PC-WELT 5/2006: Ergänzung zum Beitrag „Passwort ausgehebelt“

Dieses Thema im Forum "Heft: Fragen zur aktuellen PC-WELT" wurde erstellt von Arne Arnold, 7. April 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Arne Arnold

    Arne Arnold Byte

    Registriert seit:
    8. Juni 2000
    Beiträge:
    64
    Im Kasten „Abwehr: So schützen Sie sich“ auf Seite 57 steht, wie Sie das Anlegen des LM-Hash über eine Änderung unter „Systemsteuerung, Verwaltung, Lokale Sicherheitsrichtlinie“ verhindern.

    Unter Windows XP Home müssen Sie die Einstellung für den LM-Hash in der Registry ändern, da der Menüpunkt in dieser Windows-Version fehlt.

    So gehen Sie vor:
    Wählen Sie „Start, Ausführen“ und geben Sie „regedit“ ein.
    Gehen Sie zu dem Schlüssel „Hkey_Local_Machine\System\CurrentControlSet\Control\Lsa“. Ändern Sie dort den Wert „nolmhash“ auf „1“. Sollte der Wert nicht vorhanden sein, legen Sie ihn als „DWord“ an. Weitere Infos über www.pcwelt.de/1ec.

    Arne Arnold
    PC-WELT
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    :danke:, hätte ich das vorher gelesen, dann hätte ich mir die Mail an euch über das Kontaktformular sparen können. :aua:
     
  3. Zebrafox

    Zebrafox Guest

    Das Beispiel-Passwort "Sommer1968" ist natürlich sehr simpel gewählt. Dadurch bleibt leider ungeklärt wie sicher od. unsicher andere Ideen sind.
    Eine interessante Lösung ist z. B. ein Passcode (-wort im eigentlichen Sinne wäre schon falsch) nach dem sog. mnemonischen Prinzip: Abwechselnd Konsonanten und Vokale verwenden, mind. acht stellig, evtl. mit Ziffern ergänzen.
    Beispiele:
    "yelimaru",
    "weronoso17".
    Es gibt kleine Programme die mnemonische Passcodes erzeugen. Beispiel:
    http://www.tutorials.de/forum/php-tutorials/186905-mnemonisches-passwort.html . (Im Beitrag ganz unten: 2 Zip-Dateien.)
    Für Virenfreiheit und Funktionsfähigkeit kann ich hier allerdings NICHT garantieren, bitte selbst aufpassen, testen.

    Wenn der Passcode abwechselnd aus Buchstaben und Ziffern besteht, dabei noch Groß- und Kleinschreibung abwechselnd, Sonderzeichen dazwischen gesetzt, das ganze mind. acht stellig, ist dies meiner Meinung nach auch keine schlechte Idee (von mir).
    Die Sicherheit beider Lösungen möchte ich hier nicht behaupten sondern nur zur Diskussion stellen.
    Als erstes muss aber mal eine breite Initiative ("Deutschland sicher im Netz") starten die den völlig irreführenden Begriff "PassWORT" abschafft und ihn durch "Passcode" od. "Kennkode" ersetzt, damit die Allgemeinheit begreift das jedes WORT an sich in diesem Zusammenhang schon ein Fehler ist.:)

    Grüße aus Hamburg!
     
  4. masterhalo

    masterhalo Byte

    Registriert seit:
    19. Juli 2005
    Beiträge:
    13
    schaut sich vielleicht mal jemand diesen thread an??
     
  5. medienfux

    medienfux Megabyte

    Registriert seit:
    10. November 2005
    Beiträge:
    1.767
    was willst du? das wir hier euren mist ausbaden? man muss sich beim testen im klaren darüber sein, das es durchaus zu problemen kommen kann. dann beschwert euch bitte nicht und schon gar nicht so aufdringlich.
     
  6. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Nunja, das hat auf das gezeigte "Kackverfahren" keinen Einfluss, da nicht das Passwort an sich, sondern der gespeicherte Hashwert angegriffen wird. Das Problem bei Hashwerten: sie sind nicht eineindeutig, d.h. verschiedene "Passwörter" können den selben Hash ergeben. Damit muss ich nicht "DAS" Passwort finden, sondern nur "EIN" Passwort das passt. Wenn ich den Hash auch noch im Klartext präsentiert bekomme, muss ich nur noch in einer bereits errechneten Tabelle nach diesem Wert suchen - genau das passiert hier. Deswegen muss das Programm versagen, wenn es den Hashwert nicht bekommt (in dem man z.B. die beschriebene Sicherheitsmaßnahme trifft).
     
  7. rudolf80530

    rudolf80530 Byte

    Registriert seit:
    18. März 2006
    Beiträge:
    9
    Mit Ophcrack-LIVE CD booten und vergessene WIN-Passwörter finden. Eigentlich eine gute Idee, denn es gibt Firmen, die nach Ausscheiden eines Mitarbeiters nicht mehr über das Passwort verfügen. Leider scheitert Ophcrack-LIVE CD nicht nur an Umlauten und Sonderzeichen. Wenn das erste Benutzerkonto z.B. ein Umlaut enthält ist bereits Feierabend (ohne jegliche Ausschrift nach Tables 4), obwohl das zweite Benutzerkonto einfach lösbar wäre. Besser wäre, man könnte das zu prüfende Benutzerkonto
    auswählen. Wünschenswert wäre eine Ophcrack-LIVE CD mit der nächsten Version, die auch Sonderzeichen kann.

    :bremse:
     
  8. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Also wenn mich nicht alles täuscht, hat der Netzadmin (am DC) automatisch ein passendes Widerherstellungszertifikat (EFS) + Zugang zum Rechner. Damit sind in dem Zusammenhang doch eh alle Passwortgeschichten hinfällig.
     
  9. CaptainPicard

    CaptainPicard Viertel Gigabyte

    Registriert seit:
    7. Dezember 2003
    Beiträge:
    4.279
    Im Normalfall sollte der ausgeschiedene Mitarbeiter nicht LocalAdmin sein und der Admin das LocalAdmin-PW selbst vergeben haben, somit brauchts noch nicht mal einen Schlüssel für lokale Daten, die Netzwerkdaten liegen eh auf dem Server und machen keinerlei Probleme.
     
  10. rudolf80530

    rudolf80530 Byte

    Registriert seit:
    18. März 2006
    Beiträge:
    9
    So sollte es sein. Aber bei sehr kleinen Firmen kommt es ab und zu vor. Wobei am unvernetzten PC das gleiche Problem besteht.
     
  11. haxti

    haxti Kbyte

    Registriert seit:
    3. Dezember 2005
    Beiträge:
    249
    na dann kann man sie auch glaich vernetzen^^
    :jippie:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen