Discussion:
Kennwort-Sterne
(zu alt für eine Antwort)
Marco Moock
2024-05-22 14:34:25 UTC
Permalink
Hallo zusammen!

Manche Programme geben bei Kennwörter keine Sterne/Punkte aus, aus
Sicherheitsgründen.
Was außer der Geschwindigkeit der Eingabe und Backspaces kann ein
Angreifer da abgreifen?
--
Gruß
Marco

Spam und Werbung bitte an ***@nirvana.admins.ws
Ralph Aichinger
2024-05-22 16:02:23 UTC
Permalink
Post by Marco Moock
Manche Programme geben bei Kennwörter keine Sterne/Punkte aus, aus
Sicherheitsgründen.
Hast du schon mal HCL Notes (ehemals Lotus Notes) verwendet? Eines
der irritierendsten Misfeatures dieses Produkts ist, dass pro
Tastendruck nicht ein Stern/Punkt, sondern nach dem Zufallsprinzip auch
mal 2 oder 3 angezeigt werden. Für mich ist das derart irritierend, dass
ich beim Tippen wegschauen muß, oder die Augen zumachen.
Post by Marco Moock
Was außer der Geschwindigkeit der Eingabe und Backspaces kann ein
Angreifer da abgreifen?
Ich vermute bei all diesen Konstrukten eine fortgeschrittene Form des
Sicherheitstheaters.

/ralph
Herbert Kleebauer
2024-05-22 16:21:27 UTC
Permalink
Post by Marco Moock
Manche Programme geben bei Kennwörter keine Sterne/Punkte aus, aus
Sicherheitsgründen.
Was außer der Geschwindigkeit der Eingabe und Backspaces kann ein
Angreifer da abgreifen?
Was meinst du mit Angreifer? Jemand der neben dir steht und
den Bildschirm aber nicht die Tastatur sieht? Der weiß dann
halt nicht wie lang das Passwort ist. Wenn man nämlich sieht,
dass das Passwort nur ein Zeichen lang ist, kann man ja
mal probieren, es zu erraten.
Marco Moock
2024-05-22 17:21:41 UTC
Permalink
Post by Herbert Kleebauer
Was meinst du mit Angreifer? Jemand der neben dir steht und
den Bildschirm aber nicht die Tastatur sieht? Der weiß dann
halt nicht wie lang das Passwort ist. Wenn man nämlich sieht,
dass das Passwort nur ein Zeichen lang ist, kann man ja
mal probieren, es zu erraten.
Kann man doch über die Tastatur hören.
--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws
Herbert Kleebauer
2024-05-22 17:29:26 UTC
Permalink
Post by Marco Moock
Post by Herbert Kleebauer
Was meinst du mit Angreifer? Jemand der neben dir steht und
den Bildschirm aber nicht die Tastatur sieht? Der weiß dann
halt nicht wie lang das Passwort ist. Wenn man nämlich sieht,
dass das Passwort nur ein Zeichen lang ist, kann man ja
mal probieren, es zu erraten.
Kann man doch über die Tastatur hören.
Wenn jemand hinter dir steht, kannst du ja ein paar
Zeichen mehr, gefolgt von der selben Anzahl Backspace,
eintippen, um dein 1-Zeichen-Passwort zu verschleiern.
Oder zwischendurch mal ein <CTRL>-Z.
Marco Moock
2024-05-22 17:39:41 UTC
Permalink
Post by Herbert Kleebauer
Wenn jemand hinter dir steht, kannst du ja ein paar
Zeichen mehr, gefolgt von der selben Anzahl Backspace,
eintippen, um dein 1-Zeichen-Passwort zu verschleiern.
Zumindest das könnte ich akustisch von den anderen Tasten
unterscheiden.
--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws
Peter J. Holzer
2024-05-22 18:16:57 UTC
Permalink
Post by Herbert Kleebauer
Wenn jemand hinter dir steht, kannst du ja ein paar
Zeichen mehr, gefolgt von der selben Anzahl Backspace,
eintippen, um dein 1-Zeichen-Passwort zu verschleiern.
Oder zwischendurch mal ein <CTRL>-Z.
Wohl eher Ctrl-U (kill). Ctrl-Z ist normalerweise susp, das wäre beim
Login ein Self-DOS (wird login aber vermutlich abfangen, oder es ist
noch gar nicht gesetzt).

hp
Herbert Kleebauer
2024-05-22 19:05:11 UTC
Permalink
Post by Peter J. Holzer
Post by Herbert Kleebauer
Wenn jemand hinter dir steht, kannst du ja ein paar
Zeichen mehr, gefolgt von der selben Anzahl Backspace,
eintippen, um dein 1-Zeichen-Passwort zu verschleiern.
Oder zwischendurch mal ein <CTRL>-Z.
Wohl eher Ctrl-U (kill). Ctrl-Z ist normalerweise susp, das wäre beim
Login ein Self-DOS (wird login aber vermutlich abfangen, oder es ist
noch gar nicht gesetzt).
<CTRL>-z macht einfach die letzte Eingabe rückgängig, d.h.
das bisher getippte Passwort wird gelöscht (in Windows).
Peter J. Holzer
2024-05-22 19:37:32 UTC
Permalink
Post by Herbert Kleebauer
Post by Peter J. Holzer
Post by Herbert Kleebauer
Wenn jemand hinter dir steht, kannst du ja ein paar
Zeichen mehr, gefolgt von der selben Anzahl Backspace,
eintippen, um dein 1-Zeichen-Passwort zu verschleiern.
Oder zwischendurch mal ein <CTRL>-Z.
Wohl eher Ctrl-U (kill). Ctrl-Z ist normalerweise susp, das wäre beim
Login ein Self-DOS (wird login aber vermutlich abfangen, oder es ist
noch gar nicht gesetzt).
<CTRL>-z macht einfach die letzte Eingabe rückgängig, d.h.
das bisher getippte Passwort wird gelöscht (in Windows).
Für mich war Marcos Frage so klar auf Programme für ein
Unix-Text-Terminal bezogen, dass ich gar nicht an Windows gedacht habe.

hp
Marco Moock
2024-05-22 19:52:07 UTC
Permalink
Post by Peter J. Holzer
Post by Herbert Kleebauer
Post by Peter J. Holzer
Post by Herbert Kleebauer
Wenn jemand hinter dir steht, kannst du ja ein paar
Zeichen mehr, gefolgt von der selben Anzahl Backspace,
eintippen, um dein 1-Zeichen-Passwort zu verschleiern.
Oder zwischendurch mal ein <CTRL>-Z.
Wohl eher Ctrl-U (kill). Ctrl-Z ist normalerweise susp, das wäre
beim Login ein Self-DOS (wird login aber vermutlich abfangen, oder
es ist noch gar nicht gesetzt).
<CTRL>-z macht einfach die letzte Eingabe rückgängig, d.h.
das bisher getippte Passwort wird gelöscht (in Windows).
Für mich war Marcos Frage so klar auf Programme für ein
Unix-Text-Terminal bezogen, dass ich gar nicht an Windows gedacht habe.
Da gibt es das zwar, aber auch bei Cisco-Geräten und bei LUKS.
--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws
Peter J. Holzer
2024-05-22 17:49:39 UTC
Permalink
Post by Marco Moock
Manche Programme geben bei Kennwörter keine Sterne/Punkte aus, aus
Sicherheitsgründen.
Ich vermute, dass das eher Faulheits- pardon: Effizienzgründe waren.
Das Echo kann man einfach ausschalten und ganz normal eine Zeile lesen.
Um Sternchen auszugeben, muss man außerdem jedes Zeichen einzeln lesen
und Backspace und Kill selbst behandeln. Warum sollte man das tun, wenn
es auch einfacher geht?
Post by Marco Moock
Was außer der Geschwindigkeit der Eingabe und Backspaces kann ein
Angreifer da abgreifen?
Die Länge des Passworts. Passwörter waren damals (wir sprechen hier von
70er- oder vielleicht frühen 80er-Jahren) auf maximal 8 Zeichen
beschränkt und die meisten User hatten keine zufälligen
Zeichenkombinationen als Passwort. Wenn man da die ersten 2 oder 3
Tastaturanschläge sieht und dazu die Länge des Passworts, dann kann man
den Rest oft erraten.

hp
Loading...