Re: Passwortspeicherung Sicherheitsfrage

To: debian-user-german@lists.debian.org
Subject: Re: Passwortspeicherung Sicherheitsfrage
From: Tobias Nissen <tn@movb.de>
Date: Tue, 18 Nov 2008 19:55:06 +0100
Message-id: <[🔎] 20081118195506.c43b1843.tn@movb.de>
In-reply-to: <[🔎] 20081118184211.45560@gmx.net>
References: <[🔎] 492139FB.50608@gmx.net> <[🔎] 200811171034.34933.fangornx@gmx.de> <[🔎] 20081118175733.53490@gmx.net> <[🔎] 20081118192905.215de38c.tn@movb.de> <[🔎] 20081118184211.45560@gmx.net>

stefan wille wrote:
> Von: Tobias Nissen <tn@movb.de>
[...]
>> stefan wille wrote:
>> [Speicherung des root-Passworts im Schlüsselbund]
>>> Jetzt frage ich mich, ob das nicht genauso unsicher ist, wie sich
>>> als root anzumelden, da das root-Passwort nun gar nicht mehr
>>> abgefragt wird, sondern automatisch aus dem aufgesperrten
>>> Schlüsselbund geholt wird. Diese »Bequemlichkeit« erinnert mich
>>> unangenehm an die Sicherheitspolitik von Windows. Ich kann mir
>>> eine so große Sicherheitslücke  - Es liegt natürlich in der Macht
>>> des Benutzers das Feature zu nutzen, aber ich nenne es trotzdem
>>> mal Lücke - bei Debian nur nicht vorstellen.
>> 
>> Das ist keine Lücke in Debian oder sonst einem Stück Software,
>> sondern einfach nur eine bescheuerte Nutzung der
>> Schlüsselbundfunktion und damit ein Problem des Benutzers/Admins.
[...]
> Weil ich ja kein bescheuerter Nutzer sein will, frage ich mich nur,
> warum Debian bzw. der Programmierer des Schlüsselbunds überhaupt
> diese Funktion anbietet. ;)

Ich kann mir ehrlich gesagt kein Szenarium vorstellen, in dem es Sinn
macht, das root-Passwort bis zum Ende der Sitzung im Speicher zu
halten. Warum der Programmierer die Funktion anbietet? Das musst Du ihn
selbst fragen :-) Wahrscheinlich gibt es immer irgendwen, der die
Funktion dann doch will, so blöd sie auch sein mag.

[...]
> Mir ist natürlich bewusst, dass bei einem physischen Zugriff mein PC
> absolut wehrlos ist, aber habe ich Dich richtig verstanden, dass er
> es auch gegenüber dem Internet ist?

Also wenn das Passwort im Speicher ist und meinetwegen ein Angreifer
eine Sicherheitslücke in irgendeinem aus dem Internet erreichbaren
Stück Software ausnutzt und Zugriff in dem Kontext des Benutzers
bekommt, der den Schlüsselbund freigeschaltet hat, dann hat er root-
Rechte. Das stimmt so noch nicht ganz, weil es gewisse Mechanismen
gibt, die u.U. erstmal ausgehebelt werden müssen. Aber prinzipiell ist
es so "einfach", ja.

Bei diesen Diskussionen muss man immer noch die Verhältnismäßigkeit im
Auge behalten. Wenn Du keine populäre Person bist und auch sonst
niemanden hast, der etwas von Dir will, dann ist es m.E. _äußerst_
unwahrscheinlich, dass jemand diesen Aufwand betreiben wird. Es gibt
für das oben angesprochene, jedenfalls soweit ich weiß, keine
Programme, die solche Angriffe automatisch durchführen. Jeder Angriff
wäre also dediziert und bei einem Angreifer mit einem starken Motiv hat
man sowieso fast immer verloren...

Reply to:

Follow-Ups:
- Re: Passwortspeicherung Sicherheitsfrage
  - From: Gerhard Schromm <gschromm-spam@arcor.de>
- Re: Passwortspeicherung Sicherheitsfrage
  - From: Wolfgang Friedl <wolfgang.friedl@shlink.ch>

References:
- USB-Platte und Kernel 2.6.26-1-686
  - From: stefan wille <stefan-wille@gmx.net>
- Re: USB-Platte und Kernel 2.6.26-1-686
  - From: David Burau <fangornx@gmx.de>
- Passwortspeicherung Sicherheitsfrage
  - From: "stefan wille" <stefan-wille@gmx.net>
- Re: Passwortspeicherung Sicherheitsfrage
  - From: Tobias Nissen <tn@movb.de>
- Re: Passwortspeicherung Sicherheitsfrage
  - From: "stefan wille" <stefan-wille@gmx.net>

Prev by Date: Re: user mit anderer Sprache einrichten
Next by Date: Re: grub-update schreibt falsche menu.lst
Previous by thread: Re: Passwortspeicherung Sicherheitsfrage
Next by thread: Re: Passwortspeicherung Sicherheitsfrage
Index(es):
- Date
- Thread