Domino 9 und frühere Versionen > ND6: Administration & Userprobleme

Domino-Passwörter unzureichend geschützt?

<< < (3/4) > >>

datenbanken24:
Die ganze Meldung erscheint mir ebenfalls ein wenig suspekt.
Auch der Workaround-Vorschlag ist mit  Vorsicht zu betrachten :
Persönlich riecht das für mich wieder nach einer "Ich will meine unbekannte Firma bekannt machen - koste es was es wolle - Aktion"

Erstens
kenne ich keinen Grund das N&A direkt für Browser-Zugriffe zu öffnen.
iNotes, DWA, Webmail greifen zwar alle aufs N&A zu,
aber trotzdem kann das Directory in allen Fällen für Webzugriffe vollkommen dicht sein:
ACL Advanced Option: "Maximum internet name and password access: NoAccess"


Zweitens,
gibt es seit Domino 5 die Sicherheitsoption der sogenannten "gesalzenen" Internet-Passwörter, Internet-Hashs.
Das heißt, ein gleiches Passwort im Personendokument wird immer in einen anderen Hashcode umgesetzt. Die Rückverfolgung vom Hash zum Passwort geht dann meines Wissens mit dem PW Cracker nicht mehr, der kann nur die ungesalzenen (Standard) cracken

Zur Info:
So sieht ein ungesalzener Hash im Directory aus:
(C72630165BD0F9F185FAB71868FC98D8)

Und so ein gesalzener:
(F4hgwz5/kls/83DEvZhB)

Die Option findet man im Directory / Actions / Edit Directory profile
"USe more secure internet passwords"

Drittens,
der Workaround ist der Hammer
steht es bei Heise wörtlich genau so rum, dass man das Feld fürs Web öffnen soll


--- Zitat ---Feldern $dspHTTPPassword und HTTPPassword in den Eigenschaften "Hide paragram from" die Option "Web browsers" abzuwählen.

--- Ende Zitat ---
Da hat entweder der Übersetzer gepatzt oder ...?

Und einfach mal so eine Maskenoption des N&A zu ändern,

--- Zitat ---Formulareigenschaften "Generate HTML for all fields abgeschaltet werden”
--- Ende Zitat ---

hui - viel Spaß damit, mit diesem Workaround fängt man sich hundert mal Fehler ein, als die man behebt.

Gruß,
Uwe

Christopher:
Hm also das ganze ist doch ein alter Hut und wurde auch schon mal ausführlich beschrieben siehe:

http://www.it-audit.de/assets/artikel/com/Hackerziel_Domino.pdf

Semeaphoros:
Uwe, die gesalzenen und gepfefferten Passwörter gibts sogar schon seit R4.6, das wurde 1997 eingeführt, das nur der Vollständigkeit halber, der Rest steht ungefähr so ähnlich wie du es beschreibst in der von mir verlinkten Technote.

datenbanken24:
Jou Jens - nur im besagten Artikel findet man eben kein einziges Wort darüber, z.B. als Workaround-Vorschlag.

Salzige Grüße,
Uwe

Semeaphoros:
Ja, das Problem steckt ua. darin, dass bei IBM der Fall gar nicht erst bei den richtigen Leuten deponiert wurde, das Security-Team hat erst durch die Veröffentlichung von dem Fall erfahren, deshalb sind die Angaben, die angeblich von IBM stammen, derart ungenau, um nicht geradezu zu sagen, fahrlässig unvollständig bis gefährlich.

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete