IT-Sicherheit 3/2003 Seite 38
Die Organisatoren der IT-Sicherheitskonferenz Infosecurity Europe 2003
haben in London eine interessantes Experiment durchgeführt. Sie beauf-
tragten ein paar gut aussehende junge Damen damit, im Bahnhof
Waterloo Station Berufspendler zu fragen "Wie lautet Ihr Passwort?"
und als Gegenleistung einen billigen Kugelschreiber anzubieten.

75 Prozent der Passanten hatten keine Skrupel, diese Frage direkt zu
beantworten. Bei anderen half ein kleiner "Umweg" mit einer Frage
z.B. "In welche Kategorie fällt Ihr Passwort?" So verrieten weitere
15 Prozent der Befragten das "absolute Geheimnis". Selbst wenn
einige der so Überrumpelten die Unwahrheit gesagt haben - was
nur zu hoffen ist - bleibt bei den IT-Sicherheitsbeauftragten ein
"flaues Gefühl im Magen".

REM1: Eigentlich nichts Neues :D - die Antwort-Rücklaufquote auf
Mails wie "Hier spricht Visa - in unserer Datenbank hat sich ein Fehler
eingeschlichen - bitte klicken Sie auf nachstehenden Link und
übersenden uns zum Abgleich Ihre Kreditkartennummer und Kennung"
sichert ein Leben ohne Arbeit.

REM2: Die Frage an mich ".. Ihr Passwort.." hätte erstmal zu
endlosen Diskussionen geführt - aktuell habe ich 38 Stück :ugly:

REM 3: Kuli einsacken und Passwort ändern...


@lx-ben: du hast es aber heute mit den passwörtern, oder?


Cheers
Michael

Mein PW ist überall: test oder test123, manchmal auch blume1, blume2 usw.





























:ugly:

lx-ben: du hast es aber heute mit den passwörtern, oder?
Gut beobachtet :) - habe praktische Fälle als Schwerpunkt
gepostet: Vor kurzem hatte hier jemand einen Beitrag
geschrieben, dass Admins an einer Uni mit Wörterbuch-
suche 40 Prozent der Kennwörter beanstandeten - also bei
den Menschen, von denen künftig unsere Renten abhängen. :D

Aber so richtig angekommen scheint mir das Risiko damals
nicht. Sachnachtrag: Aktuell sollte man/frau mindestens
8-stellige Kennwörter mit Buchstaben/Ziffern/Sonderzeichen
gemischt vergeben und mindestens halbjährlich wechseln -
jedenfalls dann, wenn es ins Geld gehen kann.

Bei uns ist das Standard-PW die Matrikelnummer und die kann ein PW-Knackprogramm natürlich noch viel schneller durchprobieren als irgendwelche Wörter die aus 26 oder mehr verschiedenen Zeichen bestehen...
Beim einzigen wichtigen PW braucht man allerdings mindestens 7 Zeichen, eine Zahl und einen Großbuchstaben, also etwa Test123 :D

Hi hiTCH-HiKER wegen "Bei uns ist das Standard-PW die Matrikelnummer":
Wenn jemand jetzt noch herausbekommt welche Uni, dann gibt das schon
wieder jede Menge neuer Pubs.. :D

das coolste passwort ist immer noch <enter>

Ich hätte der ein falsches Passwort gesagt und den Kugelschreiber eingesackt!

btw: die hätte sich können mein Passwort sowieso nicht merken! :ugly:

cu

Jochen

Jaja, die PWs, meines im Amt habe ich mir gerade gemerkt, da kann ich es schon wieder ändern. Die Admins haben sich ein neues Sicherheitskonzept einfallen lassen, die W2K-PWs haben nur noch 6 Wochen Gültigkeit :(
Aber dafür sind die Internet-Exploder immer noch ungepatcht, da schlagen auf dem heise-Browsercheck (http://www.heise.de/security/dienste/browsercheck/) die ältesten bekannten Sicherheitslücken an. Naja, der IE soll bei Neuinstallationen jetzt eh durch Netscape ersetzt werden, ob ich den Wintendo-Jüngern mal sagen soll, daß AOL die NS-Entwicklung eingestellt hat? :D :D :D

@Spike
He! der Trick mit dem Kuli war von mir! ;)

Gern genommen sind auch immer Wochentage, gefolgt von irgendwelchen weiteren Buchstaben:

freitaga
freitagb
freitagc
freitagd
.
.
.

Sind 8 Buchstaben, und ist immer anders als die 25 Vorgängerpasswörter...:ugly:


Cheers
Michael

Original geschrieben von fons
das coolste passwort ist immer noch <enter>

Das ist gut. Auf die Idee bin ich noch nicht gekommen und mit Brutforce
sicher nicht so leicht zu knacken.:confused:



Dirk

Protest gegen Linuxforen.de

Original geschrieben von fons
das coolste passwort ist immer noch <enter>
Joh, reversible Pueschologie :ugly:

Das Geld einfach auf dem Tisch liegen lassen, da kommt keiner drauf, dass es da liegt, gell? Ich melde mich freiwilig als Testperson fuer diese Strategie (d.h. das Geld stiftest Du ;) ).

Hmm,

Samsara

ich überlege mir oft einen sinnlosen Sartz und nehm dann die anfangsbuchstaben, dann noch ein paar sonderzeichen:

Satz: Was ist wohl das Lieblingsessen von Linus Torvalds? Pizza!

dann das pw:
x_WiwdLvLT?P!

wenns härter sein soll:
noch n bisschen umformen, " " ist ein . etc

Was 1st wohl das Lieblings- Essen 4on Linus 7orvalds?.Pizza!

und das password dann:

!_W1wdL-E4L7?.P!

das ist dann schon ultrahart. Da hilft dann nicht mal mehr das so bekannte Auf-Die-Finger-Schaun bei Passworteingabe, weil keiner sich sowas merken kann.

noch einfacher als bei msi gehts, wenn man sich den Satz nicht selber ausdenkt, sondern irgendeine herumliegende Zeitschrift nimmt, und da einen Satz aussucht.
Das hat ausserdem den Vorteil das man die Zeitschrift noch ein paar Wochen rumliegen lassen kann, bis man sich den Satz tatsächlich gemerkt hat.

JA ja die Netten Damen die das Passwort raushauen. Ich muss jetz auch mal wieder aktualisieren. :D :)

heute passwort generaländerung ;]