nachdem ich mich heute wieder über die Passwort Policies meines Arbeitgebers grün und blau geärgert habe mal ein Frage in die Runde ob niemand da ein Hilfmittel kennt.
Ich würde mir einen USB Dongle (Fingerprint rReader ??) wünschen, welcher sich als Keyboard zu erkennen gibt (kein Treiber notwenig) dieser sollte auf Knopfdruck ein bestimmtes - einzuprogramierendes - Tastaturmakro (also mein Passwort) senden.
Grundsätzlich kein Problem sowas zu basteln, aber falls der freundliche Chinese sowas im kleinen Gehäuse anbietet, würde ich zuschlagen.
Sagt ehrlich, die in unserer IT sind total krank: PW mindestens 15 Stellen, zwingend Groß & Kleinbuchstaben & Zahlen & Sonderzeichen gemischt, zwangsweise regelmäßige Änderung, keine Wiederholung innerhalb eines gewissen Zeitraumes oder reale Wörter erlaubt.
Finde da mal was, das auch an zyrillischen und englischen Tastaturen funktioniert.
Total Irr, beim Eintippen brichst dir die Finger, paar mal falsch schon ist der Account gesperrt. Zum entsperren mußt man sich identifizieren lassen, einfach so bei der Hotline anrufen ist nicht.
Dabei wäre es, wenn man weiß wie (aber das kann ich jetzt nicht hier schreiben) total einfach das System auszuhebeln.
Ist irgendwie als ob man eine 2m Dicke 5m hohe Mauer baut damit nur ja niemand darüberkommt. Dabei aber vergessen das man ganz einfach darum rumlaufen kann.
Was wäre die Welt ohne KeePass . Ich kann mir ca. 120 Passwörter der verschiedenen Systeme nicht merken. Und mit „20 Zeichen generiert, 4 aus 4“ merkt man schnell, welche Webseiten das nicht können :D, z.B. die PIN beim Online-Banking :eek:.
Ich sach nur PKI Anmeldung, „haben und wissen“ ist eh’ besser und da ist die PIN auch einfacher/kürzer zulässig :). Aber der nPA wird ja auch nicht wirklich sinnvoll genutzt :(.
Fast richtig, ein bisl Sxxxxxx Mief haben wir schon noch in den Hallen.
Keypass: Ja das ist eien große Hilfe, aber nur privat.
Wennst in die blöde Firmenkiste net reinkommst dann hilft dir das beste Passwortarchiv nix. Weil da kommst dann auch nicht ran.:rolleyes:
… und hast dein PW dann endlich erfolgreich geändert so dauerts wieder einige Zeit bis es alle Rechner in der Domain mitbekommen haben. Inzwischen haben dich dann diverse Autologons schon wieder ausgesperrt. Wieder alles zu und der Tanz beginnt von neuem.
Nichtmal den armen Hotline-Maxl kannst zu Sau machen weil der kann auch nix dafür. Die bösen Security Kaspern die im Hintergrund die Fäden ziehen sind unbekannt und unerreichbar.
So, mußte mal bisl Dampf abgelassen, es geht wieder besser.
bb
LOL - ist bei uns fast auch so. Der einfachste Trick ist ein PW mit Zahlen zu verwenden und diese bei Wechsel hochzuzählen. Die IT Jungs machen das nicht ohne Grund, die meisten User gehen schlampig mit den PWs um…
Da macht man sichs aber einfach.
Warum gehen denn so viele User schlampig mit ihren Passworten um?
Das Problem ist doch die Ursache, warum dies passiert.
Kein Mensch kann sich 50 Passworte merken. Und schon garnicht, wenn die Bürokraten ein 20-stelliges Passwort mit Zahlen, Gross- und Kleinschreibung, sowie Sonderzeichen verlangen, dass auch noch wöchentlich geändert werden muss.
Das wird dann doch als Zettel am Rechner unter die Tastatur gelegt.
Oft wird von den Bürokraten auch vergessen, was das Passwort denn schützen soll. Ist es der Zugang im Büro, dass dein Kollege nicht mal schnell dein PC nutzt, oder ist es z.B. eine Sperre, dass niemand aus dem Netz dein Passwort knacken kann.
Ich hatte mal so einen Stick mit einem Passwort-Safe. Das war aber auch so kompliziert, dass er schnell in die Ecke geflogen ist.
Ich kenne diese Problematik nur zu gut
X verschiedene Passwörter.
Ich habe irgendwann auch mit Keepass angefangen, die DB habe ich mit einem 20 Stelligen Kennwort verschlüsselt, welches ich mir vernünftig merken kann und eine kopie davon liegt im Bankschliesfach.
Keepass läuft dann auf allen meinen Rechnern und wird regelmäßig mit einer DB auf einem Netzlaufwerk syncronisert, seit dem habe ich für jede aber auch wirklich jede Anwendung / Internetseite ein eigenes Kennwort und ich ägere mich schon das einige Sites nur max 8 Stellen oder keine Sonderzeichen erlauben
Es geht hier doch nicht um das übliche Privatuser-Problem, wie man sich die Passwörter von 50 verschiedenen Websites merkt. Unternehmen bauen doch Single Sign On auf, damit sich das auf ein sicheres PW beschränkt. Das kann man sich doch merken! Hilfestellung wird bei uns meist dazugegeben, bspw der Trick mit dem Satz den man sich merken kann…
Also ich beobachte bei uns folgendes: Die Passwortvorgaben werden immer wilder und mittlerweile schreibt hat fast jeder seine Passworte auf Zettel und legt die irgendwo am Rechner ab. Sehr sinnig. Durch die ganze Sicherheitssoftware geht auch ne Menge produktive Zeit verloren.
1Password - synchronisiert über alle Rechner und Mobilgeräte, eingebunden in den Browser, erkennt wen man ein PW eingibt und speichert dies gleich. Und kann es bei Bedarf auch eintragen^^
Ausserdem kann man da auch andere Sachen hinterlegen wie Softwarelizenzen Kreditkartendaten, PINs, etc…
Für mich unersetzlich.
Für Firmenumgebugen kann man dann sowas wie Secret Server nutzen.
Davon abgesehen ist es immer noch wahrscheinlicher, dass mir jemand einen Trojaner unterjubelt und ein PW ausspäht, als das jemand in meine Wohnung einbricht und das PW unter der Tastatur abschreibt
In Firmenumgebungen sieht das natürlich anders aus…
Gruß
Martin (einer der bösen Passwortrichtlinienvorgeber)
Also wenn ich eine böse feindliche Firma wäre und bei uns vertrauliche Daten klauen wolllte, dann würde ich einfach einen Mitarbeiter einschleusen. Wir suchen eh dauernd Leute und finde keine.
oder ich würde mir irgendjemand internen suchen und dem genug Geld auf Konto überweisen. Fertig.
Ist doch sehr viel einfacher als von exteren einzubrechen und dann irgendwo im unbekannten 1000de Server umfassenden Datennirvana nach relevanten Informationen zu suchen.
Pfff, das traust du dich auch noch zu sagen, geh weg, weit.
Aber zurück zum Thema, kennt jemand so einen Tastatur-Eingabe-Fake USB Stick ?
Du könntest mal Robofom probieren, es kann Internet- aber auch Anwendungspasswörter eingeben, kann auf einem U3-USb-Stick installiert werden und hat einige Plugins die ganz nett sind. Ich habe davon zwar auch ne Lizenz, nutze es aber nicht mehr, weil ich kein Android-Plugin dafür bekommen habe. Seit dem nutze ich Lastpass… allerdings muss man dafür das vertrauen haben die ja wirklich sensitiven Daten einem Internet-Dienst zu übergeben…
