Dies ist eine statische Kopie unseres alten Forums. Es sind keine Interaktionen möglich.
This is a static copy of our old forum. Interactions are not possible.

Mac

Papa

  • "Mac" is male
  • "Mac" started this thread

Posts: 645

Date of registration: Oct 17th 2002

Location: Hannover

Occupation: IT Freelancer

1

Sunday, October 16th 2005, 11:46am

Cisco VPN Client Passwort Verschlüsselung geknackt....

http://www.heise.de/newsticker/meldung/64954

über Sinn und Unsinn Passwörter für sowas auf der Festplatte zu speichern, lässt sich lange streiten, aber hier für diejenigen welche, die diese Funktion nutzen...
  • Send private message

Joachim

Guru

  • "Joachim" is male

Posts: 2,863

Date of registration: Dec 11th 2001

Location: Hämelerwald

Occupation: Wissenschaftlicher Mitarbeiter (Forschungszentrum L3S, TU Braunschweig)

2

Sunday, October 16th 2005, 1:32pm

RE: Cisco VPN Client Passwort Verschlüsselung geknackt....

Quoted

Original von Mac
http://www.heise.de/newsticker/meldung/64954

über Sinn und Unsinn Passwörter für sowas auf der Festplatte zu speichern, lässt sich lange streiten, aber hier für diejenigen welche, die diese Funktion nutzen...
http://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode gibt es schon ziemlich lange im Netz.

Zudem sehe ich in dieser Speicherung kein Problem. Wenn zum Beispiel im Browser irgendwelche Paßwörter für Webseiten gespeichert werden, müssen sie ja auch so abgelegt werden, daß sie wiederherstellbar sind. Dasselbe gibt für die Zugangsdaten für den Internet-Provider. Cisco macht es also schon ganz gut: Speichern der Daten, aber in einer Form, die für Menschen nicht auf den ersten Blick das Paßwort verrät.
The purpose of computing is insight, not numbers.
Richard Hamming, 1962
  • Send private message

ktm

Erfahrener Schreiberling

Posts: 363

3

Sunday, October 16th 2005, 4:31pm

Quoted

Es stellt sich die Frage, was sich Cisco dabei gedacht hat. Wird schon keiner merken?

tja, wenn's "nur" der vpn-client wäre, aber die machen das ja überall so, inkl ihrer hardware. das admin-pw ist zwar ein md5-hash, aber alles darunter ist nur xor-"verschlüsselt". warum die ihr zeug trotzdem noch so gut loswerden, würd mich dann doch mal interessieren...

Quoted

Speichern der Daten, aber in einer Form, die für Menschen nicht auf den ersten Blick das Paßwort verrät.

"nicht auf den ersten blick" = "quasi-plaintext" = "nutzlos". wär sinvoller, nur hashes zu speichern (im unix-stil, mit variablen seeds) und diese zum authentifizieren zu verwenden; wär zwar immer noch nicht besonders sicher, aber immerhin käme man nicht mehr (so leicht) an den ursprungstext heran und könnte dank des var. seeds das ganze nur an einer stelle nutzen. viel zuviele leute nehmen ja immer noch überall dasselbe passwort.
  • Send private message

Joachim

Guru

  • "Joachim" is male

Posts: 2,863

Date of registration: Dec 11th 2001

Location: Hämelerwald

Occupation: Wissenschaftlicher Mitarbeiter (Forschungszentrum L3S, TU Braunschweig)

4

Sunday, October 16th 2005, 6:25pm

Quoted

Original von ktm

Quoted

Speichern der Daten, aber in einer Form, die für Menschen nicht auf den ersten Blick das Paßwort verrät.

"nicht auf den ersten blick" = "quasi-plaintext" = "nutzlos". wär sinvoller, nur hashes zu speichern (im unix-stil, mit variablen seeds) und diese zum authentifizieren zu verwenden; wär zwar immer noch nicht besonders sicher, aber immerhin käme man nicht mehr (so leicht) an den ursprungstext heran und könnte dank des var. seeds das ganze nur an einer stelle nutzen.
Es geht aber beim VPN-Client ja gerade darum, auch wieder an den "Ursprungstext" heranzukommen, da dieser ja an den VPN-Server als Paßwort übermittelt werden muß. Zu umgehen ist dieses Problem der Paßwortspeicherung nur, wenn der Benutzer bei jeder Anmeldung am VPN das Paßwort selber eingibt. Aber genau das ist ja nicht erwünscht, wenn die Anmeldung ohne Zutun das Benutzers erfolgen soll.
The purpose of computing is insight, not numbers.
Richard Hamming, 1962
  • Send private message