[Announce] Passwoerter auf trash.net

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hi all, dies ist eine sehr wichtige Mitteilung an alle, die Passwoerter brauchen um sich irgendwo einzuloggen. Passwoerter sind genau so gut, wie sie nicht herauszufinden sind. Passwoerter sind eine Thematik, der viel zuwenig beachtung geschenkt wird... Deshalb moechte ich Euch einiges ueber diese Thematik sagen und auch einige Neuigkeiten auf trash.net ankuenden, die sich mit der Thematik befassen. Es hat zeigt sicht, dass rund 20 - 30 % der Passwoerter, die verwendet werden, gecknackt werden koennen. Diese Zahl ist nicht aus der Luft gegriffen. Diese Zahl konnte ich auf trash.net wie auch auf unserem ETH Cluster (+1000 User) verifizieren. Erschreckend, nicht?!? Die Problematik Passwoerter umfasst mehrere Gebiete: + ein Passwort muss einfach merkbar sein. !!! NEIN, aufschreiben ist nicht ideal :=) + ein PW muss trotzdem eine gewisse laenge haben. + ein PW darf NICHT leicht zu erraten sein + ein PW darf nicht durch einfaches Probieren (20 Versuche) knackbar sein. ( auch wenn ich Vorname, Geburtsdatum, Name der Freundin mami papi etc kenne) Ihr fragt euch sicher: Haelt uns Lukas fuer bloed? Nein, ich finde nur, dass dieser Thematik der Sicherheit zuwenig Beachtung geschenkt wird. Und wie gesagt, die 20% konnte ich auf meinen Maschinen verifizieren!!! Das grosse Problem sind die erratbaren Passwoerter. Wenn ich alle 4-6 stelligen Buchstabenkombinationen probieren wuerde, ware ich lange an der Arbeit. Es gibt jedoch spezielle Passwort-Knacker (Crack, WinCrack etc), die eine riesiges Woerterbuch umfassen. Der Cracker probiert dann mit diesem Programm einfach alle X-10'000 Kombinationen durch... Gute Programme versuchen zusaetzlich noch eine Zahl hinten und vorne ranzuhaengen. (blah18 oder blah! werden gerne verwendet) Diesen Missstand moechte ich beheben. Ich habe deshalb ein neues Passwort Programm (passwd) installiert, dass ein PW ueberprueft, bevor es akzeptiert wird. (dauert auf stinky etwas... nur nciht verzweifeln) Anfangs duerfte es sicherlich einige Muehe bereiten, ein PW zu waehlen, denn das Programm ist ziemlich strikt. (beinah Paranoid :=) Es beinhaltet alle Dinge, die fuer ein sicheres Passwort unabdingbar sind. Naemlich: * Das Passwort muss mindestens 6 Buchstaben lang sein. * Das Passwort darf login, Vorname / Nachname, GID, UID nicht beinhalten * Das Passwort muss ein Sonderzeichen enthalten. zuletzt wird das Passwort mit einer Datenbasis mit ueber 200'000 Eintraegen verglichen. Ueber UNIX-Commands, StarTrek und MonthPython und Koran Sprueche, Familiennamen, PLZ und amerikanische Praesidenten seit George Washington ist da ziemlich alles enthalten. Ich moechte Euch deshlab alle auffordern, das Passwort zu aendern. So koennt Ihr sicher sein, dass nicht jemand Euer Passwort erraten kann. Dies zu Eurer Sicherheit und der Sicherheit von trash.net!! Neben dem Passowrt selbst gibt os ncoh einige andere Dinge die beachtet werden muessen. Ein Passwort sollte alle 3-6 Monaten geaedert werden. Deshalb fordert Euch stinky beim einloggen nach 4 Monaten auf, das PW zu aendern. Dass PW MUSS auf der Shell geaendert werden... ansonsten koennt Ihr weder FTP noch Mail auf trash.net machen! Ein gutes Passwort ist jedoch noch lange nicht Garant, dass es niemand rausfindet. Passwoerter, die beim Login via Telnet ftp und POP eingegeben werden, passieren das Netz unverschluesselt. Deshlab empfehle ich DRINGENST, SSH (SecureShell) zu benuetzen. So, das waere die kleine Einfuehrung in Passwortsicherheit gewesen. Weiterfuehrende Literatur findet sich unter: http://www.stack.nl/~galactus/remailers/passphrase-faq.html Auf http://world.std.com/~reinhold/diceware.html wird eine rel. mathematische aber trotzdem coole Variante zum erwuerfeln eines guten Passwortes gegeben. Ich moechte Euch an dieser Stelle auch auffordern, die Methode die Ihr benoetigt, um ein Passwort zu merken, auf Talk zu diskutieren. Wir koennen sicher alle voneinander Lernen!! Gruss und schoen Auffahrt Lukas +------------------------------------------------------------------------+ Lukas Karrer Email: lkarrer(a)trash.net WWW: http://www.trash.net/ +------------------------------------------------------------------------+ Check out the stinkiest site on the web! Get a sniff from www.trash.net