauernd
> abgetippt werde muss.

Naja, etwas gesagt würde ich sagen, denn: Der Malware ist es ***egal, 
wie lang Dein Passwort nun sein mag.

> Den Passwort Safe auf ein externes Gerät verlagern ist fein. Den RSA Key
> auf eine Smart Card verlagern (bzw. gleich da zu erzeugen) auch. Beides
> aber deutlich besser, als die einfache Passwörter ohne Safe.
> 
> "physikalisch getrenntes Device" - einen Palm oder ein Handy? Die 
> synchronisieren doch, haben bluetooth, wlan oder GSM/UMTS. Da ist
> die Sicherheit eher, das es so viel verschiedene gibt, und hoffentlich
> kein Hacker sich mit dem Gerät der eigenen Wahl beschäftigt, oder?

Also ich gebe nicht gerade das Passwort für mein Wallet ein, wenn sich 
das Handy synchronisiert - an AES oder ähnlichem darf sich gerne jeder 
mit Brute Force versuchen. Bleibt das Restrisiko Handy-Speicher, aber 
auch das kann man durch Booten vor dem Sync erledigen - ist sowieso 
manchmal besser (je nachdem, welches Telefon man sein Eigen nennt).

> OTP dongles von RSA wären natürlich auch physikalisch getrennte Devices.
> Die hat Peter Koch aber als cryptische Uhren entlarvt - Algorithmus
> bekannt, das Geheimnis nicht einstellbar, dafür aber auf allerhand
> Papier wie Lieferscheinen gedruckt, und muss auch noch auf Servern im
> Klartext hinterlegt werden, soweit ich das verstanden habe (weis nicht,
> ob RSA da nachgebessert hat).

Die Story ist alt und: Ja, haben sie.

> Kurz: Nutzlos ist der Passwort Safe auf dem PC nicht, die alternative
> sind besser, Probleme bleiben aber immer. :(

Stimmt auffallen, aber die liegen -wie Snoopy schon sagte- eigentlich 
ganz woanders. Wir jammern hier gerade auf sehr hohem Niveau...

JM2C
Christoph
-- 
Dr. Christoph Wegener (CISA, CISM, CBP)
Vorstandsmitglied / Member of the Board

German Unix User Group (GUUG) e. V.
Bachemer Str. 12
D-50931 Koeln
Germany

More information about the SAGE mailing list