[sage] Und da war es weg, das Passwort

Wed Sep 3 12:02:06 CEST 2008

Moin Liste,

Joerg Mertin <smurphy at solsys.org> writes:

> Ja - kann ich hier bestaetigen. Die wirklich guten Admins denen ich in meiner 
> Laufbahn begegnet bin - kann ich fast an den Fingern meiner Haende abzaehlen.
> Und es sind meistens nicht die Studierten ...

was hätte auch das Studium damit zu tun?  Da lernt man sicherlich eine
ganze Reihe von interessanten Sachen, aber was einen guten Admin
ausmacht, muss man schon selbst mitbringen: Vorsicht,
Verantwortungsbewusstsein, systematische Fehlersuche, die Fähigkeit,
mit -- oft genug auch nicht akademischen -- "Dumm-Usern" vernünftig
reden zu können und eine gehörige Portion Verständnis, wo die eigenen
Grenzen liegen.

Aber das nur so ganz am Rand...

Also, zu den Passwörtern ein paar Kommentare:

Wie sicher Krypto ist, lässt sich leider immer nur in einer Richtung
beantworten, und zwar dann, wenn man im Nachhinein feststellt, dass
sie nicht so sicher war, wie man gedacht hat.  Selbst das als "sicher
bewiesene One-Time-Pad" ist nicht sicher, weil es davon ausgeht, dass
ich eine "kryptographisch sichere Zufallsquelle" habe.  Und dass man
deren Sicherheit nicht beweisen kann, fand sich glaube ich schon bei
Knuth, (Art of Computer Programming II) vor fast 40 Jahren.

Der Verlust von Passwörtern und ähnlichem ist immer wieder ein
riesiges Problem.  Das Stichwort "Key Escrow" hat ja schon vor Jahren,
in der vor-Schäuble-Ära, einen ausgesprochen bitteren Beigeschmack
bekommen, aber in Firmennetzen *muss* sowas in irgend einer Form sein.

Manchmal ist ein "Medienbruch" der Sicherheit sehr förderlich: Die
Variante, dass Root-PWs in versiegelten Umschlägen in einem Mini-Safe
für ein paar hundert Euro deponiert werden, ist durchaus
bezahlbar. Wenn zu dem Safe nur ein Nicht-Admin Zugang hat, also im
Zweifelsfall der entsprechend eingewiesene Wachmann am Eingang, dann
kommt man da relativ schnell zu einer praktikablen Lösung.

Andere Variante, wenn's schon mit einem Rechner sein muss: Ein
USB-Stick als Boot-Medium (ab 4.90 Euro beim PC-Ramscher um die
Ecke...), mit einem netzwerkbefreiten Kernel aber allem, was man sonst
für seinen Rechnerzoo an Treibern braucht.  Mit dem Ansatz lassen sich
problemlos Certificate Authorities für SSL und sowas bauen, und wenn
man nicht gerade in die falschen Länder damit einreisen will, dann
lässt sich das auch deutlich besser transportieren als ein Safe.  Da
kann man auch bei Bedarf noch seine anderen Passwörter etc. drauf
deponieren.

Egal was man macht, man sollte sich immer an den lokalen Bedürfnissen
orientieren.  Denn wenn man die nicht trifft, wird das ganze als
Schikane empfunden und die Leute arbeiten drumherum, eben weil sie
nunmal ihre Arbeit machen wollen.

Viele Grüße,

    Benedikt

-- 
Benedikt Stockebrand, Dipl.-Inform.   http://www.benedikt-stockebrand.de/