Windows 8: Einloggen per vierstelliger PIN

Heute habe ich mit der Release Preview von Windows 8 ein bisschen herumgespielt. Interessant fand ich die Verknüpfung mit einem live-Account, der mein Benutzerkonto online synct. Nette Idee, hat aber den Haken, dass ich mich mit dem Passwort meines Live-Accounts auch am Rechner anmelden muss. Das ist bei mir ein Problem, da ich ausschließlich den Keepass Passwortmanager für meine Passwörter nutze und somit Passwörter habe, die ich mir nicht merken kann. Um das zu umgehen bietet Windows 8 zwei praktische Funktionen. Zum einen den Login per PIN, den ich hier beschreibe. Und zum anderen den Login per Bild, zu dem ich noch kommen werde. Ich nutze für das folgende Tutorial ein Englisches Windows 8, die Scritte sind aber auf Deutsch recht ähnlich.
Windows 8: Einloggen per vierstelliger PIN weiterlesen

omengo – Passwortlängenbegrenzung auf maximal 12 Zeichen

Letztens hatte ich noch über Microsoft Office 365 berichtet, welche nur 16 Zeichen Passwörter zulassen, heute bin ich auf einen Onlineshop gestoßen, der sogar nur 12 Zeichen und keine Sonderzeichen zulässt. Auf omengo.de gesehen:
Omengo: Passwortlängenbegrenzung auf 12 Zeichen ohne Sonderzeichen

Da frage ich mich ja: Warum?

Die einzige logische Erklärung: Für die Passwörter wird kein Hashing-Mechanismus verwendet, sodass die Tabellenspalte eben einfach nur 12 Zeichen hergibt und man das deswegen begrenzen muss.
Wenn Hashing verwendet wird, dann ist es einfach nur sinnbefreit, denn der Unterschied der CPU-zeit von 12 auf 64 Zeichen eines Passworts ist vernachlässigbar (aus meiner Sicht, man möge mich korrigieren). Ein Gedankengang noch: 2010 hatte Heise geschrieben, dass man mindestens 12 Zeichen in einem Passwort verwenden sollte. Das war 2010, die Rechnergeschwindigkeit ist ja nicht stehen geblieben.

Letztendlich sollte man sowieso unterschiedliche Passwörter für jeden Onlineshop verwenden, dennoch nervt es mich, wenn ich in meinem Passwortgenerator von den Standardmäßigen 20 Zeichen auf 12 Zeichen umstellen muss, damit ich ein passendes für einen Onlineshop habe…

So genug geflucht 😉

Microsoft Office 365 – Passwortlängenbegrenzung auf maximal 16 Zeichen

Soeben habe ich meinen ersten Microsoft Office 365 Account bekommen und musste bei der Änderung meines initialen Passworts erstmal lachen. Laut und Herzlich. Aber seht selbst:

Passwörter kann man also nur in den Längen von 8-16 Zeichen erstellen, was meines Erachtens in der heutigen Zeit einfach Quatsch ist. Eine Begrenzung auf 64 Zeichen kann ich verstehen, um die Systemlast für die Passwortverschlüsselung gering zu halten (und selbst da lach ich drüber), aber 16 Zeichen ist einfach ein Witz.

Security-Probleme mit OpenSSL von Debian

Gerade eben habe ich von auf heise.de in einem Artikel von Schwachstellen in OpenSSL unter Debian gelesen. Vorweg: Das Security-Problem betrifft alle Betriebssysteme (auch Windows) und ist daher durchaus ernst zu nehmen. Manchmal (nein eigentlich ja immer) bin ich ja dankbar, dass ich ein Gentoo fahre…denn nur Debian-Derivate erzeugten im Zeitraum September 2006 bis Mai 2008 (also immer noch) unsichere Schlüssel und erlauben Angreifern somit ein mitschneiden und dekodieren des Datenverkehrs. Das Problem in Openssl betrifft auch SSH-Zugänge, SSL-Verbindungen für Mail, DNS, Jabber und Webserver. Wer ein Debian fährt, sollte auf jeden Fall diesen Artikel von Heise lesen, der einige Lösungsmöglichkeiten anbietet. Hab bei mir grad alles durchgetestet, dankbarerweise sind soweit keine Probleme zu sehen 😉

WordPress > 2.5 absichern

Gerade eben habe ich auf heise.de einen Hinweis zur Absicherung der neuen WordPress Versionen größer 2.5 gelesen. Seit 2.5 gibt es einen neuen Login-Mechanismus, dessen Daten durch einen „SECRET_KEY“ extra geschützt werden. Bei einer Neuinstallation wird dieser automatisch in der wp-config.php gesetzt, bei einem Update ist dies nicht der Fall.
Dieser kann jedoch einfach gesetzt werden. Man öffne zunächst eine Seite der WordPressmacher, die einen solchen SECRET_KEY erzeugt. Anschließend muss man die wp-config.php öffnen und eine folgenden Zeilen suchen, die sich je nach Sprache unterscheiden:
Englische Installation:

/* That’s all, stop editing! Happy blogging. */

Deutsche Installation:

/* Das war`s, ab hier bitte nichts mehr editieren! Happy blogging. */

Nun fügt man vor (!! sehr wichtig !!) dieser Zeile die von der WordPressseite erstellte Zeile ein. Und gut is 🙂

eeePC-Sicherheit fragwürdig – Integrierter Samba per Hack angreifbar

Easy to learn, Easy to work, Easy to root.

Man fragt sich manchmal, was sich ein Hersteller bei manchen Dingen denkt…Asus schafft es immer wieder, diesen Gedanken bei mir zu wecken. Vor etwa einem Jahr wurde von dem beliebten SMB-Server und -Client „Samba“ die Version 3.0.24 veröffentlicht, welche mit einigen Angriffsmöglichkeiten versehen ist (Betroffene Versionen: 3.0.0 – 3.0.25rc3). Derzeit aktuell ist die Version 3.0.28 (erschienen am 10. Dezember 2007), welche diese Bugs natürlich behoben hat.
Die Tester von RISE Security konnten die angeschlagene Version 3.0.24 nun auf dem eeePC entdecken und darüber Root-Zugriff auf dem integrierten Xandros erlangen. Derzeit steht auch noch kein Update für Samba seitens Asus zur Verfügung…
eeePC-Sicherheit fragwürdig – Integrierter Samba per Hack angreifbar weiterlesen