Gute Passwoerter?!

Am 25.08.2014 11:14, schrieb Johannes Bauer:

Da musst du mal bei phoronix gucken, die sind da wohl ganz nah dabei.

Am 23.08.2014 19:44, schrieb Frank Buss:

Rechenzeit kostet heutzutage nichts mehr.

(in Verbindung mit Salt, um Rainbow-Tabellenangriffe zu vermeiden).

Rainbowtabellen angewiesen und da fehlen oft bestimmte character.

die versagen aber bei bestimmten nationalen Artikulationen wie z.B.

Zertifikatespeicher, TPM-Chips usw. gibt es.

O.J.

Chipkarte weg oder defekt und du kommst nirgendwo mehr rein bis du

Login per Fingerabdruck.

denen Zweit-SIM-Karten an andere als den Besitzer des Originals verschickt wurden.

andere, schwerwiegende Nachteile hat.

Gerrit

Deswegen haben ja alle angesprochenen KDF auch einen variablen Lastfaktor.

Na ob die Verwendung von Umlauten jetzt eine geeignete Verteidigung ist,

werden wollen und das kostet Zeit und Geld. Und die helfen auch nur beim Angriff gegen algorithmisch schlecht designte Systeme.

Zertifikate sind keine Geheimnisse. Man braucht keine Spezialhardware um

speichern.

Hast du mal ein TPM-Modul angesteuert und darin den Key zu einen Zertifikat gespeichert? Das dann als Client-Zertifikat verwendet um dich mit verschiedenen Applikationen (z.B. Browser) gegen einen Server zu authentifizien?

Ich vermute mal nein. Denn "einfach anzuwenden", wie Frank schrieb, ist ein TPM-Modul ganz sicher nicht.

Johannes

Dann geht der Spass los. Ein Password, egal wie lang, kann ich notfalls auf einen Zettel schreiben und den in einen Tresor legen. Auf gutem

und ist von den Nachfahren ohne spezielle Hardware lesbar.

wichtige Keys abzulegen.

Gerrit

Am 25.08.2014 13:04, schrieb Johannes Bauer:

z.B. den Aladdin eToken...

speichern, dass man sie anwenden kann ohne dass sie die Hardware verlassen. So gesehen sind es doch Geheinmisse.

der, dass Du Zertifikate "benutzen" kannst ohne sie Deiner Gegenstelle offenzulegen.

eigentlich garnicht so genau wissen, was das eigentlich ist.

Softwarekopierschutzfraktion drin. Prinzipiell sollte

die Anwendung schmerzfrei.

O.J.

Ein TPM-Modul bietet es gar nicht an, ein Zertifikat darin zu speichern,

du das auch eindeutig.

Ein Zertifikat besteht aus drei Teilen: Metadaten (CN, OU, etc.), einem

Konkatenation von beidem.

Du scheinst das zu verwechseln mit Zero-Knowledge Krypto. Das ist aber ein komplett anderes Thema.

gleichenm einem normalen Nutzer absolut nicht zuzumuten.

nicht wirklich (dass man sich an jedem Eck im Internet mit Passwort irgendwo einloggen muss).

Johannes

aktuellen (selbstgebauten) Kernels kompiliert das NVIDIA-Zeugs nicht bzw.

kernel.org, keine development-Versionen per git). Andersrum geht es auch:

nachgepflegt).

Bei ATI oder Intel nimmt man (wenn die Karte nicht *zu* neu ist) einfach die Open-Source-Treiber der Distribution und es tut alles wie es soll - Multimonitor, 3D, Video. Ich bins damals auf Radeon gewechselt, als es die ersten gescheiten Open-Source-Treiber gab und habe das bisher nicht bereut.

AMD-Treiber dicke ausreichend und stabil.

Die Closed-Source-Treiber von AMD sind allerdings eher eine Qual - da ist NVIDIA zugegeben besser.

cu Michael (Radeon HD 3450, 1* 1920x1200 DVI + 1* 1600x1200 VGA)

DRI: Ja. Dualhead per xrandr geht problemlos.

cu Michael

Hallo Johannes,

Du schriebst am Mon, 25 Aug 2014 10:06:47 +0200:

te? Sicher, man kann ein Anfangs-Passwort nehmen und das laufend weiter

angs-Code

n.

und kennt den

nde Folge berechnen.)

Hallo Gerrit,

Du schriebst am Mon, 25 Aug 2014 13:02:29 +0200:

els einer

(Aber das werden wir evtl. in absehbarer Zeit hierzulande realiter erfahren

Hallo Ole,

Du schriebst am Mon, 25 Aug 2014 18:01:16 +0200:

...

kerung

nicht

die

ngigkeiten,

ten

ist es.

einer (kein Aussenstehender) darf wissen, was da drin wirklich passiert, aber

et und immer

den meisten (angeblich) nicht mal der Hersteller.

Z.B. auf gibt's username/Passwort-Kombinationen, die sich wer

werden. Diese sind offen einsehbar, ja, ohne Registrierung.

kryptographische Ungeschicklichkeiten -- ist ja egal.

Thomas Prufer

Am 25.08.2014 19:04, schrieb Johannes Bauer:

stehlen.

Bei den Begriffen bin ich wohl nicht so sattelfest. Mit "Zertifikat" meine ich das Komplette, z.B. meine eigene RootCA incl. privater

Sry, siehe oben. Ich meinte auch die Private Keys und ggf.

Siehe Oben, Korrektur: Der Unterschied zwischen Zertifikaten und

ohne den Private Key Deiner Gegenstelle offenzulegen.

Das ist bei X509 so.

gestohlen werden kann, alternativ einen OTP Generator.

- Chipkartenleser mit eingebauter Tastatur sind sperrig. Es hat sich abseits von HBCI kein handlicher Standard etabliert.

werden.

- Hardware Token a'la RSA SecuriD bzw. OTP Listen funktionieren halbwegs, aber auch da gibt es keine offenen Standards, die

Die feste Bindung Token->Server macht die Sache nicht universell.

Verbindung zu einem (Anderen Server/USB/BlueTooth/ZigBee) Hardware- Dingsbums aufbauen, optionales Login auf das Hardware-Dingsbums, Eventuell mit CAPTCHA,Challenge/Response, Zertifikat, OTP oder Ticket Authentifizierung mit dem Server (notfalls mit Copy/Paste), Verwaltung

Apps die QR Codes vom Bildschirm abfilmen und Vodafone meldet Dich dann an?

Kennt vielleicht jemand OSS Projekte, wo versucht wurde/wird

zu entwickeln? Wie sieht dann die Schnittstelle zum Rechner aus?

O.J.

der nur dem Token und dem Backend bekannt ist. Davon nimmt man dann die letzten Paar Bits und zeigt die im Display an.

hast du mit einer sechsstelligen Zahl erst etwa 20 Bit, da fehlen dir aber noch 108 Bit um auf den internen Zustand des Tokens zu kommen.

Johannes

Am 26.08.2014 09:16, schrieb Ole Jansen:

Es ist nicht ganz was du meinst, aber es gibt da z.B. OpenID

Thorsten

beschreiben habe. Es ist schon sinnvoll, trennscharf zu betrachen was

CN, OU ist X509, das ist richtig. Aber auch CV-Zertifikate (ISO7816) sind exakt so gestrickt. GPG-Zertifikate sind exakt so gestrickt. WAP TLS Zertifikate sind so gestrickt.

Metadaten, Signatur).

Leider nur tote oder halbtote :-/

Der YubiKey sieht ganz gut aus, den kenne ich aber auch nicht im Detail.

ssh-login einen Keygenerator geschrieben (symmetrisch rotierend mit AES128), das war ein Cortex M3 USB Stick das sich als Keyboard gemeldet und das Passwort "eingetippt" hat. War aber auch sperrig und verwende ich jetzt nicht mehr.

Johannes

Informationen im Netz. Das Problem ist eher, dass es niemanden interessiert, weil die meisten Leute schlicht nicht die Zeit haben, sich technisch in solche Details einzuarbeiten.

Ja, finde ich auch sehr seltsam. Teilweise braucht man schon einen NDA

zu haben. Also fallen schonmal alle US-Firmen weg. Da bleiben nicht

Johannes

nvidia-Treiber aber nicht. Und den verwende ich unter Linux jetzt schon

Naja, da musst du aber auch ehrlicherweise sagen, dass nvidia schon

Dann hat X nachgezogen und NVidia halt erstmal zugeschaut, bis sie auch migriert sind. Also ist deine Geschichte nur die eine Seite der Medaille.

X-Konfigs auch *echt* einfach gemacht, eine funktionierende Config zu

musste!

soll auch nicht ruckeln wenn komplexe Sachen angezeigt werden.

Aber nachdem ihr jetzt beide Loblieder auf die OpenSource AMD Treiber gesungen habt gebe ich denen vielleicht wirklich mal ne Chance.

Johannes