Domino 9 und frühere Versionen > ND6: Administration & Userprobleme

Sicherheit der User-ID-Files

<< < (2/2)

m3:
Eventunnel ist er über dieses Tool gestolpert: http://www.lostpassword.com/lotus-notes.htm

Das Teil geht halt davon aus, dass man Passwörter wie "Barbara" oder "nitram" hat.

Hat sich der Hr. Sicherheitsbeauftragte eigentlich schon hinsichtlich der verwendeten Passwörter Gedanken gemacht (ein kleiner Dictionary Attack auf das Windows AD/SAM-DB offenbart da oft Grausiges).

m3:

--- Zitat von: Münzpräger am 29.05.06 - 19:51:09 ---"Button anklicken und das Passwort ist neu gesetzt".
--- Ende Zitat ---
Eventunnel verwechselt er Notes-ID und Internet-Passwort?

blizzard:
hmm nen tollen sicherheitsbeauftragten habt ihr da, wenn der nicht mal grundlegende dinge weiss. Wohl eher ein Wichtigtuer mit wenig Peilung, oder?

Wolfgang:
Tach zusammen,

bevor auf dem armen Sicherheitsbeauftragten zu sehr rumgehackt wird, sollte man nicht vergessen, daß der möglicherweise für sämtliche Bereiche gleichzeitig zuständig ist.

Neben Notes vielleicht noch für Windows, Unix, zOS, Firewall, Proxy, SAP, Leitungsverschlüsselung und nebenher vielleicht noch für rechtliche Aspekte, Bestimmungen bzgl. Notausgängen, Feuerschutz usw.. Ein Mensch alleine kann da niemals auf jedem Gebiet Fachmann sein. Es ist vermutlich seine Aufgabe, jedem Verdacht nachzugehen und für die jeweiligen Fachleute manchmal vielleicht auch blöd klingende Fragen zu stellen. Anhand unsicherer/unplausibler Antworten wird er schon merken, ob er sich damit näher befassen muß.
Alles auf jedem Gebiet wird auch der Sicherheitsbeauftragte nicht finden können. Ein verantwortlicher Fachmann wird jedoch zuvor schon versuchen, auf seinem Spezialgebiet alle Lücken dicht zu machen. Das ist schließlich auch seine Aufgabe. Nur ... ein Sicherheitsbeauftragter kann sich darauf nicht verlassen und vermutlich aus Erfahrung.

Gruß
Wolfgang

matze79:
Nochmal kurz zu dem Thema ID-Passort: Es gibt genau genommen keines.

Die ID ist mit einem Key verschlüsselt. Wenn man korrekten Key (Passwort) eingibt, werden die Zertifikate innerhalb der ID nutzbar. Die Authentifizierung am Server wird dann anhand der Zertifkate realisiert. Die Komplexität des Keys kannst du per Policy bestimmen.

Anders verhällt es sich beim Internet-Passwort. Hier steht im Personendokument wirklich ein Hash. Ähnlich wie bei AD, SAP etc.

Navigation

[0] Themen-Index

[*] Vorherige Sete