Posts Tagged ‘Passwort’

Sonntag, 3. Dezember 2017

Totemo: Informationssicherheit nicht begriffen

Da will ich mir als Empfänger einer verschlüsselten E-Mail ein Konto auf einer Totemo Secure Mail-Appliance einrichten, und dann das:

image-7597

Fazit: Informationssicherheit nicht begriffen. Ungenügend, setzen.

Tags: , , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 5. März 2017

Ärgernis: Passwortfelder, welche kein Copy & Paste zulassen

Wer nur ein Quäntchen Sicherheitsbewusstsein besitzt, setzt heute Passwortmanager ein und verwendet für jeden Web-Service ein einzigartiges Passwort. Die besten Passwortmanager klinken sich mittlerweile auch mittels Erweiterungen in die Web-Browser ein und erlauben es so, Login-Formulare auf Knopfdruck auszufüllen, ohne dass man noch manuell Copy & Paste machen muss.

Ich verwende 1Password.

Leider scheint diese Technologie noch nicht bei allen Web-Entwicklern angekommen zu sein. Immer wieder stosse ich in meinem Alltag auf Web-Sites, bei denen minderbelichteter, selbsternannter „Security-Spezialist“ entschieden hat, dass Copy & Paste in eine Passwort-Feld ganz, ganz, ganz pöhse ist und deshalb unterbunden werden muss.

Was für mich bedeutet, dass ich das kryptische, 16-stellige Passwort von Hand abtippen muss. Oder aber ich mache mir das Safari Web-Developer-Menu und die JavaScript-Konsole zu nutze und setze das Passwort-Feld halt mit JavaScript-Befehlen (in der Konsole funktioniert Copy & Paste problemlos):

Zuerst finde ich die DOM ID des Passwort-Feldes heraus …

image-7213

… dann wechsle ich in die Konsole und setze den Passwort-Wert:

image-7214

Anschliessend klicke ich in der Web-Ansicht auf „Login“. Et voilà!

Tags: , , , , , ,
Labels: Web

2 Kommentare | neuen Kommentar verfassen

Montag, 23. Mai 2016

Passwort eines Asus RT-AC66U per SSH zurücksetzen

Die Idee war rückblickend doch nicht so genial, das Benutzerpasswort meines Asus RT-AC66U mit Merlin-Firmware ein Sonderzeichen enthalten zu lassen.

Glücklicherweise hatte ich meinen öffentlichen SSH-Schlüssel auf dem Router hinterlegt und konnte mich so zumindest per SSH einloggen. Einmal auf der Kommandozeile, führte ich folgende Befehle aus:

# nvram show | grep http_passwd
http_passwd=?einganzlangespasswort
# nvram set http_passwd="12345678"
# nvram commit

Quelle: DD-WRT :: NVRAM

Anschliessend funktionierte der Login über die Web-Oberfläche wieder.

Tags: , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 22. Mai 2016

Nicht sicherheitsbewusste Web-Entwickler …

js_preventpaste
image-6698

… verwenden bei Passwortfeldern in ihren Web-Formularen über CSS-Klassen aktivierte JavaScript-Helper wie js_preventpaste, damit ich meine Passwörter ja nicht 24 kryptische Zeichen lang machen, in 1Password ablegen und mittels Mausklick automatisiert mit simuliertem Copy & Paste in dein bescheuertes Formular einfügen kann!

Gratuliere. Du hast deine Web-Applikation gerade schnell mindestens hundert Mal sicherer gemacht. NOT.

Tags: , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 17. Januar 2016

MySQL meldet Fehler 2049

Vor einigen Wochen habe ich im Zuge eines apt-get upgrade MySQL auf meinem Linux-Server zu Hause aktualisiert. Wie gelegentlich der Fall resultierte das Update in einem Kollateralschaden. In meinem PHP Error-Log las ich nach dem Update für einige meiner Web-Applikationen folgendes:

MySQL returned error #2049: Connection using old (pre-4.1.1) authentication protocol refused (client option 'secure_auth' enabled)

Nach etwas Googeln stellte sich heraus, dass einige meiner MySQL-Benutzer ihr Passwort noch mit einem uralten MySQL-Hash in der Datenbank liegen hatten:

Support for pre-4.1 password hashes is removed in MySQL 5.7.5. This includes removal of the mysql_old_password authentication plugin and the OLD_PASSWORD() function.

Quelle: 6.1.2.4 Password Hashing in MySQL

Nachdem ich die Klartext-Passwörter im PHP-Code der Applikationen ausfindig gemacht hatte, änderte ich diese mittels phpMyAdmin in den MySQL-Benutzertabelle und verwendete dafür die PASSWORD()-Funktion.

Noch ein FLUSH PRIVILEGES, und die Web-Applikationen funktionierten wieder ohne Murren.

Tags: , , , , ,
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Montag, 16. März 2015

Das WiFi-Passwort einer Withings WiFi-Waage WS-30 anpassen

Kürzlich habe ich die WLAN-Infrastruktur zu Hause umgestellt und betreibe nun einerseits ein Legacy-Netz mit 802.11n auf 2.4 GHz sowie ein 802.11ac/n-Netzwerk, welches auf 5 GHz funkt.

Um Geräte zu finden, welche kein 5 GHz funken können, benannte ich das Legacy-Netz um („…-LEGACY“). Und siehe da, der ZyXel-Adapter des Raspberry Pi Dashboards musste umkonfiguriert werden wie auch der Fujitsu ScanSnap-Scanner. Erst einige Tage nach der Umstellung realisierte ich beim Wägen meines Gewichts dann auch, dass die Withings WS-30 offenbar auch keinen 5 GHz-Funkchip verbaut hat.

Doch wie setze ich das WiFi-Passwort der Waage neu? Nach dem vielmaligen Betätigen der Setup-Taste an der Unterseite der Waage, viel pröbeln mit der Smartphone App, einem Besuch des cloud-basierten Web-Dashboards des Herstellers und dem Download eines Mac OS X-Clients fand ich dann endlich die Lösung, vergraben in Withings Knowledgebase:

I want to update the Wi-Fi configuration on my Wireless Scale, WS-30

Kurz: Man tut so, als würde man die Waage über die Smartphone-Applikation neu installieren, beachtet dann aber die Angaben auf dem Smartphonebildschirm und zweigt im Konfigurationsdialog am richtigen Zeitpunkt ab. Damit klappte die Verbindungsaufnahme der Waage mit dem WiFi dann innert wenigen Sekunden.

Tags: , , , , , ,
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 26. März 2009

Kein Christ und doch gegen den Biometrie-Pass

Gestern hat die Rundschau mit dem Beitrag über Biometrische Pässe einen neuen Tiefpunkt erreicht (Dank: irgendein Twitterer da draussen). Zwanghaft wurde versucht, die Gegner des biometrischen Passes mit einer christlichen Sekte in Verbindung zu bringen. Anstelle dass die Sendung auf Fakten basiert die Vor- und Nachteile des neuen Passes aufgezeigt hätte (was im Grunde ja der gesetzliche Auftrag des Staatsfernsehens ist und womit nicht zuletzt auch unsere Billag-Gebühren begründet werden), versuchte man – wohl der Schlagzeile wegen – krampfhaft, alle Gegner in dieselbe Liga wie Saseks christlicher Fundi-Sekte „Organische Christus-Generation“ einzureihen. Wer gegen den verchippten Pass sei, so wurde unterschwellig suggeriert, sei wie Sasek & Co. auch Anhänger der Grossfamilie, gegen Homosexuelle, fürchte den Genozid an religiösen Minderheiten, möchte die Einpflanzung eines Chips in seinen Körper verhindern und habe Angst, dass der Staat seine Bürger mit diesem Chip non-stopp (wie auch immer) überwachen kann.

NEIN!

Obwohl ich mich mit Saseks Sache keinen Millimeter weit anfreunden kann, bin auch ich gegen die Einführung des biometrischen Passes. Als wohl eines der wenigsten Ländern dieser Welt hat die Schweizer Bevölkerung im Mai 2009 die Möglichkeit, über die Erfassung biometrischer Merkmale all seiner Bürger durch den Staat abzustimmen. Aus meiner Sicht bringt diese Datensammel-Wut ausser Spesen rein gar nichts. Weder können durch den verwanzten Pass Terror-Attacken verhindert werden, noch gestaltet sich die Ein- und Ausreise in paranoide Länder einfacher. Im Gegenteil: Um den neuen Pass zu erhalten, muss ich wohl einen halben (oder je nach Wohnort gleich einen ganzen) Arbeitstag freinehmen, um mich Abzulichten und Fingerabdrücke anfertigen zu lassen. Für den ganzen Gspass zahle ich dann noch deutlich mehr als es für die alten Pässe der Fall war. Abgesehen von solchen ökonomischen und praktischen Problemen geht es mir aber auch ums Prinzip: Jeder Schweizer soll selber entscheiden dürfen, ob er sich den Biometrie-Pass antun will/muss (ich kann mir durchaus vorstellen, dass sich nicht wenige Geschäftsleute für den High-Tech-Pass entscheiden werden, um rascher durch die Zollkontrollen zu kommen) oder weiter mit seinem alten, immerhin „maschinenlesbaren“ Pass in der Weltgeschichte rumgurken will. Und ja, lieber Staat – dann nehme ich halt auch in Kauf, dass ich statt in 5 Minuten halt in 20 Minuten durch den Zoll komme und vorher im Heimatland noch ein Visum beantragen muss. Sollen diese Biometrie-Pass-Fundis nur eine anständige Visums-Bürokratie in ihren Botschaften aufbauen …

Die NZZ weist in ihrem Leitartikel (Zufall, dass er ausgerechnet am Tag nach der journalistischen Betriebsunfall im Leutschenbach erscheint?) noch auf einen weiteren Punkt hin:

Stein des Anstosses ist der Umstand, dass die biometrischen Daten auf einer zentralen Datenbank beim Bundesamt für Polizei gespeichert werden sollen. Der Schengen-Acquis fordert derlei nicht. Also ist nicht einzusehen, warum jeder Passbesitzer seine persönlichen Daten dem Staat übergeben soll. Die Begründung des Bundesrates, die zentrale Speicherung erschwere die missbräuchliche Verwendung von Pässen, genügt nicht, um die informationelle Selbstbestimmung derart einzuschränken. Umfassende Datenbanken wecken nach aller Erfahrung Begehrlichkeiten. Auch wenn die Regierung einstweilen versichert, dass die Daten nicht für Fahndungszwecke verwendet werden sollen, ist dies in Zukunft nicht auszuschliessen.

Quelle: Die Position der NZZ

Die Attacke der Rundschau auf die Gegner ist ein Nebenkriegsschauplatz und hat mit seriösem Journalismus kaum mehr etwas gemein. Pfui SF! Nehmt euch ein Beispiel an derjenigen Postille, die mitten im Wettkampf um den besten boulevardschen Ausrutscher und im Kampf gegen Gratiszeitungen noch ein klein wenig Journalismus und eigenes Denkvermögen an den Tag legt.

Nachtrag: Man sollte zudem auch skeptisch sein, ob dieser Pass tatsächlich nie von unerlaubten Dritten ausgelesen werden kann. Das Schweizer Fernsehen rettet die verloren gegangene Ehre mit folgendem Beitrag in einer der wenigen Sendungen, für die sich das Gebührenzahlen noch lohnt:

Quelle: «Sind die Daten auf dem E-Pass sicher?»

Tags: , , , ,
Labels: Politik, Schweiz

2 Kommentare | neuen Kommentar verfassen

Donnerstag, 20. September 2007

E-Mail-Passwort vergessen, aber noch in Outlook gespeichert

Heute war ich wieder auf einem Support-Einsatz bei einem Bekannten. Er hatte sich einen neuen Laptop gekauft, den er neben seiner älteren Workstation als Zweitgerät nutzen wollte.

Als ich seine zwei E-Mail-Konten (Bluewin und GMail) auf dem neuen Gerät in Outlook einrichten wollte, konnte er sich partout nicht mehr an das GMail-Passwort erinnern? Was nun?

Die Passwort Recovery-Funktion war leider nicht zu gebrauchen, da er wohl bei der Einrichtung von GMail keine Zweitadresse angegeben hatte, auf die das Passwort in solchen Fällen gesendet werden sollte. Auch die Frist von 5 Tagen Inaktivität in solchen Fällen konnten und wollten wir nicht verziehen lassen.

Deshalb entschied ich mich für das letzte noch verbliebene Hintertürchen: Da auf der Workstation das GMail-Konto mit POP-Abruf unter Outlook eingerichtet war und das Passwort dank dem lebensrettenden Häkchen gespeichert wurde, konnte ich mich eines Netzwerk-Sniffers bedienen:

SniffPass v1.02

Einziger Haken: GMail spricht nur verschlüsselt mit pop.gmail.com. Da nützt kein noch so toller Sniffer etwas. Als ich die Verschlüsselung deaktivierte, entdeckte der Sniffer weiterhin nichts. Unverschlüsselt verweigert der GMail-Server anscheinend von vorneweg den Dienst.

Die letzte Hoffnung erwies sich als begründet: Ich änderte den Posteingangsserver des GMail-Kontos in Outlook auf pop.bluewin.ch. Unlogisch, nicht? Nej, denn dieser Server hat zwei tolle Eigenschaften, die sich in diesem Notfall als äusserst nützlich erwiesen:

  • Er akzeptiert unverschlüsselte POP3-Verbindungen
  • Er akzeptiert jeden Login-Benutzernamen

Letzteres ist meines Wissens so eingerichtet, um Spammern das Leben zu erschweren: Wenn der Server nämlich brav Auskunft gibt, ob ein Benutzername (= oftmals die Mail-Adresse selbst) auf dem Server existiert, lässt sich relative rasch eine Attacke mit Wortlisten durchführen und erhält so eine Liste gültiger Mail-Adressen. (Ich mag mich bei dieser Begründung aber auch irren …)

Da der Benutzernamen offensichtlich akzeptiert worden war (so dachte es jedenfalls das gute, alte Outlook 2003), fuhr die Applikation fort, das Passwort zu übermitteln. Mangels Verschlüsselung geschah dies im Klartext – wunderbar, genau, was ich wollte! Und siehe da, einige Hundertstelsekunden später stand es in der Liste der von SniffPass abgefangenen Passwörter.

Auftrag erfüllt, der Kunde überglücklich – und das Passwort jetzt auf einem Papier als Gedächtnisstütze notiert.

Tags: , ,
Labels: Allgemein

4 Kommentare | neuen Kommentar verfassen