Autor Thema: Sicherheit der User-ID-Files  (Gelesen 3356 mal)

Offline muenzpraeger

  • Junior Mitglied
  • **
  • Beiträge: 59
  • Geschlecht: Männlich
Sicherheit der User-ID-Files
« am: 29.05.06 - 19:51:09 »
Hallo!

Ich 'streite' mich gerade etwas mit unserem betrieblichen Sicherheitsbeauftragten.

Er stellt die Sicherheit einer User-ID-File insofern in Frage, als dass es gewisse externe Programme gibt, die diese 'knacken' können. Soweit ich weiß, gibt es ja das ein oder andere BruteForce/Dictionary-Tool....aber das nenne ich ja nicht 'richtig' knacken. Er meint eher etwas à la "Button anklicken und das Passwort erscheint direkt im Klartext" oder "Button anklicken und das Passwort ist neu gesetzt". So etwas ist allerdings aus meiner Sicht Humbug.

Wie seht Ihr das? Könnt Ihr mir ggf. Links auf entsprechende Artikel/Literatur im Web an die Hand geben, damit ich dies entsprechend entkräften kann.

Weiterhin habe ich in der ServerConfig auch aktiviert, dass das Notes-Passwort überprüft wird. Somit könnte mit einer entwendeten ID auch kein Unfug getrieben werden...

Grüße,
Münzpräger
---------------------------------------------------------------

#moveOn

Offline blizzard

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.183
  • Geschlecht: Männlich
  • Admin from hell :-)
Re: Sicherheit der User-ID-Files
« Antwort #1 am: 29.05.06 - 22:35:29 »
ist bei notes soweit ich weiss nicht möglich. Dafür müsste schon eine Sicherheitslücke im code gefunden werden und auch ausgenutzt werden. Klar mit Bruteforce bekomm ich früher oder wohl eher später das passwort raus. Aber das ist ja bei allem so.
Grüße Matthias :-)

***********************************
2 x Ironport C350 im Cluster
2500 8.5.3 User auf Win7 x64
43 8.5.3 Server
250 Blackberry User
50 Traveler User
Sametime 8.5.2
Quickr 8.5.1
Connections 3.0.1
Panagenda ClientManagement
Content Collector MailboxManagement
eDiscovery für Compliance Mailarchivierung
iOffice CTI mit zusätzl. Softphone
**************************************

MOD

  • Gast
Re: Sicherheit der User-ID-Files
« Antwort #2 am: 30.05.06 - 07:22:52 »
Er stellt die Sicherheit einer User-ID-File insofern in Frage, als dass es gewisse externe Programme gibt, die diese 'knacken' können.

Dann soll dein betrieblicher Sicherheitsbeauftragter dieses doch einmal vorführen.
Ich finde es eine enorme Verschwendung von Arbeitsleistungen, aufgrund von Vermutungen irgendwelche Dokumentationen zu suchen, zu erstellen oder zu konzipieren.

 ;D

Offline tttonic

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 592
  • Geschlecht: Männlich
  • Inakzeptabel
Re: Sicherheit der User-ID-Files
« Antwort #3 am: 30.05.06 - 07:51:56 »
Dann soll dein Sicherheitsbeauftragter das Tool doch einfach mal bereitstellen.

Wir lachen dann alle gemeinsam  ;D

ps.

Wieder jemand der Behauptungen raushaut.

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: Sicherheit der User-ID-Files
« Antwort #4 am: 30.05.06 - 12:53:54 »
AFAIK wird das Passwort überhaupt nicht gespeichert. Insofern wäre die "Anzeige des Passworts im Klartext" eh ad absurdum geführt.

Bernhard

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Sicherheit der User-ID-Files
« Antwort #5 am: 30.05.06 - 13:07:03 »
Eventunnel ist er über dieses Tool gestolpert: http://www.lostpassword.com/lotus-notes.htm

Das Teil geht halt davon aus, dass man Passwörter wie "Barbara" oder "nitram" hat.

Hat sich der Hr. Sicherheitsbeauftragte eigentlich schon hinsichtlich der verwendeten Passwörter Gedanken gemacht (ein kleiner Dictionary Attack auf das Windows AD/SAM-DB offenbart da oft Grausiges).
« Letzte Änderung: 30.05.06 - 13:08:40 von m3 »
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Sicherheit der User-ID-Files
« Antwort #6 am: 30.05.06 - 13:09:41 »
"Button anklicken und das Passwort ist neu gesetzt".
Eventunnel verwechselt er Notes-ID und Internet-Passwort?
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline blizzard

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.183
  • Geschlecht: Männlich
  • Admin from hell :-)
Re: Sicherheit der User-ID-Files
« Antwort #7 am: 30.05.06 - 15:29:35 »
hmm nen tollen sicherheitsbeauftragten habt ihr da, wenn der nicht mal grundlegende dinge weiss. Wohl eher ein Wichtigtuer mit wenig Peilung, oder?
Grüße Matthias :-)

***********************************
2 x Ironport C350 im Cluster
2500 8.5.3 User auf Win7 x64
43 8.5.3 Server
250 Blackberry User
50 Traveler User
Sametime 8.5.2
Quickr 8.5.1
Connections 3.0.1
Panagenda ClientManagement
Content Collector MailboxManagement
eDiscovery für Compliance Mailarchivierung
iOffice CTI mit zusätzl. Softphone
**************************************

Offline Wolfgang

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.412
    • Mit dem Fahrrad durch Wüste, Regenwald und Arktis ...
Re: Sicherheit der User-ID-Files
« Antwort #8 am: 31.05.06 - 22:13:49 »
Tach zusammen,

bevor auf dem armen Sicherheitsbeauftragten zu sehr rumgehackt wird, sollte man nicht vergessen, daß der möglicherweise für sämtliche Bereiche gleichzeitig zuständig ist.

Neben Notes vielleicht noch für Windows, Unix, zOS, Firewall, Proxy, SAP, Leitungsverschlüsselung und nebenher vielleicht noch für rechtliche Aspekte, Bestimmungen bzgl. Notausgängen, Feuerschutz usw.. Ein Mensch alleine kann da niemals auf jedem Gebiet Fachmann sein. Es ist vermutlich seine Aufgabe, jedem Verdacht nachzugehen und für die jeweiligen Fachleute manchmal vielleicht auch blöd klingende Fragen zu stellen. Anhand unsicherer/unplausibler Antworten wird er schon merken, ob er sich damit näher befassen muß.
Alles auf jedem Gebiet wird auch der Sicherheitsbeauftragte nicht finden können. Ein verantwortlicher Fachmann wird jedoch zuvor schon versuchen, auf seinem Spezialgebiet alle Lücken dicht zu machen. Das ist schließlich auch seine Aufgabe. Nur ... ein Sicherheitsbeauftragter kann sich darauf nicht verlassen und vermutlich aus Erfahrung.

Gruß
Wolfgang

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: Sicherheit der User-ID-Files
« Antwort #9 am: 31.05.06 - 22:26:01 »
Nochmal kurz zu dem Thema ID-Passort: Es gibt genau genommen keines.

Die ID ist mit einem Key verschlüsselt. Wenn man korrekten Key (Passwort) eingibt, werden die Zertifikate innerhalb der ID nutzbar. Die Authentifizierung am Server wird dann anhand der Zertifkate realisiert. Die Komplexität des Keys kannst du per Policy bestimmen.

Anders verhällt es sich beim Internet-Passwort. Hier steht im Personendokument wirklich ein Hash. Ähnlich wie bei AD, SAP etc.
IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz