Web-Sicherheit

Mai 13, 2011

Adobe kommt endlich in die Gänge und Patcht seinen Flash Player

Filed under: Allgemein — sebastiankuebeck @ 11:55
Tags: , , , ,

Adobe reagiert endlich auf die zunehmenden Angriffe auf sein Flash-Plugin und stopft 13 kritische Lücken in der Version 10.3. Darunter auch die Schwachstelle, die RSA Security zum Verhängnis wurde. Ob die von Vupen entdeckte Schwachstelle damit auch behoben ist, ist hingegen nicht klar.

Mai 12, 2011

Kritische Schwachstelle in Chrome ist offenbar ein Flash-Problem

Filed under: Allgemein — sebastiankuebeck @ 12:50

Das französische Sicherheitsunternehmen Vupen meldete vor kurzem eine vermeintliche Schwachstelle in Googles Chrome Browser für Windows, durch die es angeblich Hackern möglich sei, beliebigen Code auf dem Rechner des arglosen Surfers auszuführen und das trotz der Sicherheitsmechanisnen ADSR und DEP von Windows Vista und 7, die eigentlich genau das verhindern sollten. Ein als „Beweis“ veröffentlichtes Video und die Aussage von Vupen, dass lediglich Kunden und der Hersteller Google genauere Informationen über die Schwachstelle bekämen, legten eher den Schluss nahe, dass Vupen lediglich Aufmerksamkeit erregen wollte und die Schwachstelle unter normalen Umständen möglicherweise gar nicht ausnutzbar sei.

Laut Tavis Ormandy, Sicherheitsingenieur bei Google, handelt es sich bei der Schwachstelle tatsächlich um eine bis dato noch unbekannte Lücke in Adobe’s Flash-Plugin. Die Verwechslung sei, so Tavis Ormandy, dadurch entstanden, dass die französischen Forscher das Sandbox-Modell von Chrome nicht richtig verstanden hätten.

Chauki Bekrar, CEO von Vupen, sieht Google dennoch in der Verantwortung, weil der von seiner Firma entwickelte Exploit auch in der Lage sei, die Chrome-Sandbox zu verlassen. Auch habe Google die Sandbox für das integrierte Flash-Plugin entwickelt, nicht Adobe.

Offensichtlich ist also die Chrome-Sandbox nicht in der Lage, das Betriebssystem vor der Schwachstelle zu schützen. Das liegt höchstwahrscheinlich daran, dass das Flash-Plugins nicht mehr ordnungsgemäß funktioniert, wenn Google die Sandbox wirkungsvoller „abdichtet“.

Das ganze wirft natürlich ein verherendes Licht auf Adobe’s Flash-Plugin. Schließlich ist es noch nicht so lange her, dass Forscher nachgewiesen haben, dass man mit dem Flash-Plugin die Schutzmechanismen ADSR und DEP von Windows aushebeln kann, soferne eine Schwachstelle wie ein Buffer-Overflow in Adobe’s Flash Plugin vorhanden ist. Kurz darauf drangen Hacker unter Ausnutzung einer Lücke eben dieses Plugins in das Netzwerk des Sicherheitsdienstleisters RSA Security ein. Dabei stellte sich heraus, dass die Hacker eine Schwachstelle ausnutzten, für die Adobe zu diesem Zeitpunk noch keinen Patch zur Verfügung gestellt hatte, wodurch es für RSA Security praktisch unmöglich war, sich wirksam zu schützen, ohne auf das Flash-Plugin unternehmensweit zu verzichten.

Dies könnte (und sollte) Unternehmen, bei denen die Sicherheit eine große Rolle spielt (Energieversorger, Millitär, öffentliche Verwaltung, Banken), dazu veranlassen, das Flash Plugin und möglicherweise auch den Acrobat Reader generell aus dem Firmennetzwerk zu verbannen. Das könnte dann dazu führen, dass Webseitenbetreiber auf andere Technologien umsteigen, was zu einem erheblichen Verlust von Marktanteilen dieser Produkte führen könnte. Schließlich ist Flash bereits durch die Weigerung von Apple, das Plugin in das iPhone und iPad aufzunehmen, sowie durch den im Entstehen befindlichen Web-Standard HTML 5 unter Druck. So könnte das Plugin bald in der Bedeutungslosigkeit verschwinden, wenn Adobe es nicht rasch hinbekomt, seine Produkte wirksam und zeitgerecht abzusichern.

Mai 11, 2011

Kleines Phishing-Potpourri

Filed under: Allgemein — sebastiankuebeck @ 15:02
Tags: , , , , , ,

Vor einigen Jahren hatte ich eine wunderschöne E-Mail-Wurm-Sammlung, in der Love-Letter und all seine Verwandten vertreten waren. Leider musste ich dann auf Windows umsteigen, was dazu führte, dass der gnadenlose Kaspersky ihnen allen den Garaus machte. Zum Trost schickt mir ein guter Freund nun regelmäßig amüsante Phishe:

Dieser hier ist offenbar von einem gestressten Phisher, der keine Zeit hatte, eine glaubwürdigere Geschichte zu erfinden:

Betreff: 	Western Union
Datum: 	Thu, 24 Mar 2011 15:42:14 -0700
Von: 	Remove the account limitation.
Antwort an: 	??????????@account.com
An: 	service@westernunion.at

	Your Western Union account has been limited.

  Click on the following link to remove the account limitation:

http://???????????????????.th/westernunion.at/limitation.html

Thank you,

(c) 2001-2010 Western Union Holdings, Inc. Alle Rechte vorbehalten.

Dieser hier versucht es mit eingestreuten kyrillischen Buchstaben um sich vor Spam-Filtern zu tarnen. Ich empfehle hier dringend bei Monty Python’s in die Lehre zu gehen…

Betreff: Sicherheit Nachricht
Von: Western Union
Datum: Fri, 18 Mar 2011 04:18:28 +0100
An: undisclosed-recipients:;
BCC:
Sehr geehrter Kunde,
Wir bedauern Ihnen mitteilen zu kцnnen, dass Ihre Western Union
Online-Konto wurde suspendiert. Eine hohe Anzahl von fehlgeschlagenen
Login-Versuche haben sich auf Ihr Online-Konto erfasst. Als
SicherheitsmaЯnahme mussten wir vorьbergehend Ihr Konto.
Zur Wiederherstellung Ihres Kontos mьssen Sie den unten stehenden Link
klicken und bestдtigen Sie Ihre Kontodaten.
https://www.westernunion.at.?????????????/WUCOMWEB/suspendMid.do?
Bitte beachten Sie, dass das Ignorieren dieser E-Mail fьhrt zu stдndigen
Kontensperrung
Vielen Dank
Western Union

Es ist zwar traurig, dass der Zugruff von Herrn Raiffeisen auf sein Konto eingeschrankt ist
aber eigentlich geht mich das nichts an…

Betreff: 	Zu Ihrem Schutz haben wir den Zugriff auf Ihr Konto eingeschrankt.
Datum: 	Wed, 11 May 2011 14:08:35 +0200
Von: 	Raiffeisen ELBA
An: 	undisclosed-recipients:;

Sehr geehrter Raiffeisen,

Im Rahmen unserer Sicherheitsmaßnahmen prüfen wir regelmäßig alle Vorgänge im
Raifessen-System. Bei einer Überprüfung haben wir kürzlich ein Problem im
Zusammenhang mit Ihrem Konto festgestellt. 

Bei einer kürzlichen Überprüfung Ihres Kontos haben wir festgestellt, dass wir
zusätzliche Angaben von Ihnen benötigen, um Ihnen weiterhin sicheren Service
bieten zu können.

Zu Ihrem Schutz haben wir den Zugriff auf Ihr Konto eingeschränkt, bis
zusätzliche Sicherheitsmaßnahmen getroffen werden können. Wir bitten um
Entschuldigung für eventuelle Unannehmlichkeiten. 

Loggen Sie sich in Ihr Raiffeisen-Konto ein, um den Zugriff auf Ihr Konto innerhalb
der nächsten 15 Tage vollständig wiederherzustellen. Wenn Sie innerhalb des
genannten Zeitraums keine weiteren Informationen bereitstellen, müssen wir den
Fall unter Umständen zu Ihrem Nachteil entscheiden. Beim Einloggen werden die
Maßnahmen angegeben, mit deren Hilfe der reguläre Zustand Ihres Kontos
wiederhergestellt werden kann. Wir arbeiten daran, die Sicherheit Ihres Kontos
zu gewährleisten, und bedanken uns für Ihr Verständnis.

Wie kann ich den Zugriff auf mein Konto wiederherstellen?

Besuchen Sie die Seite Konfliktlösungen hier:

https://banking.raiffeisen.at.?????

Zur Überprüfung Ihres Kontos und einiger oder aller Daten, anhand derer Raiffeisen
entschieden hat, Ihren Kontozugriff einzuschränken, besuchen Sie bitte die Seite
Konfliktlösungen. Wenn Sie nach Prüfung Ihrer Kontodaten weitere klärende
Informationen zu Ihrem Kontozugriff benötigen, wenden Sie sich an Raiffeisen, indem
Sie das Hilfe-Center besuchen und dort auf "Kontakt" klicken. 

Wir bedanken uns für die rasche Erledigung dieser Angelegenheit. Haben Sie bitte
Verständnis, dass dies eine Sicherheitsmaßnahme ist, die Sie und Ihr Konto
schützen soll. Wir bedauern eventuelle Unannehmlichkeiten.

Vielen Dank für Ihre Kooperation. 

Herzliche Grüße

Ihr Raiffeisen-Team 

- ----------------------------------------------------------------
Raiffeisen 2011

Mai 6, 2011

Möglicher Einbruch bei LastPass

Filed under: Allgemein — sebastiankuebeck @ 07:10
Tags: , , , ,

Laut eigenen Angaben wurden auf den Servern des Passwortdienstleisters LastPass seltsame Log-Einträge entdeckt, die auf einen Einbruch hindeuten könnten.

Wir schauen uns die Logs unseres Netzwerkes ziemlich regelmäßig an, um herauszufinden, was da vor sich geht. Wenn wir dabei irgend etwas ungewöhnliches finden, gehen wir der Sache nach. Diese Logeinträge kamen uns seltsam vor, da sie zu einer Zeit aufgezeichnet wurden, in der normalerweise keiner arbeitet und sie kamen von Rechnern, die normalerweise nicht viele Daten miteinander austauschen.
Dieser Vorfall machte uns etwas nervös, also entschieden wir den schlimmstmöglichen Vorfall anzunehmen, auch wenn wir keinen wirklichen Beweis finden konnten, dass etwas passiert ist.

Zitat LastPass CEO Joe Siegrist

Inzwischen haben zahlreiche Benutzer verzweifelt versucht, ihr Master-Passwort (das ist das zentrale Passwort, mit dem man Zugang auf alle seine Zugangdaten erhält) zu ändern, wodurch LastPass zeitweise lahmgelegt wurde:

Die Netzlast bricht alle Rekorde und zahlreiche Benutzer, die versuchen, ihre Passwörter zu ändern, überschreitet unsere Kapazitäten. Daher kann es beim Synchronisieren der Passwörter zu Verzögerungen kommen.

In einem Interview mit PCWorld versucht LastPass CEO Joe Siegrist zu beruhigen, indem er behauptet, dass es äußerst unwahrscheinlich sei, dass Angreifer an die millionen Zugangsdaten gekommen seien, die LastPass speichert. Zudem behauptet er, dass die Zugangsdaten der Benutzer absolut sicher seien, sofern diese ein „sicheres“ Master-Passwort gewählt hätten. Im weiteren Verlauf kommt es dann wieder zu der üblichen Angeberei, dass man „viel Mathematik“ verwende, um die Daten der Benutzer abzusichern. In einem späteren Blogeintrag heißt es dann, dass man die Verschlüsselungsstandards verbessern werde.

Ich persönlich teile Herrn Siegrists Optimismus überhaupt nicht! Das ganze macht für mich eher den Eindruck, dass das Unternehmen mit der Situation vollkommen überfordert ist. Hat hier ein wirklich erfahrener Angreifer seine Finger im Spiel, haben die kaum eine Möglichkeit, festzustellen, was da wirklich passiert ist. Hier wäre es sinnvoll gewesen, ein erfahrenes Sicherheitsunternehmen zu beauftragen, den Vorfall zu untersuchen.

Wie ich in Kapitel 6 meines Buches erörtere, sagt das verwendete Verschlüsselungsverfahren und die verwendete Mathematik so gut wie überhaupt nichts über die Sicherheit des Gesamtsystems aus. Was ist, wenn ein Hacker die Infrastruktur von LastPass verwendet, um auf den Computern der LastPass-Kunden einen Keylogger (das ist eine Software, die jeden Tastendruck des Benutzers aufzeichnet und an den Angreifer weiterleitet) zu installieren? So bräuchte der Angreifer nicht einmal den Verschlüsselungsmechanismus kennen, um an die Zugangsdaten der Benutzer zu gelangen.

In einem Artikel vom April habe bereits darauf hingewiesen, das es prinzipiell nicht ungefährlich ist, alle seine Zugangsdaten einem externen Dienstleister anzuvertrauen. Schließlich wird so ein Dienstleister ein immer attraktiveres Ziel für Angreifer, je mehr Zugangsdaten er speichert, und einen absolut sicheren Internetdienst kann kein Dienstleister zur Verfügung stellen. Also ist es nur eine Frage der Zeit und der eingesetzten Geldmitteln, um einen solchen Dienstleister zu knacken und je erfolgreicher dieser Dienstleister ist, desto mehr sind Angreifer bereit, zu investieren!

Ich empfehle daher, besser eine lokale Lösung wie PasswortSafe zu verwenden, um Zugangsdaten zu verwalten. Das ist zwar nicht so bequem und auch nicht hundertprozentig sicher, aber sicherer als ein zentraler Passwortdienst, da es so keinen zentralen Angriffspunkt (neudeutsch: „Single Point of Attack“) für Hacker gibt. Im Übrigen weiß man bei einem Dienstleister ja nie wirklich, wie es um die interne Sicherheit bestellt ist. Bei Open-Source-Software hat man hingegen den Vorteil, dass unabhängige Experten den Quellcode einsehen und auf Sicherheit überprüfen können.

Mai 5, 2011

Weitere Schwachstellen in SOHO-Appliances

Filed under: Allgemein — sebastiankuebeck @ 08:16
Tags: , , , ,

Vor einiger Zeit habe ich versucht zu erörtern, warum es so viele Schwachstellen in SOHO-Routern (Small Office, Home Office) gibt und wenn Sie diesen Artikel gelesen haben, werden Sie sich nicht wundern, dass schon wieder Schwachstellen gefunden worden sind. Diesmal handelt es sich um „Sicherheitsprodukte“ aus der Zyxels ZyWall Produktreihe.

ZyWALL USG 20. Laut Herstellerangaben ist das Gerät
ICSA und IPSEC zertifiziert. Jeder weitere Kommentar
über den Wert solcher Zertifizierungen ist glaube
ich überflüssig…

Nach Angaben des RedTeams kann man die Verschlüsselung von Aktualisierungsdateien knacken und so beliebige Dateien auf dem Gerät hochladen. So kann man natürlich auch die Konfiguration so verändern, dass man einen neuen Benutzer mit selbst gewähltem Passwort hinzufügen kann.

Bedeutend einfacher auszunutzen ist ein Konfigurationsfehler der Weboberfläche: Der Apache Webserver ist so konfiguriert, dass für Verzeichnisse, deren Pfad die Zeichenkette images/ enthält, keine Authentifizierung nötig ist. So lässt sich die Authentifizierung vollständig umgehen und mann kann beliebig Datein hoch und herunterladen.

Eine zweite, wirklich peinliche Schwachstelle ergibt sich durch einen Variable namens isAdmin im JavaScript-Teil der webbasierten Administrationsoberfläche: Wie Sie vielleicht schon erraten haben, genügt es, einen Proxy wie Paros zu verwenden und die Variable auf true zu setzen, um Administratorrechte zu erlangen.

Die Autoren empfehlen dringend, die webbasierten Administrationsoberfläche zu deaktivieren, bis Zyxel diese Probleme behoben hat.

Sony Hack: Anonymous oder nicht Anonymous?

Filed under: Allgemein — sebastiankuebeck @ 07:24

Nachdem die Hackergruppe Anoymous in einem Video ihre Beteiligung an dem Einbruch in Sony’s PlayStation Network bestritten hat meldet nun Sony dass es einen Beleg dafür gibt, dass Anonymous doch hinter dem Vorfall steckt. Laut eines Briefes von Sony an das US-amerikanische Repräsentantenhaus haben die Hacker eine Datei mit dem Namen „Anonymous“ und darin folgende Nachricht hinterlassen: „We Are Legion“.

Würde Anoymous wirklich hinter dem Vorfall stecken, hätte das für Sony zahlreiche Vorteile:

  1. Da Anonymous bereits zahlreiche bekannte Unternehmen wie MasterCard in die Knie gezwungen hat, befindet man sich bei Sony also in „guter Gesellschaft“ und relativiert damit das eigene Versagen, denn anderen ist es ja „auch nicht besser ergangen“.
  2. Internet-Aktivisten haben politische und keine wirtschaftlichen Motive, also ist die Wahrscheinlichkeit geringer, dass die gestohlenen Daten tatsächlich missbraucht werden, was mögliche Folgekosten für Sony deutlich senken könnte.
  3. Man hat einen „Schuldigen“ gefunden und Sony kann darauf hoffen, dass dadurch die negativen Schlagzeilen bald abebben.

Laut Sony sei auch noch kein Missbrauch der Kartendaten, die auf den Servern von Sony verschlüsselt gespeichert waren, von den Kreditkartengesellschaften gemeldet worden. Die Passwörter waren übrigens nicht verschlüsselt sondern es wurden laut Sony nur die Hashwerte der Passwörter gespeichert. Prinzipiell ist dieses Verfahren sogar sicherer als die Verschlüsselung, da die Passwörter selbst ja gar nicht gespeichert werden, sondern nur deren „digitale Fingerabdrücke“. Leider hängt die Sicherheit dieses Verfahrens sehr stark von der jeweiligen Implementierung ab, wie der Fall HBGary zeigte.

Mai 4, 2011

Polizeispitzel packt über Sony’s PlaysStation Network aus

Filed under: Allgemein — sebastiankuebeck @ 08:56
Tags: , , ,

Zwei Monate vor dem Einbruch in Sony’s PlaysStation Network unterhielten sich einige Playstation-Hacker über Sicherheistprobleme dieses Netzwerks. Der Teilnehmer „Trixer“  schreibt:

Wenn Sony diesen Channel verfolgt, sollten sie wissen, dass es nicht sehr gescheit ist, eine ältere Version des Apache Webservers mit bekannten Schwachstellen auf einem RedHat Linux Server laufen zu lassen, besonders dann nicht, wenn der Server jedem seine Versionsnummer verrät und wenn es der Server ist, auf dem sich die PlaysStation-Network-Mitglieder anmelden.

Anm: Inzwischen hat Sony zugegeben, dass Hacker über eine bekannte Schwachstelle in das PlaysStation Network (PSN) eingedrungen sind.

Stehen PlayStation-Hacker hinter dem Einbruch?

Diese Unterhaltung wurde am 16. Februar imIRC Channel „#ps3dev“ abgehalten. Das ist ein Forum für Leute, die ohne Genehmigung von Sony an ihrer eigenen PlayStation herumbasteln. Sie installieren beispielsweise neue Firmware, versuchen, Linux auf der PlayStation laufen zu bringen oder arbeiten daran, ihr eigenes PlaysStation Network aufzubauen. Inzwischen werden diese Leute bereits in zahlreichen Foren beschuldigt, hinter dem Einbruch zu stehen.

Die interessante Vergangenheit von Bret McDane

In einem Interview bestreitet Bret McDane alias „Trixer“ diese Vorwürfe. Der 38-jährige Bret McDane kam 2003 in die Schlagzeilen, als er 16 Monate für ein Computer-Verbrechen im Gefängnis saß, dass er nie begangen hatte. Er bekam schwierigkeiten mit den behörden, als er 5000 Kunden seines ehemaligen Arbeitgebers Tornado Development warnte, dass das Unternehmen ein schwerwiegendes Sicherheitsproblem hätte. Dieses Sicherheitsproblem könnte E-Mails der Kunden verwundbar für Hackerangriffe machen. Die US-Behörden klagten ihn dafür an, unter der Annahme, er hätte damit gegen das Gesetz „Computer Fraud and Abuse Act“ verstoßen, da das Vorgehen des Beklagten die „Integrität des Systems“ beeinträchtigen würde.

Es war eine so „eigenwillige“ Lesart dieses Gesetzestextes, dass das US-amerikanische Verteidigungsministerium zugeben musste, dass es sich geirrt hatte, was – nicht nur in den USA – äußerst selten vorkommt.  Das Verteidigungsministerium stimmte schließlich der Verteidigung zu, die Anklage fallen zu lassen. Als die Anklagen schließlich fallengelassen wurde, saß Bret McDane allerdings bereits seit 16 Monaten in Untersuchungshaft.

McDane und SKFU bestreiten Beteiligung von Internet-Aktivisten

McDale – der inzwischen ein kleines Telekom-Unternehmen außerhalb von Sacramento betreibt – sagt, dass er trotz seiner früheren Erfahrungen mit den Behörden keine Angst hat, mit dem Einbruch bei Sony in Verbindung gebracht zu werden. Am Telefon sagt er zu einem Reporter des Wired-Magazin:  „Ich bin bereit darauf zu wetten, dass der Einbruch von jemand völlig anderem durchgeführt wurde.“

Er behauptet weiterhin, er sei vor drei Monaten in der „PlayStation-Modding-Szene“ zum ersten Mal aufgetaucht, weil er sich laut eigener Angaben um den Schutz von Benutzerdaten in diesem Netzwerk sorgen machte. Er wollte, wie er sagte,  herausfinden, welche personenbezogenen Daten Sony sammelt und mit seinen Partnerfirmen über das Netzwerk austauscht. Um das zu bewerkstelligen, klinkte er sich in die verschlüsselte Kommunikation zwischen PlayStation und dem Netzwerk ein und beobachtete die übertragenen Daten. Dabei bemerkte er, dass Sony eine veraltete Version des Apache-Webservers betrieb.

McDanel glaubt (wie auch der deutsche Forscher SKFU), dass die Hacker ausschließlich finanzielle Interessen hätten und nicht aus der Ecke der Internet-Aktivisten kämen: „Es war kein Angriff auf Sony sondern ein Angriff auf ein großes Computersystem, welches massenhaft wertvolle Informationen beinhaltet.“

„Anonymous“ bestreitet ebenfalls eine Beteiligung

Die Hackergruppe „Anonymous“ hat inzwischen auch jede Beiteligung an diesem Vorfall bestritten. In einer Videobotschaft wenden sie sich an die Mitglieder des PlayStation Network und bestreiten, an dem Vorfall beteiligt zu sein, auch wenn sie nicht ausschließen können, dass eines der Mitglieder von Anonymous „auf eigene Faust“ gehandelt haben könnte. Dieser Vorfall würde vor allem die Mitglieder des PlayStation Network und nicht Sony selbst schädigen, weshalb sie Angriffe dieser Art ablehnten, so Anonymous.

Sony’s heuchlerisches Entgegenkommen

Inzwischen übt sich Sony in heuchlerischer Kundenfreundlichkeit: Ein Sprecher verkündete grosspurig, dass Sony für alle Kosten aufkommen würde, die Kunden entstünden, wenn Kreditkarte aufgrund des Vorfalls gesperrt und neu ausgestellt werden müssten oder Kunden durch diesen Vorfall wiederrechtlich belastet würden.

Würde Sony das nicht machen, würden das die Banken, die die betroffenen Kreditkarten ausgegeben haben, die Kosten vorerst übernehmen. Letztlich würden sie sich das Geld dann aber über den Klageweg wieder von Sony zurückhohlen, deshalb verkauft Sony etwas, wofür sie sowieso aufkommen müssten, als „Entgegenkommen“.

Geplanter Neustart des PlayStation Network

Sony plant inzwischen einen Relaunch des PlayStation Network – natürlich mit mehr „Sicherheit“ und zahlreichen Willkommensgeschenken für die Mitglieder. Wann es soweit ist, wird auf Sonys Blogs für Europa und die USA bekanntgegeben.

Sicherheitsparanoia oder die Kunst sich ein Passwort zu merken

Filed under: Allgemein — sebastiankuebeck @ 06:29
Tags: , ,

Es ist schon beängstigend was so alles passiert im Internet. Ständig wird irgendwo eingebrochen, personenbezogene Daten werden gestohlen und sorgsam gehütete Geheimnisse wiederrechtlich veröffentlicht. Es ist also nur eine Frage der Zeit bis es die eigene Firma betrifft. Das dachten man sich offenbar auch in Torre Lasley’s Firma als man sich dort neue, besonders „sichere“ Richtlinien für Passwörter ausdachte.
Alls Torre sich eines morgens an seinem Computer anmelden wollte, bekam er plötzlich Folgendes zu lesen:

***************************************************************
** STOP! You must reset your password. Failure to do so will **
** cause your Network account to become locked.              **
***************************************************************

Your password must:
• have at least 8 character(s)!
• not be longer than 12 characters!
• have upper and lower case characters!
• have no more than 8 upper-case letter(s)!
• have no more than 8 lower-case letter(s)!
• have at least 2 letter(s)!
• have a leading letter!
• have at least 1 digit(s)!
• not contain a dictionary word!
• not contain an exact dictionary word match!
• not be your username!
• not be your username backwards!
• not contain your username!
• not contain your username backwards!
• not be your username with the letters rearranged!
• not be an old password!
• have no more than 1 pair(s) of repeating characters!
• not have 3 occurences of the same character!
• not contain carat (^)
• not contain space
• not contain =
• not conatain &
• not contain #
• not contain ,
• not conatain ;
• not contain "
• not contain >
• not contain <
• not contain [
• not contain |
• not contain )
• be at least 6 characters long, contain 3/4 of uppercase,
  lowercase, digits and punctuation marks, and may not
  contain your user name or any part of your full name.

Da sich keiner Passwörter, die so vielen Regeln entsprechen müssen, merken kann, werden die Benutzer ihre Passwörter wohl mit einem Post-It-Note an den Monitor kleben. Mit einem starken Tesafilm abgesichert wird das sicher böse Hacker abschrecken…

Bloggen auf WordPress.com.