Passwort ändern

Status
Für weitere Antworten geschlossen.

sowosamma

Benutzer
Mitglied seit
16. Jun 2009
Beiträge
565
Punkte für Reaktionen
0
Punkte
42
Hallo,

ich habe bisher meine DS nur intern genutzt. Jetzt will ich aber den ein oder anderen Dienst auch von extern nutzen. Fremde Benutzer (als Freunde, Verwandte etc.) schalte ich nur temporär frei. D.h. wenn ich weiß dass ein Freund was runterladen will, dann aktiviere ich seinen User nur für 2 oder 3 Tage. Sowohl bei meinen eigenen (admin, mein Win-Benutzer, mein Linux-Benutzer) als auch bei den fremden Nutzern verwende ich sichere Kennwörter.

Trotzdem bin ich jetzt ein bißchen verunsichert, denn nach nicht mal einem Tag mit offenen Ports hatte ich schon Besuch aus Fernost. Die IP wurde auch von der DS wunderbar geblockt.

Sollte man die Kennwörter regelmäßig ändern, auch wenn man sichere Kennwörter verwendet? Mir gehen nur irgendwann die Tiere und Obstsorten aus ;-)
Ie90%dÄf7€! gebildet aus den fett hervorgehobenen Zeichen von „Ich esse 90 % der Äpfel für 7 € !“).

/Andi
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ich bekomme in der Regel alle paar Stunden einen Besuch von Hackern aus aller Welt. Aber solange die IP-Sperre ihren Dienst tut, musst du dein Passwort nicht ändern. Stattdessen alle paar Tage die Übertragungsprotokolle überprüfen und du bist besser geschützt. Ich ändere meine Passwörter ungefähr 2x pro Jahr und hatte noch nie Probleme. Ich hoffe du hast zum deaktivieren der Nutzer schon die Funktion zum zeitgesteuerten deaktivieren gesehen :D

MfG Matthieu
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Sollte man die Kennwörter regelmäßig ändern, auch wenn man sichere Kennwörter verwendet? Mir gehen nur irgendwann die Tiere und Obstsorten aus ;-)

hi Andi,

ja, man sollte. Man sollte möglichst lange (ab 10 Stellen), möglichst unsinnige (auch mit Ziffern und Sonderzeichen) und möglichst singuläre (das Kennwort nur einmal pro Gelegenheit verwenden) Kennworte benutzen. Da man sich das nicht merken kann, und Eselsbrücken ja schon wieder ein wenig 'Sinn' in die Geschichte bringen, ist es sinnvoll, sich die Kennworte generieren zu lassen und sie irgendwo abzuspeichern (weil man sie sonst vergisst). Das Abspeichern - selbst verschlüsselt und per Kennwort geschützt) ist allerdings wieder ein Quelle neuer Gefahren ;) Man muss also immer irgendwo einen Kompromiss finden.

Klar gibt es schützenwerte und weniger schützenswerte Bereiche und man kann da auch Unterschiede bei der Qualität der Kennworte machen.

Eine Idee, die mir persönlich sehr gut gefällt und auch recht durchdacht erscheint ist die Password Card - hier zu finden: Auf einer Karte sind 22 x 11 zufällige Zeichen wie auf einem Schachbrett oder einer Excel-Tabelle eingerahmt von Zeilen-Nummern und Spalten-Buchstaben. Wenn man ein Kennwort braucht, dann positioniert man sich gedanklich auf eine Startposition und kann dann ab dort die Zeichen nacheinander, untereinander, in L-Form oder Rösselsprung ablesen, ganz wie man möchte. Niemand kennt die Methode sowie die Länge des Schlüssels und somit ist die Gefahr des Verlierens, Kopierens usw. vernachlässigbar.

Itari
 
Zuletzt bearbeitet:

sowosamma

Benutzer
Mitglied seit
16. Jun 2009
Beiträge
565
Punkte für Reaktionen
0
Punkte
42
Ich hoffe du hast zum deaktivieren der Nutzer schon die Funktion zum zeitgesteuerten deaktivieren gesehen :D

Nee, gibt's sowas wirklich :p Klar, hab ich das so gemacht. Ist echt klasse. Mein Kumpel hat sich beim Login am WE vertan so dass er gesperrt wurde. Hab ihn dann gestern einfach nochmal für zwei Tage freigeschalten udn gestern war er auf meinem Kistchen (natürlich mit einer neuen IP von seinem Provider).

Danke für den Tip. Dann beobachte ich mal die Protokolle die nächsten Tage ein bißchen genauer an...

/Andi
 

Supaman

Benutzer
Mitglied seit
26. Jan 2007
Beiträge
1.447
Punkte für Reaktionen
0
Punkte
62
mehr sicherheit erreichst du durch ganz einfache tricks:
- nur IPs aus deutschland zulassen (mal davon ausgehen, das nur deine freunde etc zugrifen sollen)
- dem user root keinen ftp/ssh,telnet zugang gewähren
- eingangs ports für ftp/ssh/telnet/auf andere ports umbiegen

damit bremst du crawler aus russland, china etc zuverlässig aus, als login versuchen die root + admin auf den standard ports. die güte des passworts spielt dann nicht mehr eine ganz so grosse rolle.
 

sowosamma

Benutzer
Mitglied seit
16. Jun 2009
Beiträge
565
Punkte für Reaktionen
0
Punkte
42
Da man sich das nicht merken kann, und Eselsbrücken ja schon wieder ein wenig 'Sinn' in die Geschichte bringen, ist es sinnvoll, sich die Kennworte generieren zu lassen und sie irgendwo abzuspeichern (weil man sie sonst vergisst). Das Abspeichern - selbst verschlüsselt und per Kennwort geschützt) ist allerdings wieder ein Quelle neuer Gefahren ;) Man muss also immer irgendwo einen Kompromiss finden.

Da gefällt mir die Eselsbrücke schon besser als das verschlüsselte Speichern. Denn es können auch recht sinnlose Eselsbrücken sein "Ein Grüner Hund Schifft" (Eichel Gras Herz Schellen, die Reihenfolge beim Schafkopfen) ;)

Aber vielen Dank für den Hinweis. Werde das ein oder andere Passwort noch um paar Zeichen erweitern.
 

sowosamma

Benutzer
Mitglied seit
16. Jun 2009
Beiträge
565
Punkte für Reaktionen
0
Punkte
42
mehr sicherheit erreichst du durch ganz einfache tricks:
- nur IPs aus deutschland zulassen (mal davon ausgehen, das nur deine freunde etc zugrifen sollen)
- dem user root keinen ftp/ssh,telnet zugang gewähren
- eingangs ports für ftp/ssh/telnet/auf andere ports umbiegen

Das klingt jetzt sehr interessant.
- Ist die IP ähnlich einer PLZ aufgebaut? Also z.B. alle 200.... kommen aus Fernost?
- Wie kann ich dem root keinen Zugang gewähren?
- Mit umbiegen meinst Du, dass der Nutzer z.B. ftp://meine_Adresse:66 eingibt und der Router den Port 66 auf Port 20 bei der DS umleitet?

/Andi
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0

Supaman

Benutzer
Mitglied seit
26. Jan 2007
Beiträge
1.447
Punkte für Reaktionen
0
Punkte
62
Das klingt jetzt sehr interessant.
- Ist die IP ähnlich einer PLZ aufgebaut? Also z.B. alle 200.... kommen aus Fernost?
- Wie kann ich dem root keinen Zugang gewähren?
- Mit umbiegen meinst Du, dass der Nutzer z.B. ftp://meine_Adresse:66 eingibt und der Router den Port 66 auf Port 20 bei der DS umleitet?

/Andi
ja, ja und ja.

beispiele:
217.*.* -> telekom ip, 80.*.*.* -> arcor - genaue beriech musst du selbst irgendwo nach gucken. wenn man in die logs schaut, sieht man das als login immer root / admin / administrator mit einem standard bzw wörterbuch passwort benutzt wird. entweder abschalten oder die privilegien reduzieren.

sollte man so gemein sein, und einen beliebigen anderen port für einen service benutzen, klappt noch nicht mal der versuch.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
mehr sicherheit erreichst du durch ganz einfache tricks:
- nur IPs aus deutschland zulassen (mal davon ausgehen, das nur deine freunde etc zugrifen sollen)
- dem user root keinen ftp/ssh,telnet zugang gewähren
- eingangs ports für ftp/ssh/telnet/auf andere ports umbiegen
- Das ganze mit IPs hatten wir doch auch schon mehrmals. Es gibt ja auch noch Proxies und Anonymisierungsdienste, die u.U. ihre Server ausserhalb von DE haben.
- Wie adminisrierst du die Kiste, wenn du kein telnet/ssh für root erlaubst? Ich würde den Root Zugriff nur via ssh von extern erlauben und dabei auf eine zertifikatsbasierte Anmeldung setzen (verunmöglicht BruteForce komplett)
- nur das Verstecken löst das Sicherheitsproblem nicht, sondern versteckt es nur. Ich würde keine Applikation als sicher bezeichnen, nur weil die URL oder der Port nicht bekannt ist (mit einem Portscanner und etwas Zeit findet man einen versteckten telnet- oder ssh-Port ohne Weiteres)

Gruss

tobi
 

Supaman

Benutzer
Mitglied seit
26. Jan 2007
Beiträge
1.447
Punkte für Reaktionen
0
Punkte
62
100% sicherheit gibt es nicht, das ist klar. aber wenn man die typischen szenarien analysiert, kann man das ganze erheblich eingrenzen.

das verhaltensschema ist simpel: es werden adressbereiche auf den standard-ports gescannt, mit den usern admin/administrator/root, dann mit wörterbuch bzw bruteforce.

da in den meisten fällen die DS an einer dynamischen ip betrieben wird, ist das zeitfenster recht klein. proxies / anondienste halte ich aus geschwindigkeitsgründen für nicht effektiv. wenn man keine chinesischen freunde hat, kann man den kreis der zugriffberechtigten schonmal um diese Ip bereiche reduzieren.

> Wie adminisrierst du die Kiste, wenn du kein telnet/ssh für root erlaubst?
jeder darf sich einlogen, aber NICHT über root. also login als "johndoe", danach "SU root". erfordert ggf. manuelle änderungen an der config, hab das bisher nur auf normalen linux kisten so gemacht.

> portscanner
die üblichen crawler gehen über masse und scannen max. den unteren bereich. nimm einen port 50.000+ und du bist uninteressant bzw wirst nicht gefunden.

das sind keine allheilmittel, in der summe dürfte die anzahl der angriffe trotzdem auf null gehen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat