PC-WELT 5/2006: Ergänzung zum Beitrag „Passwort ausgehebelt“

Im Kasten „Abwehr: So schützen Sie sich“ auf Seite 57 steht, wie Sie das Anlegen des LM-Hash über eine Änderung unter „Systemsteuerung, Verwaltung, Lokale Sicherheitsrichtlinie“ verhindern.

Unter Windows XP Home müssen Sie die Einstellung für den LM-Hash in der Registry ändern, da der Menüpunkt in dieser Windows-Version fehlt.

So gehen Sie vor:
Wählen Sie „Start, Ausführen“ und geben Sie „regedit“ ein.
Gehen Sie zu dem Schlüssel „Hkey_Local_Machine\System\CurrentControlSet\Control\Lsa“. Ändern Sie dort den Wert „nolmhash“ auf „1“. Sollte der Wert nicht vorhanden sein, legen Sie ihn als „DWord“ an. Weitere Infos über www.pcwelt.de/1ec.

Arne Arnold
PC-WELT

 

, hätte ich das vorher gelesen, dann hätte ich mir die Mail an euch über das Kontaktformular sparen können.

 

Das Beispiel-Passwort "Sommer1968" ist natürlich sehr simpel gewählt. Dadurch bleibt leider ungeklärt wie sicher od. unsicher andere Ideen sind.
Eine interessante Lösung ist z. B. ein Passcode (-wort im eigentlichen Sinne wäre schon falsch) nach dem sog. mnemonischen Prinzip: Abwechselnd Konsonanten und Vokale verwenden, mind. acht stellig, evtl. mit Ziffern ergänzen.
Beispiele:
"yelimaru",
"weronoso17".
Es gibt kleine Programme die mnemonische Passcodes erzeugen. Beispiel:
http://www.tutorials.de/forum/php-tutorials/186905-mnemonisches-passwort.html . (Im Beitrag ganz unten: 2 Zip-Dateien.)
Für Virenfreiheit und Funktionsfähigkeit kann ich hier allerdings NICHT garantieren, bitte selbst aufpassen, testen.

Wenn der Passcode abwechselnd aus Buchstaben und Ziffern besteht, dabei noch Groß- und Kleinschreibung abwechselnd, Sonderzeichen dazwischen gesetzt, das ganze mind. acht stellig, ist dies meiner Meinung nach auch keine schlechte Idee (von mir).
Die Sicherheit beider Lösungen möchte ich hier nicht behaupten sondern nur zur Diskussion stellen.
Als erstes muss aber mal eine breite Initiative ("Deutschland sicher im Netz") starten die den völlig irreführenden Begriff "PassWORT" abschafft und ihn durch "Passcode" od. "Kennkode" ersetzt, damit die Allgemeinheit begreift das jedes WORT an sich in diesem Zusammenhang schon ein Fehler ist.

Grüße aus Hamburg!

 

schaut sich vielleicht mal jemand diesen thread an??

 

was willst du? das wir hier euren mist ausbaden? man muss sich beim testen im klaren darüber sein, das es durchaus zu problemen kommen kann. dann beschwert euch bitte nicht und schon gar nicht so aufdringlich.

 

Nunja, das hat auf das gezeigte "Kackverfahren" keinen Einfluss, da nicht das Passwort an sich, sondern der gespeicherte Hashwert angegriffen wird. Das Problem bei Hashwerten: sie sind nicht eineindeutig, d.h. verschiedene "Passwörter" können den selben Hash ergeben. Damit muss ich nicht "DAS" Passwort finden, sondern nur "EIN" Passwort das passt. Wenn ich den Hash auch noch im Klartext präsentiert bekomme, muss ich nur noch in einer bereits errechneten Tabelle nach diesem Wert suchen - genau das passiert hier. Deswegen muss das Programm versagen, wenn es den Hashwert nicht bekommt (in dem man z.B. die beschriebene Sicherheitsmaßnahme trifft).

 

Mit Ophcrack-LIVE CD booten und vergessene WIN-Passwörter finden. Eigentlich eine gute Idee, denn es gibt Firmen, die nach Ausscheiden eines Mitarbeiters nicht mehr über das Passwort verfügen. Leider scheitert Ophcrack-LIVE CD nicht nur an Umlauten und Sonderzeichen. Wenn das erste Benutzerkonto z.B. ein Umlaut enthält ist bereits Feierabend (ohne jegliche Ausschrift nach Tables 4), obwohl das zweite Benutzerkonto einfach lösbar wäre. Besser wäre, man könnte das zu prüfende Benutzerkonto
auswählen. Wünschenswert wäre eine Ophcrack-LIVE CD mit der nächsten Version, die auch Sonderzeichen kann.

 

Also wenn mich nicht alles täuscht, hat der Netzadmin (am DC) automatisch ein passendes Widerherstellungszertifikat (EFS) + Zugang zum Rechner. Damit sind in dem Zusammenhang doch eh alle Passwortgeschichten hinfällig.

 

Im Normalfall sollte der ausgeschiedene Mitarbeiter nicht LocalAdmin sein und der Admin das LocalAdmin-PW selbst vergeben haben, somit brauchts noch nicht mal einen Schlüssel für lokale Daten, die Netzwerkdaten liegen eh auf dem Server und machen keinerlei Probleme.

 

So sollte es sein. Aber bei sehr kleinen Firmen kommt es ab und zu vor. Wobei am unvernetzten PC das gleiche Problem besteht.

 

na dann kann man sie auch glaich vernetzen^^