Bombentrichter
Sonstiges => Laberecke => Topic started by: Pittiplatsch on June 11, 2009, 06:54:12 pm
-
War heute im CAD-Labor und musste gleich zur Begrüßung lesen, dass möglicherweise die Kennwörter vieler Studenten und Mitarbeiter in fremde Hände gelangt sind.
CAD-LABOR - Aktuelles (http://tu-dresden.de/die_tu_dresden/fakultaeten/fakultaet_maschinenwesen/imm/ktc/labore/cad/aktuell/index_html)
Auf der Aktuell-Seite des ZIH steht der gleiche Text.
Warnhinweis - Passwörter (http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/aktuelles)
Im Archiv der Sächsischen Zeitung findet man bei Suche nach "TU Dresden Datenschutz" auch nichts gutes.
Suchen in sz-online... (http://www.sz-online.de/search/)
-
ich würde ja gerne ein Passwort höherer Sicherheit nutzen, jedoch hat sich ja das ZIH auf genau acht Stellen festgelegt :mad:
LG, Matthias
-
Hallo Leute,
habe den Post von Pittiplatsch zuerst für einen schlechten Scherz gehalten, musste dann aber doch im Zeitungsstapel nach der entsprechenden Ausgabe suchen und habe den eigentlichen Artikel gefunden. Da stehen auch mehr technische Details drin.
Einen schönen Abend noch...
-
Aus dem Beitrag vom Guru:
Nur wenige Handgriffe, schon erscheint auf dem Bildschirm... Das Problem ist dem ZIH seit 2007 bekannt... Bis heute ist aber nichts passiert.
Der SZ-Artikel haut mich echt vom Hocker.
Das ZIH sieht die Angelegenheit eher locker:
Man kann die Passwörter im NIS mit moderatem Aufwand entschlüsseln und in die Accounts einbrechen. Dabei macht man sich strafbar.
Ein geringer Trost ist besser als nichts :cry:
-
Da kümmern die sich lieber um die Speicherung von Netzwerkaktivitäten anstatt um die wichtigen Dinge. :rolleyes:
-
Das heißt also im Klartext, es besteht für wissenschaftliche Arbeiten kein ausreichend technischer Schutz mehr innerhalb des UNI-Netzes und die accounts sind kompromittierbar?
Diese Volltrottel! :nudelholz:
-
Das heißt also im Klartext, es besteht für wissenschaftliche Arbeiten kein ausreichend technischer Schutz mehr innerhalb des UNI-Netzes und die accounts sind kompromittierbar?
Ja, die Frage stellt sich nur nach dem dazu nötigen Aufwand. Laut dem Zeitungsartikel (http://bombentrichter.de/attachment.php?attachmentid=4902&d=1244748756) soll es nicht sehr schwer sein. Möglicherweise wurde erst durch diesen Artikel der Stein ins Rollen gebracht und übereifrige Hacker fühlten sich motiviert, ins NIS (http://de.wikipedia.org/wiki/Network_Information_Service) einzusteigen.
Im Wiki findet man dazu: In modernen Rechnernetzen ersetzen Systeme wie LDAP (http://de.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol) und Kerberos (http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29) zunehmend NIS, da sie gegenüber NIS als fortschrittlicher und sicherer angesehen werden.
Also besteht akuter Handlungsbedarf, das System umzustellen.
Der Warnhinweis auf der Aktuell-Seite des ZIH (http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/aktuelles) wurde sehr wahrscheinlich erst danach verfasst (letzte Änderung der Webseite: 11.06.09, 18:46 Uhr).
-
Sind die Herren vom ZIH wirklich der Meinung das ein einfacher Hinweis auf deren Seite reicht (mein Gott das ZIH wird vom typischen Studenten anfangs 2-3mal besucht und dann war es das) und keine Rundmail von Nöten ist um die Studenen auf zu fordern mal eben ihr Passwort zu ändern. Ja nur so, dass quasi unsere gesamte digitale Kommunikation darüber abläuft -.-
Edit, habe ich das richtig verstanden, das mal eben Files mit den Passwörtern abhanden gekommen sind? Sprich das eine Person die sich diese Daten mit voller Absicht und wohl mit Hintergründen entwendet hat nun Zuhause recht gemütlich mit etwas größeren Lookuptabellen und 2 größeren Grafikkarten als Co-Prozessoren die Daten entschlüsseln kann? Wenn man entsprechenden Programmen als Rahmen vorgibt, dass sich der typische Student an existierenden Wörtern orientiert und ansonsten nur die Mindestanforderungen an die Passwörter erfolgt ist ein 8 stelliges Passwort recht schnell geknackt... na Klasse -.-
-
Edit, habe ich das richtig verstanden, das mal eben Files mit den Passwörtern abhanden gekommen sind?
Das ist anzunehmen. Ich denke, dass es nur eine Frage der Zeit ist, bis alle (auch die komplizierteren) Kennwörter entschlüsselt sind. Wie schnell das geht, vermag ich nicht einzuschätzen...
Update: Breaking Unix Passwords with PlayStation-3 !!!
http://www.toorcon.org/tcx/14_Bevand.pdf
Bruteforcing speed = 11.1 million password/sec
:w00t::w00t::w00t:
-
Nach diesem Artikel:
http://www.heise.de/kiosk/archiv/ct/2009/6/204_kiosk
benötigt man zum knacken von nem 8 stelligem Windows Passwort mit Groß/Kleinschreibung und Sonderzeichen 33Tage (Bei Einsatz eines eher lahmen DualCore Prozessors und zweier mittelpotenten Grafikkarten die GPU-Computing unterstützen). Die Frage ist dann nur, in wie weit die Daten die Mr. X besitzt verschlüsselt sind und wie gut der Algorithmus in entsprechenden Kreisen bekannt ist. Wenn wir Pech haben bestehen zu diesem System schon ganz gut durchgearbeite Lookuptabellen die das Knacken von Verschlüsselungen erheblich beschleunigen und wenn wir Glück haben hat sich Jemand die Daten beschafft und kommt nicht ran, da der Aufwand vorerst doch zu hoch ist (wobei hier die Frage ist wie hoch der mögliche Gewinn ist der erzielbar ist, wenn wirklich Patente ausspähbar wären, findet sich sicher Jemand der ausreichende Beträge zahlt um den Spaß zu knacken...).
Sind alles Spekulationen, es sind aber Spekulationen über reale Möglichkeiten und die "es könnte ja gut gehen"-Einstellung vertrete ich nunmal nicht!
-
MD5 Crack GPU (google weiß mehr)
soll jetz keine Anleitung sein, aber es gibt noch wesentlich bessere Tools um die neuen Funktionen von Grafikkarten a la CUDA etc. zu nutzen...z.B 200 Millionen MD5 Hashes pro sekunde auf einer pupsigen 8800 GT die man für 80 euro kaufen kann.
-
Um sich ein Bild von der gegenwärtigen Sicherheit zu machen, sollte man zunächst über die Anzahl der möglichen Kennwortkombinationen nachdenken. Das Alphabet (Zeichenvorrat) besteht aus zwei Gruppen. Gruppe a: Klein- und Großbuchstaben (52 Zeichen); Gruppe b: Ziffern und Sonderzeichen (32 Zeichen). Siehe auch: Formular zur Kennwort-Änderung (https://formulare.zih.tu-dresden.de/passwd/) Das Kennwort hat eine Länge von 8 Zeichen, dabei muss mindestens ein Zeichen aus Gruppe a und b vorhanden sein.
[latex]a = 52 \\b = 32 \\n = a \cdot b \cdot (a^6$ + a^5$ \cdot b + a^4$ \cdot b^2$ + a^3$ \cdot b^3$ + a^2$ \cdot b^4$ + a \cdot b^5$ + b^6$) \\n = 82,676,835,418,112 \\n \approx 8.268 \cdot 10^{13}$ [/latex]
Es gibt also gut 82 Billionen verschiedene Kennwortkombinationen. Einige davon sind ungültig, weil sie Bestandteile aus bekannten Wortlisten enthalten. Wieviel das wirklich sind, kann ich nicht sagen. Ich denke, dass es nicht mehr als ein paar Millionen sind.
-
In Abhängigkeit des verwendeten Verschlüsselungsverfahrens und der Schlüssellänge kann man den Aufwand zum Knacken abschätzen. Dafür gibt es verschiedene Techniken: Brute Force (http://de.wikipedia.org/wiki/Brute_force_attack) ist die wohl universellste, aber aufwändigste Technik. Ein Kennwort gilt geknackt, wenn man im Mittel 50% aller potentiellen Kombinationen durchprobiert hat (bestimmte Kennwörter sind leicht zu knacken, andere sind dagegen schwieriger zu finden). Intelligente Verfahren nutzen die individuellen Schwächen des verwendeten Verschlüsselungsverfahrens aus. Im NIS werden die Hashwerte der Unix-Kennwörter hinterlegt. Dazu wird traditionell DES mit einem 56 Bit langem Schlüssel verwendet. Andere mögliche Verfahren sind MD5, Blowfish und SHA (mehr Infos im wiki (http://en.wikipedia.org/wiki/Crypt_%28Unix%29)). Im Skript von Prof. Pfitzmann (http://dud.inf.tu-dresden.de/%7Epfitza/DSuKrypt.pdf) wird G-DES im Abschnitt 3.7.7 erläutert. Für das Jahr 1995 wird der Aufwand abgeschätzt mit:
Für 10^5 US$ kann man also eine Maschine bauen, die in 35 Stunden einen Schlüssel ermittelt, für 10^6 US$ dauert es nur noch 3,5 Stunden, usw. In der Vergangenheit verdoppelte sich die Rechenleistung bei gleichen Kosten etwa alle 18 Monate.
Verwendet man die Brute-Force-Technik (ohne Wortlisten und ohne Ausnutzung der Schwächen des DES-Verfahrens), würde das Knacken eines Unix-Kennworts auf einer PLAYSTATION 3 (http://de.wikipedia.org/wiki/Playstation_3) (vielen Dank an Pittiplatsch, Kosten: ca. 400 EUR) im Mittel (nur) 43,1 Tage dauern. Einen Wert, den ich so auch nicht erwartet hätte. Hier meine Nebenrechnung:
[latex]n = 82,676,835,418,112 \\v = 11,100,000 s^{-1}$ \\ $t_{mittel}$ = 0.5 \cdot \frac{n}{v} \\ $t_{mittel}$ \approx 3,724,181 s \\ $t_{mittel}$ \approx 1,034.5 h \\ $t_{mittel}$ \approx 43.1 d[/latex]
-
Gelingt es einem Angreifer an die Hashwerte der Kennwörter im NIS heranzukommen (Sicherheitsvorfall), kann er diesen Angriff durchführen. Im Mittel wird er dabei nach 43 Tagen auf einer Playstation 3 mit Brute Force erfolgreich sein und könnte dann in einen Account einbrechen. Werden intelligentere Techniken eingesetzt, wird sich der Erfolg höchst wahrscheinlich früher einstellen.
Ein derartiger Angriff lässt sich nach einem Sicherheitsvorfall verhindern, wenn man noch vor dem Einbruch (!!!) sein Kennwort gewechselt hat. Man sollte also die Kennwörter in regelmäßigen Abständen erneuern.
Da dem Angreifer die geknackten Kennwörter im Klartext vorliegen, hilft es relativ wenig, ein eigenes Schema für die Kennwort-Erneuerung anzuwenden. Der beste Schutz ist daher ein völlig zufällig gewähltes Kennwort.
-
Gelingt es einem Angreifer an die Hashwerte der Kennwörter im NIS heranzukommen (Sicherheitsvorfall), kann er diesen Angriff durchführen.
Mir ist schon klar, dass es eine 100%ige Sicherheit nicht gibt, also könnte sich dieser Vorfall jederzeit wiederholen, wenn das Sicherheitsloch nicht geschlossen wird. Oder?
Man sollte also die Kennwörter in regelmäßigen Abständen erneuern.
Wenn ich ehrlich bin, habe ich mein Kennwort bisher nur einmal gewechselt. :whistling: Aber das werde ich sofort nachholen.
@Guru: Wie oft sollte man sein Kennwort ändern? Jeder Woche oder einmal im Monat?
@ZIH: Warum sind die Kennwörter auf 8 Zeichen begrenzt? 82 Billionen Möglichkeiten sind mir zu wenig. :nudelholz:
-
Wie oft sollte man sein Kennwort ändern? Jeder Woche oder einmal im Monat?
Das hängt ganz von Deinem persönlichen Schutzbedürfnis ab. Es gibt Firmen, bei denen die Angestellten ihre Kennwörter (unter Windows) einmal im Monat erneuern müssen.
Nach Bekanntwerden des Sicherheitsvorfalls sollte jedoch jeder Nutzer möglichst sofort ein neues Kennwort verwenden. Insofern kann ich das Verhalten im ZIH nicht ganz nachvollziehen. Muss denn erst das Kind in den Brunnen fallen?
Warum sind die Kennwörter auf 8 Zeichen begrenzt?
Weil wahrscheinlich das Verfahren für die Hashwerte nicht geändert werden kann.
Das NIS an sich ist nicht daran schuld. Das Problem liegt vielmehr daran, dass zum einen ein Sicherheitsvorfall eingetreten ist (begünstigender Umstand, lässt sich nicht vollständig verhindern) und dass zum anderen der Wertevorrat für die verwendeten Hashwerte und damit auch für die Kennwörter (max. 8 Zeichen) zu gering ist. SHA (http://de.wikipedia.org/wiki/Secure_Hash_Algorithm)-2 wäre eine sinnvolle Alternative, weil es je nach Sicherheitsanforderung skalierbar ist.
SHA-2 bildet eine Familie von Algorithmen, die sich durch die Länge des Hashwerts unterscheiden. Damit kann eine Abwägung zwischen Rechenaufwand und Sicherheit getroffen werden.
-
vielen Dank an Pittiplatsch, Kosten: ca. 400 EUR
Das ist ja ein sehr teures Dankeschön. :)
-
Nunja da das berechnen von Hashes auf GPUs (Grafikkarten) ebenfalls ganz gut skalliert kann man solche Aufgaben mittlerweile gut auch auf Computern mit neueren GPUs durchführen. Als Vergleich sei nureinmal die (wenn auch sehr theoretische Rechenleistung" genannt:
PS3: 204,8 GFLOPS
Nvidea 285GT: 1062GFlops
Nvidea 295GTX: 2*894Gflops
In der Theorie kann man auch ATI basierte Grafikkarten nehmen, die reine Rechenleistung ist da noch etwas höher (+15%) jedoch fehlt hier eine Schnittstelle (sie fehlt nicht wirklich sie ist einfach weniger verbreitet...)
Kurzum, braucht eine PS3 im Mittel 43Tage kann eine Computer der fleißig HighEndgrafikkarten nutzt (das Stück ~320€, 1-4 sind innerhalb eines Computers parallel betreibbar) diesen Wert recht schnell einschrumpfen. Ich gehe jetzt mal davon aus, dass eine Grafikkarte (285 GT) etwa die 2,5fache Menge an Hashes schafft als eine PS3. Nach Milchmädchen macht das dann noch 17,2 Tage und mit 4GPUs die fein Rechenmarathon spielen sind es 4,3Tage...
Ok ein solcher 4GPU Computer kostet 1500-2000€ ist aber noch etwa doppelt so flott wie die damit kaufbare Anzahl PS3... Abgesehen davon kann man die Hardware danach auf Ebay wieder versetzen ohne all zu viel Miesen zu machen.
Erschwerend kommt hinzu, dass eine Verschlüsselung von 64bit heutzutage schon ein Witz ist. 128bitige Schlüssel werden mit Lookuptabellen innerhalb weniger Tage geknackt. Wobei mit längerer werdenem Schlüssel nicht nur der Rechenaufwand steigt sondern auch die größe der Tabellen (die irgendwann groß genug sind um die Speicherkapazität des Unirechenzentrums zu überfordern...). Geht man davon aus, dass es wirklich weniger als 64bit sind, dann bekommt man eine ausreichend große Lookuptabelle bereits im Arbeitsspeicher eines Modernen Computers unter (8GB Ram sind bei gewissen Computeraffinen Menschen Standard...)
Heidewitzka, ich kann son Zeuch zwar nur per Milchmädchen berechnen aber so oder so isses recht kritisch -.-
(http://de.wikipedia.org/wiki/Floating_Point_Operations_Per_Second)
-
Wie wär's mit den Hochleistungsrechnern im ZIH (http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/hpc/hochleistungsrechner)?
Für diese Maschinen dürfte es ein Klacks sein.
-
eine frage wäre wie lang es dauert bis der rechner die antwort bekommt ob das passwort stimmt oder nicht - wenn das nur 0,1 sekunden dauert gehen wir bei 82 billionen möglichkeiten doch wieder in die tausenden jahre ^^
-
eine frage wäre wie lang es dauert bis der rechner die antwort bekommt ob das passwort stimmt oder nicht - wenn das nur 0,1 sekunden dauert gehen wir bei 82 billionen möglichkeiten doch wieder in die tausenden jahre ^^
Eben nicht. Pittiplatsch schreibt im Post #9 (http://www.bombentrichter.de/showpost.php?p=125691&postcount=9), dass man auf einer PS3 pro Sekunde über 11 Millionen Kennwörter testen kann. Auf Seite 14 der PDF-Datei (http://www.toorcon.org/tcx/14_Bevand.pdf) findet man die Ergebnisse (siehe Bild). Also dauert der Test nur ca. 90 ns. Das muss ein wahnsinnig optimierter Algoritmus sein...
-
Klar sind solche Späße optimiert, alles was irgendwie geschützt wird ist wertvoll und Alles was wertvoll ist wird begehrt. Insofern ist das Bestreben passendes Werkzeug zu haben das natürlichste auf der Welt (naja so in etwa). Abgesehen davon geht man bei solchen Überlegungen davon aus die Daten die verschlüsselt sind zur Verfügung zu haben (haste einma Zugang zum System wirds Kopieren idR kein Hinderniss mehr darstellen). Also liegt den Block den man gerade entschlüsseln wil im Ram oder gar noch im CPU/GPU Cache und spätestens da sind 90ns genug Zeit um zwischendurch nochmal Kaffee holen zu können.
-
Wir wollen hier mal keine weitere Panik verbreiten. Schließlich muss man
1. an das zentrale Passwd-File und die Hashwerte herankommen und
2. über das nötige Know-How und die entsprechenden Hacker-Tools verfügen,
um einen effektiven Angriff starten zu können. Ich will es auf keinen Fall schön reden, dass jemand unautorisiert an diese sensiblen Daten herangekommen ist. Das ZIH wird sicher die nötigen Konsequenzen gezogen haben, jetzt wo der Fall in der Presse publiziert wurde. Unter der Annahme, dass das Sicherheitsloch inzwischen geschlossen ist, sollte man den Hinweisen nachkommen und sein Kennwort erneuern. Mehr gibt's für Otto-Normal-User vorerst nicht zu tun.
-
1. Eben das scheint erfolgt zu sein wobei keiner weiß, ob denn nun eine Kopie existiert, wenn ein unerlaubter Zugriff stattgefunden hat ist ein kopieren wahrscheinlich (nur drauf zugreifen bringt wenig)
2. Du kannst davon ausgehen, dass wenn Artikel zu solchen Themen in der Fachbresse erscheinen (zB in der c't des Heise Verlages, entsprechender Artikel ist oben von mir verlingt es werden Programm und quasi auch Bezugsquellen genannt), sowohl die Guten (Hacker des CCCs zB) als auch die Bösen (such dir was aus) entsprechende Tools haben. Die Hardware gibt es in Dresden bei folgenden Läden (zufällige Reihenfolge, Selbstabholung möglich):
PlayIT
Cyberport
Winner-Computer
MM-Computer
Saturn
Expert
Media Markt
etc.
Das Problem scheint auch nicht sonderlich ernst genommen zu werden. Der Zeitungsartikel ist vom 08.Juni, das PDF samt Warnseite trägt ein Zeitstempel vom 11.06.2009 11:39Uhr, der Dateinahme deutet darauf hin, dass die Datei am 10.Juni erstellt wurde.
Da frage ich mich, ersteinmal wieso die SZ eher bescheid wusste und wieso kein mir bekannter Student bis jetzt einen kleinen Hinweis bekommen hat, dass man das Passwort mal ändern sollte. Irgendwie bleiben solche Meldungen hängen obwohl ich in der Woche sicher eine unerwünschte Mail ausm Mailverteiler der TU bekomme (Umfrage für die Meinungsmacher ähhh -forscher von Morgen...).
-
vielen Dank an Pittiplatsch, Kosten: ca. 400 EUR
Hey, der Guru will mir wohl eine PS3 besorgen?
Wie wär's mit den Hochleistungsrechnern im ZIH (http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/hpc/hochleistungsrechner)?
Für diese Maschinen dürfte es ein Klacks sein.
Fantastische Idee! Xanthos, Du machst mir richtig Angst. :ermm:
-
Da frage ich mich, ersteinmal wieso die SZ eher bescheid wusste ...
Also, im SZ-Artikel vom 08.06.2009 (http://www.bombentrichter.de/attachment.php?attachmentid=4902&d=1244748756) steht nur, dass es eine Sicherheitslücke im TU-Netz gibt und dass darüber die Zugangsdaten leicht ausspionierbar sind. Über einen aktuellen Sicherheitsvorfall steht da nichts drin. Ich denke mal, dass der genannte Doktorand das Know-How für sich behalten hat; er würde sonst seinen Arbeitsplatz riskieren. Bestimmte Kreise könnten diesen Artikel aber als Auftrag verstanden haben. Wann der Sicherheitsvorfall wirklich eingetreten ist, lässt sich nicht eindeutig definieren. Man könnte annehmen, dass er am 10.06.2009 war.
Warum das ZIH nicht schon früher die Nutzer informierte, ist nicht zu verstehen. Immerhin bestand das Sicherheitsloch seit 2007.
P.S. Pittiplatsch hat den Kommentar zum Artikel vom 08.06.2009 (http://www.bombentrichter.de/attachment.php?attachmentid=4901&d=1244740005) im SZ-Archiv gefunden. Der war auf der gleichen Seite, nur ganz rechts versteckt.
@Pittiplatsch: Woher wusstest Du überhaupt, dass etwas im SZ-Archiv zu finden ist? Im Warnhinweis zur Kennwortsicherheit vom Herrn Syckor steht darüber nichts. Der Kobold muss noch eine andere Quelle gehabt haben...
-
Woher wusstest Du überhaupt, dass etwas im SZ-Archiv zu finden ist? Im Warnhinweis zur Kennwortsicherheit vom Herrn Syckor steht darüber nichts. Der Kobold muss noch eine andere Quelle gehabt haben...
Gelle, da staunste Bauklötzer. :w00t:
Na ja, ich war am Donnerstag nach der 1. DS ca. gegen 9:30 Uhr im CAD-Labor. Da ging überhaupt nichts mehr. Nach der 2. Kennwort-Eingabe blieb der PC mit der Meldung "ZIH-Fileserver wird kontaktiert..." hängen. Der Admin schien etwas im Stress zu sein. Auf die Frage, wann man wieder arbeiten könne, sagte er nur, dass der Zentrale Fileserver nicht erreichbar sei, an der Feuerwand im ZIH gebastelt wird und zur Zeit niemand sagen kann, wann es wieder funktioniert. Auf die Frage, warum gerade am Donnerstag diese Bastelei nötig sei, meinte er nur, dass es am Montag in der SZ einen brisanten Artikel gegeben habe. Und dann war er auch schon entschwunden... Ich bin dann auch verschwunden und am Nachmittag fand ich den Hinweis auf der Aktuell-Seite des CAD-Labors, die sich automatisch nach der Anmeldung öffnet.
-
Schon lustig wie sich einige hier aufregen :D
Viel interesanter ist doch das jeder im ZIH ne Liste findet, wo Studenten-Login und Name im Klartext drauf stehen und was noch vieeeel lustiger ist: mindestens 80% der Studenten haben ihrern eigene Acount (also für den auch nur sie selber zuständig sind) auf den ftp Servern auf vollen Zugriff für alle anderen stehen... Leute, da seid ihr selber schuld wenn andere eure Diplomarbeiten angucken.
Kleiner Tipp für die teeschnich versierten, einfach mal ordentliche Berechtigungen für eure Dateien einstellen, den Brutforcen lässt sich der Server nicht, da er wie oben schon erwähnt, min 0,1 sec zum antworten braucht, mal 82Bil kommt da einiges zusammen.
Ganz anders sieht das ganze aus wenn man unsichere Passwörter benutzt, weil dann schafft es jeder einigermaßen brauchbare infostudent, über den shadow-file quasi rückwärts über die hash-codes die Passwörter zu raten (die file ist übrigens sehr wohl geschützt und kann nur aus dem innersten Kreis (admins) "geklaut" werden).
Als Fazit... halbe Hektik und lieber mal dafür Sorgen das ihr euren Beitrag zur Sicherheit eurer Dateien leistet...
-
... und was noch vieeeel lustiger ist: mindestens 80% der Studenten haben ihrern eigene Acount (also für den auch nur sie selber zuständig sind) auf den ftp Servern auf vollen Zugriff für alle anderen stehen...
Hey, das klingt nach einem großen Selbstbedienungsladen... :unsure:
Kannst Du mal erzählen, wie man den Account richtig einstellt? Da muss doch eine Grundeinstellung vermurxt sein. Ich kann mir nicht vorstellen, dass 80% der Studenten freiwillig die Haustür offen lassen...
-
Brutforcen lässt sich der Server nicht, da er wie oben schon erwähnt, min 0,1 sec zum antworten braucht, mal 82Bil kommt da einiges zusammen.
Ich glaube nicht, dass sich ein Hacker beim Finden der richtigen Kennwörter gleich mit einem lebenden System anlegen würde.
Ganz anders sieht das ganze aus wenn man unsichere Passwörter benutzt, weil dann schafft es jeder einigermaßen brauchbare infostudent, über den shadow-file quasi rückwärts über die hash-codes die Passwörter zu raten (die file ist übrigens sehr wohl geschützt und kann nur aus dem innersten Kreis (admins) "geklaut" werden).
NIS ist ein Verzeichnisdienst (http://de.wikipedia.org/wiki/Verzeichnisdienst). Stell Dir das am besten wie ein Telefonbuch (http://de.wikipedia.org/wiki/Yellow_Pages) vor, in dem jeder Benutzer nach Herzenslust (http://www.websitewiki.de/Herzenslust.de) :-) blättern kann. Einer der wohl größten Schwachstellen ist, dass in diesem Telefonbuch auch die Hashwerte (http://de.wikipedia.org/wiki/Hashfunktion) der Kennwörter zu finden sind. Zum Blättern und Lesen braucht man kein Admin zu sein. Man muss nur den richtigen Server anzapfen. Wenn keine Firewall die Sache verbietet, kommt man an die heiß begehrten "Telefonnummern" ran.
-
Wenn keine Firewall die Sache verbietet, kommt man an die heiß begehrten "Telefonnummern" ran.
Der Admin schien etwas im Stress zu sein. Auf die Frage, wann man wieder arbeiten könne, sagte er nur, dass der Zentrale Fileserver nicht erreichbar sei, an der Feuerwand im ZIH gebastelt wird und zur Zeit niemand sagen kann, wann es wieder funktioniert.
Hat da jemand die Haustür offen gelassen?
-
Hat da jemand die Haustür offen gelassen?
Das ist etwas spekulativ. Ob es einen kausalen Zusammenhang zwischen den beiden Ereignissen gibt, wissen wahrscheinlich nur die Admins im innersten Kreis der Hölle (http://books.google.de/books?id=jvBcA7LjP9cC&pg=PA11&lpg=PA11&dq=Im+innersten+Kreis+der+H%C3%B6lle&source=bl&ots=7vozoWFbrS&sig=OtvO3yc-S1WxPwcKV6PYCZc9axE&hl=de&ei=PcY2StzaMpue_Abt0rWOCw&sa=X&oi=book_result&ct=result&resnum=1) :-)
Hey, das klingt nach einem großen Selbstbedienungsladen...
... Da muss doch eine Grundeinstellung vermurxt sein. Ich kann mir nicht vorstellen, dass 80% der Studenten freiwillig die Haustür offen lassen...
Ich muss hier mal (ausnahmsweise) dem Hausmeister2001 (http://www.bombentrichter.de/member.php?u=1926) recht geben, die meisten Nutzer lassen ihr Home Directory (http://en.wikipedia.org/wiki/Home_directory) offen (siehe Bildchen). Die Vermutung, dass da die Grundeinstellung nicht so genial ist, liegt ziemlich nahe. Was kann man tun?
Per SSH (Secure SHell (http://de.wikipedia.org/wiki/Secure_Shell)) unter Unix anmelden und wenigstens dafür sorgen, dass andere Benutzer das Home Directory nicht mehr auslesen können:
chmod 711 $HOME
Die sensibelsten Dateien befinden sich unter "Eigene Dateien". Also:
chmod 700 "$HOME/Eigene Dateien"
Falls mann eine eigene Webseite (http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/datennetz_dienste/www/erstellen_persoenlicher_webseiten) im Ordner "public_html" betreibt:
chmod 755 $HOME/public_html
Für die Freaks: chmod (http://de.wikipedia.org/wiki/Chmod) setzt die Zugriffsrechte für Verzeichnisse und Dateien. Aber Achtung! Der 3-stellige Ziffernkode muss mindestens mit einer 6 (Dateien: rw-) oder einer 7 (Verzeichnisse: rwx) beginnen, damit ihr euch nicht selbst aussperrt.
-
Ich kann trotzdem beruhigen, das nirgendwo im System die Passwörter im Klartext stehen, vermutlich stehen nicht mal die verschlüsselten Passwörter in irgend einer Datei, sondern eben "nur" die Hash-Werte, das heisst statt "Passwo1!" steht da irgendwo eine 128-Bit-Zeichenfolge (falls das ZIH wie ich annehme MD5 benutzt).
Und wen man jetzt ein sinnlos Passwort wählt, wie abcdef1! oder so, was jeder schnell raten kann, kann auch jeder schnell ide hash-summe dafür bilden, und nachschauen ob die irgendeiner bei sich im Telefonbuch stehen hat! Es geht aber NICHT, einfach im Telefonbuch zu blättern, und sich einen rauszusuchen und dann genau sein Passwort zu lesen. Und sobald man ein einigermaßen gutes Passwort (okay, hier ist es natürlich wahr das die 8 zeichen Begrenzung grüze ist), kann auch kein noch so toller Hacker "schnell" an das Passwort kommen...
Außerdem müsst ihr hier auch mal nutzen und Aufwand sehen. Die ZIH nutzen nur wenige der Studenten wirklich für sensible Daten, ein urster Aufwand zum Verschlüsseln macht also quasi keinen Sinn.
Da wo nämlich wieder jeder selber für die Sicherheit verantwortlich ist, da sind die Lücken ungefähr 1000 mal größer. Jeder der das VPN/WEB-Wlan nutzt sollte schon mal ganz ruhig sein, weil da ist es mit der Sicherheit eh vorbei. (obwohl das Hoch-sichere EDUROAM genauso überall zu empfangen ist). Oder wenn ihr wüsstet wieviele Leute bei Ebay/Gmx oder zum Teil sogar bei Onlinebanking das Passwort ihrem Benutzernamen angleichen, da ist eh alles vorbei.
Jeder Student sollte froh sein, dass das ZIH uns überhaupt die Möglichkeit gibt, standardmäßig 200MB an der Uni freigehalten zu bekommen. Wenn man mal nett bei denen vorbeischaut haben die auch überhaupt kein Problem einem da mehrere GB freizuschalten. Das die Server nicht wirklich sicher sind wussten wir doch schon immer, sensible Daten gehören eh nicht auf Server die einem selber nicht gehören.
-
Zuerst die guten Nachrichten:
Und wen man jetzt ein sinnlos Passwort wählt, wie abcdef1! oder so, was jeder schnell raten kann, kann auch jeder schnell ide hash-summe dafür bilden, und nachschauen ob die irgendeiner bei sich im Telefonbuch stehen hat!
1. Das Gute an einem kryptologisch starken Hash ist, dass man "auf den ersten Blick" nicht erkennen kann, ob sich dahinter - ich nenn's mal - ein Trivalkennwort versteckt oder ob es schon komplizierter ist. Beispiel für einen klassischen Unix-Hash (DES 56 bit):
crypt("abcdef1!") => "5x62etk8wXfiQ"Der Hashwert eines Trivialkennworts hat schon die Qualitäten eines sehr guten Kennworts. Aber diesen Buchstaben- und Ziffernsalat kann sich kein Mensch mehr merken.
2. Das Gute an der Implementierung ist, dass in die Berechnung des Hashwertes noch eine "Zufallskomponente" (Salt (http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29), z.B. Systemzeit) einfließt. Dadurch liefert ein nochmaliger Aufruf der crypt()-Funktion mit dem gleichen Kennwort einen anderen Hash:
crypt("abcdef1!") => "GjVaG6aNWXic6"3. Hashfunktionen sind Einwegfunktionen (http://de.wikipedia.org/wiki/Einwegfunktion), d.h. es gibt im mathematischen Sinn keine Umkehrfunktion.
Trotzdem ist das noch kein Grund, sich sicher zu fühlen. Jetzt das Schlechte:
Hashfunktionen sind verwundbar gegenüber Kollisionsangriffen (http://de.wikipedia.org/wiki/Kollisionsangriff) (Geburtstagsangriff). Kollision bedeutet, dass zwei unterschiedliche Kennwörter auf den gleichen Hashwert abgebildet werden. Falls Kollisionen "oft" genug passieren, kann man sie ausnutzen und erreicht dadurch, dass ...
... die nötige Zahl an Variationen nur noch etwas größer als die Quadratwurzel (http://de.wikipedia.org/wiki/Quadratwurzel) der benötigten Anzahl beim naiven Angriff (Brute force) ist.
Durch die gestiegende Rechenleistung und neue, verbesserte Algorithmen kann man einen Angriff auf Basis gesammelter Hashwerte in immer kürzeren Zeiten realisieren. Etwa aller 18 Monate verdoppelt sich die Rechenleitung bei annähernd gleichen Kosten. Insbesondere kommt durch leistungsfähigere Grafikkarten (nVidia CUDA (http://de.wikipedia.org/wiki/CUDA)-Technologie) ein enormer Leistungsschub im PC-Bereich dazu.
Systemlösungen, die noch vor 10 Jahren als (absolut) sicher galten, können schnell zu einem Risiko für die gesamte IT-Landschaft werden (Identitätsdiebstahl (http://de.wikipedia.org/wiki/Identit%C3%A4tsdiebstahl)). Es besteht also ein akuter Handlungsbedarf. Ob man einen neuen Verzeichnisdienst einführt oder das bestehende System modifizieren kann, wird sich zeigen. Es bleibt also mit Sicherheit spannend!
-
puh, das artet ja relativ schnell aus hier :pinch: habe die letzten 50% der posts nicht verstanden, und demnach übersprungen :P
ABER: kurze zwischenfrage eines menschen, der von oben genannten termini / techniken keine ahnung hat und einfach nur seinen uni-account schützen möchte:
soweit ich das verstanden habe liegt die haupt-schwachstelle auf seinen des ZIH. die müssten ihr system sicherer machen um virtuelle langfinger draußen zu halten. --> ist das beste was wir studenten jetzt im moment tun können in der nächsten zeit verstärkt unsere PWs zu ändern bis die ihre server umgestellt haben? oder haben wir noch eine andere möglichkeit? die studenten sind ja recht demonstrierfreudig, wie wärs mal mit einer dicken demo zur datensicherheit an der TU Dresden? :cool::cool:
-
Es macht keinerlei Sinn da gegen irgendetwas zu demonstrieren.
Das ZIH stellt uns die Email und den Serveplatz freiwillig und quasi frei Haus zur Verfügung.
Das Einzige was man den ZIH-Admins vorwerfen kann ist, dass sie vermutlich seit Jahren über ihre Lecks bescheid wissen. Aber als Konsequenz sollte man einfach keine sensiblen Daten auf den ZIH-Servern haben, wie allgemein auf keinem Server über den man nicht handhaben kann.
Eigentlich sind die Home-laufwerke ja auch "nur" für Übungssunterlagen oder Vorlesungsmaterialien gedacht, wenn sich da einer reinhacked, ist er selber schuld. Da stehen wie ich schon sagte, Nutzen und Aufwand nicht im Verhältniss.
Wenn man jetzt anfängt, ne Demo loszutreten, kann es auch ganz schnell passieren das die Unileitung sagt, dass der Server halt nur noch für die Uni-Mitarbeiter/Studenten-gruppen zu nutzen ist, und die komplette Studentenschaft nurmehr das Internet nutzen darf. (was ich im Übrigen auch schon für einen sehr noblen Dienst der Uni halte, ich will nicht wissen wieviele Kosten die sparen könnten, wenn die einfach nur noch Mitarbeitern das LAN/WLAN zugänglich machen) Dann sind nämlich alle probleme gelöst.
Ich weiss das diese Aussage recht provokativ ist, aber dafür das wir keinerlei Studiengebühren bezahlen bekommen wir schon verdammt Viel geliefert. Ich kenne Leute an ungefähr 10 UNI's persönlich, und viele sind neidisch auf unsere Medien-Versorgung.
Nochmal zum Mitschreiben: Die einzigen sinnvollen Konsequenzen sind, alle wichtigen Daten woanders zu lagern (am besten auf einem einfach verschlüselten USB-Stick am Schlüsselbund) und das Passwort wirklich nur fürs ZIH zu nutzen.
-
puh, das artet ja relativ schnell aus hier :pinch: habe die letzten 50% der posts nicht verstanden, und demnach übersprungen :P
geht mir oft nicht besser... Und da willst Du streiken gehen? :no:
Das Einzige was man den ZIH-Admins vorwerfen kann ist, dass sie vermutlich seit Jahren über ihre Lecks bescheid wissen. Aber als Konsequenz sollte man einfach keine sensiblen Daten auf den ZIH-Servern haben ...
Wie wärs mit einem Datenstreik? Nix mehr im ZIH speichern. Und die Hacker werden schnell begreifen, Straftaten lohnen sich nicht.
-
wie wärs mal mit einer dicken demo zur datensicherheit an der TU Dresden? :cool::cool:
Keine so gute Idee. Der Medienrummel würde nur noch mehr Hacker auf den Plan rufen. Eventuell würden die Entscheidungsträger im ZIH in Aktionismus verfallen und die Server abschalten. Vom ZIH sollte man erwarten können, dass sie das Risiko objektiv einschätzen und geeignete Maßnahmen ergreifen, um die Sicherheit zu erhöhen. Dazu gehören auch solche Maßnahmen, wie z.B. dass man die Nutzer besser über Sicherheitsthemen informiert. Dass die meisten Studenten ihr Home-Directory offen lassen, sei ein Beispiel.
Einen schönen Abend noch...
-
Insbesondere kommt durch leistungsfähigere Grafikkarten (nVidia CUDA (http://de.wikipedia.org/wiki/CUDA)-Technologie) ein enormer Leistungsschub im PC-Bereich dazu.
Nur mal so am Rande:
Sicherheitsdistribution BackTrack 4 mit CUDA-Unterstützung (http://www.heise.de/security/Sicherheitsdistribution-BackTrack-4-mit-CUDA-Unterstuetzung--/news/meldung/140886) (soeben auf heise.de gefunden)
-
Wie kommt man gleich an die Daten? Das Tool zum knacken habe ich gerade gefunden (danke^^) und ne neue Grafikkarte wollte ich mir eh die Woche zulegen... -.-
-
es muss sich hier ja nicht jeder auf die passwörter stürzen...
also hier mal keine links zu sensiblen daten rausgeben...
-
Hey Jungs! Mit sensiblen Daten spielt man nicht. :nudelholz:
Mal was anderes zur Abwechslung:
Forscher arbeiten an "Hacker-Alarm" (http://www.n24.de/news/newsitem_4959624.html)
... Diese Muster kennt das auf künstlicher Intelligenz basierende Frühwarnsystem und kann sie deshalb enttarnen. "Es lernt mit jedem Angriff dazu und wird besser", ergänzte Herzog.
-
Inzwischen hat das ZIH eine sinnvolle Maßnahme ergriffen (Zitat aus der ZIH-Info vom Oktober 2009):
Veränderung Zugriffsrechte für Home-Verzeichnisse
Infolge der Durchsetzung verbesserter Sicherheits-Strategien werden die Zugriffsrechte der Home-Verzeichnisse auf UNIX-File-Servern so verändert, dass nur der Eigentümer und Mitglieder der Eigentümergruppe Leserechte behalten (chmod o-r). Home-Verzeichnisse, die vom Eigentümer schon weiter eingeschränkt wurden, sowie Unterverzeichnisse werden von dieser Maßnahme nicht berührt. Der Standard-Zugriff auf die persönlichen WWW-Seiten des Nutzers wird dadurch nicht beeinflusst.
(Ansprechpartner: Benutzerberatung, Tel.: -31666)
-
Systemlösungen, die noch vor 10 Jahren als (absolut) sicher galten, können schnell zu einem Risiko für die gesamte IT-Landschaft werden. Es besteht also ein akuter Handlungsbedarf.
Hab das hier in meiner Mailbox gefunden:
Sehr geehrte Damen und Herren,
das ZIH verwaltet entsprechend der IuK-Rahmenordnung der TU Dresden für die Nutzung seiner Dienste die notwendigen Benutzerkennungen (bestehend aus Login-Kennzeichen und Passwort). Aus technischen Gründen konnten bisher Passwörter nur mit acht Zeichen verwendet werden.
Am 9. August 2010 führt das ZIH eine neue Password Policy ein, die eine minimale Passwort-Länge von neun Zeichen fordert.
Mit der Verwendung von Passwörtern mit mehr als acht Zeichen wird ein weiterer Schritt in Richtung Verbesserung der Password Policy und Erhöhung der Sicherheit für den einzelnen Nutzer erreicht. Damit dies auch nachhaltig prüfbar wird, kann es nur im Rahmen einer generellen Änderung aller Passwörter durchgeführt werden.
Bitte ändern Sie deshalb Ihr Passwort bis zum 31. Oktober 2010.
Die Passwort-Änderung erfolgt über folgende Webseite:
https://formulare.zih.tu-dresden.de/password/
Wenn Sie Ihr Passwort bis zum 1. November 2010 nicht geändert haben, können Sie danach keine Dienste des ZIH (z.B. E-Mail, WLAN, VPN, HRSK) und Dienste, die über das ZIH authentifizieren (z.B. LSKOnline, OPAL), mehr nutzen, da Ihre Benutzerkennung gesperrt werden muss. Sie können Ihre Benutzerkennung jedoch wieder entsperren, indem Sie die Benutzerberatung des ZIH aufsuchen.
...
Autor: Jens Syckor
Institution: Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH)
Soll das bedeuten, dass das System jetzt umgestrickt wurde und erst sicher ist, wenn man sein Kennwort erneuert hat?
Habt ihr schon Erfahrungen mit dem langen Kennwort gesammelt? Bin etwas skeptisch, ob alle Systeme schon umgestellt sind. Hatte früher in meinem Kennwort undankbare Sonderzeichen und konnte lange Zeit über die o.a. Webseite gar keine Kennwörter ändern.
-
Also ich hab meins schon geändert und hab auch schon festgestellt das ich zum Beispiel im HIS oder im Opal nun mit dem neuen Passwort ohne Probleme rein komme. Das ging zwar nich sofort, aber so nach 30-60 Minuten war das dann schon alles so weit umgestellt.
-
Im CAD-Pool unserer Fakultät wird das neue Passwort immoment noch Probleme verursachen. Also lieber erst im neuen Semester das Passwort umstellen, dann sollte es auch im CAD-Pool funktionieren.
-
@ Kuettler
Sehr geehrte Damen und Herren, kürzlich haben Sie eine email vom ZIH bekommen, dass bis zum 31.10.2010 alle Benutzer Passworte mit mindestens 9 Zeichen Länge haben müssen. Eventuell haben Sie schon Ihr Passwort geändert.
Wenn Sie im CAD-Labor Zeunerbau arbeiten, beachten Sie bitte: Im Moment können die neuen Passworte noch nicht ins CAD-Labor übernommen werden. Bis auf weiteres gilt daher im CAD-Labor noch Ihr altes Passwort für die Anmeldung am Computer.
Wolfgang Steger/Ralf Städtler
---
Wolfgang Steger
TU Dresden
Ich sehe das nicht als Problem, wenn man im CAD-Pool sein altes Passwort für eine gewisse Zeit weiter nutzen muss, der Rest funktioniert mit dem neuen Passwort einwandfrei (Opal, TU-Mail, ZIH-Login, HISQIS...), habe schon am 11.08.2010 kurz nach Erhalt der E-Mail umgestellt bis jetzt gab es noch keine Probleme.
-
Deswegen hab ich ja geschrieben, dass es mit den neuen Passwörtern noch Probleme gibt, weil die Domäne die neuen Passwörter vom ZIH nicht übernehmen kann. Falls man sein Passwort schon geändert hat, kann man auch sein altes noch benutzen. Das Problem ist aber das ZIH Laufwerk, weil dort schon das neue Passwort gilt (falls schon geändert). Deswegen sind immoment im CAD-Pool 2 Compuer eingerichtet, wo man sich mit dem alten Passwort anmeldet und für das ZIH Laufwerk mit dem neuen Passwort.
Herr Städtler meinte zu mir (arbeite im CAD-Pool als SHK) es ist besser, wenn man erst im neuen Semester das Passwort umstellt, falls man noch in diesem Semester im CAD-Pool arbeiten muss. Besonders auch diejenigen die Prüfungen dort schreiben.
-
Nutzer, die ihr Kennwort seit Montag, den 9. August 2010, über die ZIH-Webseite geändert haben, müssen folgende Punkte bei der Anmeldung im CAD-Labor beachten:
1. Suchen Sie sich einen Computer ohne NIS Validation.
Computer mit NIS Validation zeigen im Fenster zur Eingabe von Benutzername und Kennwort ein entsprechendes Logo auf der linken Seite. Aktuell sind alle Computer in den Räumen 320 und 322a ohne NIS Validation.
2. Zur Anmeldung auf der Windows-Domäne benutzen Sie Ihr letztes (kurzes) Kennwort.
3. Zum Anbinden des H:-Laufwerks (ZIH-Fileserver) geben Sie Ihr neues (langes) Kennwort ein.
Bis zum Start des Wintersemesters wird unser PC-Pool an die Windows-Domäne des ZIH (vgl. PC-Pool im Willersbau, Raum A119) angebunden sein. Ab 31. Oktober 2010 ist die Benutzung nur noch mit den neuen Kennwörtern möglich.
Ralf Städtler.
-
Infolge technischer und organisatorischer Probleme kann der PC-Pool voraussichtlich erst am Mittwoch, den 13.10.2010, geöffnet werden. Details zur Windows-Anmeldung werden zu gegebener Zeit veröffentlicht.
Neue Kennwort-Richtlinie
Im August 2010 wurden alle Nutzer per Mail zum Ändern ihrer Kennwörter aufgefordert. Die Frist läuft am 31.10.2010 ab. Nutzer, die ihr Kennwort nicht geändert haben, werden durch das ZIH gesperrt und sind damit vom Rechenbetrieb ausgeschlossen.
Warum ist die Kennwort-Änderung nötig?
Bisher konnten nur Kennwörter mit einer maximalen Länge von 8 Zeichen verarbeitet werden. Diese Begrenzung ergibt sich durch das eingesetzte Hashverfahren und stellt ein Sicherheitsproblem dar. Bei stetig steigender Rechenleistung (Verdopplung etwa aller 18 Monate) könnte das Kennwort durch systematisches Probieren schnell erraten werden. Durch Einsatz eines anderen Hashverfahrens können längere Kennwörter (bis zu 15 Zeichen) verarbeitet werden.
Welche Folgen hat die neue Kennwort-Richtlinie?
Die bisher eingesetzte Software ist für das neue Hashverfahren nicht ausgelegt. Das Pool-Betriebskonzept im CAD-Labor muss an diese neuen Bedingungen angepasst werden. Andere PC-Pools an der TU Dresden sind von dieser Umstellung auch betroffen. Aufgrund der Heterogenität der Systemlandschaften kann es keinen allgemeingültigen Ansatz geben. Vielmehr sind spezialisierte Lösungen gefragt.
Warum kann das CAD-Labor nicht genutzt werden? Es war doch genügend Zeit.
Trotz frühzeitiger Vorbereitungen zum Aufbau einer Testumgebung verliefen die Arbeiten stockend und führten nicht zum gewünschten Ergebnis. Das ursprünglich geplante Betriebskonzept lässt sich aufgrund unpassender Netzstrukturen nicht umsetzen und musste verworfen werden. Die Mitarbeiter des ZIH waren sets bemüht, schnelle Unterstützung zu leisten. Jedoch konnte der ehrgeizige Zeitplan wegen mangelnder Personal-Kapazitäten nicht eingehalten werden.
Was ist der aktuelle Stand?
Momentan kann die Windows-Anmeldung mit dem persönlichen ZIH-Login bei neuen Nutzern (z.B. Studenten aus dem ersten Semester) und Nutzern mit geändertem Kennwort nicht garantiert werden. Aufgrund der IuK-Rahmenordnung dürfen wir keine Sammel-Benutzerkonten zur allgemeinen Nutzung bereitstellen. Nutzer, die bereits im CAD-Labor gearbeitet haben, können sich ggf. noch mit ihrem letzten Kennwort (8-stellig) anmelden.
Fallen die Lehrveranstaltungen aus?
Nein, die geplanten Lehrveranstaltungen fallen nicht aus. Zur kurzfristigen Absicherung werden spezielle Sammel-Benutzerkonten vergeben. Weitere Informationen erhalten Sie von Ihrem Übungsleiter. Zum Speichern der Dateien benötigen Sie ggf. einen USB-Stick.
Wie geht es weiter?
Zunächst bleibt das CAD-Labor am Montag und Dienstag noch geschlossen, damit Installationsarbeiten und Tests in einer definierten Umgebung stattfinden können. Danach werden wir unsere Nutzer in geeigneter Form (Webseite, Forum, Aushang) informieren. Wir sind bemüht, schnellstmöglich eine akzeptable Anmeldung auf Basis des persönlichen ZIH-Logins umzusetzen.
Mit freundlichen Grüßen
Ralf Städtler.
-
Die Mitarbeiter des ZIH waren sets bemüht, schnelle Unterstützung zu leisten. Jedoch konnte der ehrgeizige Zeitplan wegen mangelnder Personal-Kapazitäten nicht eingehalten werden.
@msdnaa: Ist das nicht (fast) überall an der Uni so?
-
Es wurde keine Lösung für die Anmeldung mit dem ZIH-Login
auf der Windows-Domäne gefunden. Die Lehrveranstaltungen
werden mit Sammel-Benutzerkonten abgesichert. Zum Speichern
eigener Dateien sind USB-Sticks mitzubringen.
Außerhalb der Lehrveranstaltungen können die Computer nur benutzt werden, wenn man bereits im CAD-Labor gearbeitet hat und sein letztes (kurzes, 8-stelliges) Passwort noch kennt. Studenten aus dem ersten Semester werden sich daher nicht anmelden können. Alle Kennwortänderungen, die über die ZIH-Webseite erfolgen, wirken sich nicht auf die Windows-Anmeldung im CAD-Labor aus.
Obwohl es mehrere Lösungsansätze (Ideen) für den Kennwortabgleich gibt, fehlt eine praktikable Lösung noch immer. Eine radikale Umstellung des Pools ist während des Semesters nicht realisierbar. Die Pool-Betriebssoftware vom Willersbau A-119 und von der Informatik-Fakultät lässt sich nicht im CAD-Labor einsetzen. Die systembedingten Unterschiede sind zu groß.
Die einzige Hoffnung besteht in der Entwicklung eigener Programme; das benötigt aber eine gewisse Zeit. Somit wird sich die aktuelle Situation in den nächsten Wochen nicht grundlegend ändern können.
Mit dem Erneuerung unserer Datennetz-Switches haben sich zusätzliche Probleme ergeben, die eine rasche Software-Verteilung mittels Cloning-Technik um den Faktor 10 verlangsamen. Zusammen mit dem Login-Problem ^^^ hat sich so ein Zeitverzug von mindestens einer Arbeitswoche ergeben, Tendenz weiter steigend.
Sie können sich sicher vorstellen, dass ich mit diesem Zustand in keiner Weise zufrieden bin. Trotzdem bin ich bemüht, die anstehenden Probleme entsprechend ihrer Wichtigkeit schnellstmöglich zu lösen.
Mit freundlichen Grüßen
Ralf Städtler.
-
Erstmal danke für die Information - auch wenn es eine unerfreuliche ist, allemal besser als wenn man voller Tatendrang den Pool betritt, nur um festzustellen, dass man sich nicht anmelden kann.
Eine Frage stellt sich mir allerdings bezüglich des Übungsbetriebes für Erstsemester.
So wie ich es jetzt verstanden habe, werden alle Teilnehmer über ein und das selbe Konto angemeldet und können demzufolge keine Dateien abspeichern, weswegen man 'nen USB-Stick mitbringen sollte - aber wie groß sollte der günstigerweise sein, sprich, welche Menge an Daten fällt erfahrungsgemäß bei den Erstsemester-Übungen an ?
-
Ich hab mal das Datenaufkommen grob geschätzt:
pro Mathcad-Übung: etwa 200 - 500 kByte
pro Solidworks-Übung: etwa 0,2 - 4 MByte
Mathcad Software: ca. 200 MByte
Solidworks Software: ca. 5 GByte
Ich denke, ein 8GB-Stick ist somit ausreichend für Informatik.
Mit freundlichen Grüßen
Ralf Städtler.
-
seit wann muss man ins CAD-Labor seine eigene SW- und MathCAD-Version mitbringen ?!?
[EDIT: Fullquote entfernt. Der Beitrag steht doch direkt obendrüber. @ hätte auch gereicht :glare: --KleinerHugo (http://www.bombentrichter.de/member.php?u=9)]
-
@ Schaaf
Man soll SolidWorks und MathCAD nicht holen sondern mit nach Hause nehmen, im CAD-Pool kann man sich SolidWorks und MathCAD kopieren, das ist für Studis, die die Programme nicht zu Hause runter laden möchten oder können.
-
Liebe Student(inn)en,
ich möchte euch hiermit nochmal an die Frist zur Änderung der ZIH-Kennwörter erinnern. Das alte 8-stellige Kennwort muss bis zum 31.10.2010 durch ein neues 9- bis 15-stelliges Kennwort ersetzt werden. Andernfalls droht der Ausschluss vom Rechenbetrieb durch das ZIH.
Ich habe heute zwei Neuigkeiten für euch:
- Im Rahmen der Anmeldeprozedur wird das ZIH-Kennwort auf Erfüllung der neuen Richtlinie geprüft und der Nutzer ggf. gewarnt, dass sein Kennwort unsicher ist.
- Es besteht ab sofort die Möglichkeit, auch das Windows-Kennwort zu ändern und somit für mehr Sicherheit zu sorgen. Wer will, kann hier das neue ZIH-Kennwort eintragen. So braucht man sich nur noch ein Kennwort zu merken.
[ mehr Infos ] (http://tu-dresden.de/die_tu_dresden/fakultaeten/fakultaet_maschinenwesen/imm/ktc/labore/cad/help/pool_login_html)
Das neue Konzept für die Benutzerpflege im CAD-Labor ist weitestgehend geklärt. Einige Komponenten (Benutzerinterface, Webserver, PHP-Authentifizierungsmodul) sind bereits fertig. Es fehlt noch der eigentliche Dienst zur Aktualisierung der Benutzerkonten. Das ist eine betriebssystemnahe Programmieraufgabe, die hohe Anforderungen an Sicherheit und Zuverlässigkeit stellt. Ich denke, dass in 2-3 Wochen erste Ergebnisse vorliegen und sich der Betrieb schrittweise normalisieren wird.
Mit besten Grüßen
Ralf Städtler.
-
Auch trotz Passwortänderung weggesperrt? Möglicherweise geht der eine oder andere Dienst auch noch. In meinem Fall: Horde Ok, WLAN und alles andere nix mehr. Mir wurde gesagt, dass es möglich ist, dass bestimmte Systeme die neuen Kennwörter nicht akzeptiert haben. :mad:
Dann entweder der Benutzerberatung ordentlich aufs Dach steigen :nudelholz: oder sich erneut online vor dem EDV-Kram verneigen:
https://formulare.zih.tu-dresden.de/password_gesperrte/
-
Dann entweder der Benutzerberatung ordentlich aufs Dach steigen oder ...
Die Benutzerberatung des ZIH kann auch nichts dafür! Über die Ursachen des unberechtigten Ausschlusses lässt sich streiten. Fakt ist aber, dass heute drei Studenten mit ähnlichen Problemen bei mir im CAD-Labor waren. Sie wurden gesperrt, obwohl sie angeblich ihr Kennwort erneuert hatten. Ich gehe davon aus, dass weitere Sonderfälle existieren. Das wird mit Sicherheit eine interessante Woche werden...
http://tu-dresden.de/die_tu_dresden/fakultaeten/fakultaet_maschinenwesen/imm/ktc/labore/cad/help/pool_login_html
Wer die Fehlermeldung "Read_NISINFO() fehlgeschlagen" beim Login im CAD-Labor erhält, wurde gesperrt. Weitere Infos dazu auf der Webseite ^^^ ganz unten.
Mit besten Grüßen
Ralf Städtler.
-
Nehmen wir mal an, ich habe versäumt mein Passwort zu ändern. Was muss ich machen, damit ich wieder freigeschaltet werde? Zu einem ZIH verantwortlichen gehen? Da ich gerade nicht in Dresden bin, wäre mir eine Onlinevariante lieber. ;)
-
Kurzer Blick auf die Startseite des ZIH (http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/) genügt, man hat wohl damit gerechnet, dass es einige verschlafen ;)
-
Noch besser ist dieser Link (https://formulare.zih.tu-dresden.de/password_gesperrte/index.html?error=Totales%20Chaos%20im%20Rechenzentrum). :D
Ob man so die Seite knacken kann?
-
Ich hoffe eben immer noch auf gewisse Lerneffekte wie zum Beispiel "bei Problemen mit dem Login immer erstmal beim ZIH vorbeischauen" und hab es nicht so mit Direktlinks ;)
Ob man so die Seite knacken kann?
Wer weiß, der Versuch dazu wird erst nach Nicht-Bestehen einer 2. W "freigeschaltet"...:D
-
hatte mein pw definitiv auch geändert und kam gestern trotzdem nichtmehr ins hisqis rein.
hab denen ne mail geschrieben und die meinten man soll die oben angegeben seiten zur pw-änderung benutzen. auch das ging leider nicht bei mir.
habe mich dann mit meiner matrikelnummer sowie der identifikationsnummer für prüfungen dort angmeldet und dannach war es mir möglich mein pw zu ändern.
vllt hilfts ja dem einen oder anderen.
-
Kurzer Blick auf die Startseite des ZIH (http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/) genügt, man hat wohl damit gerechnet, dass es einige verschlafen ;)
Das würde ich so nicht ausdrücken.
Ich gehe davon aus, dass viele Nutzer davon überrascht wurden, weil sie ihr Postfach im ZIH nicht benutzen und dort auch keine Weiterleitung gesetzt haben.
-
... hab denen ne mail geschrieben und die meinten man soll die oben angegeben seiten zur pw-änderung benutzen. ...
Ja, das geht in den meisten Fällen gut (zum Glück). Hat man jedoch undankbare Sonderzeichen im Kennwort oder es einfach nur vergessen, kann man das Problem so nicht lösen und man muss persönlich zur Benutzerberatung gehen.
Der größte Nachteil für den Nutzer ist jedoch, dass es keine Rückmeldung gibt, aus der ersichtlich ist, auf welchen Systemen das Kennwort geändert wurde und wo nicht. Für mich ist diese Webseite stark verbesserungswürdig.
-
Ich gehe davon aus, dass viele Nutzer davon überrascht wurden, weil sie ihr Postfach im ZIH nicht benutzen und dort auch keine Weiterleitung gesetzt haben.
Mag schon sein, nur, 1. frage ich mich dann, warum man sein Postfach nicht in irgendeiner Form benutzt, manchmal laufen dort ja doch recht relevante Informationen auf (q.e.d.) und 2. war ja auch an genug anderen Stellen zu lesen bzw. zu hören, dass man sein Passwort ändern muss.
Deswegen sehe ich persönlich die Verantwortung für das Verpassen der Frist zum Großteil bei den Nutzern, es wird von uns als Studenten an so vielen Stellen erwartet, dass wir uns selbst informieren und kümmern, aber gerade bei etwas so Wesentlichem braucht es dann jemanden, der einen an die Hand nimmt ?
Ist aber wie gesagt nur meine persönliche Meinung, ohne jede praktische Relevanz ;)
-
Hallo;
ich hatte mein Passwort fristgemäß geändert und kann auch alle wichtigen Funktionen der Online-Administration weiter nutzen (hisqis, WLAN, Mail...).
Ich wollte mich gerade bei MSDNAA anmelden um mal die aktuelle Softwareliste durchzuschauen. Hier wurde mir der Login verweitert, angeblich seien sowohl Nutzername als auch Passowrt nicht gültig. Sind im Rahmen der Passwortumstellung Probleme mit MSDNAA bekannt oder hat das andere Gründe? Erlischt das Konto nach einer gewissen Zeit? Kann/Muss ich mich neu anmelden?
Danke, MfG.
-
das gleiche Problem habe ich auch...
-
Um mal ein Gegenbeispiel zu bringen: Mein Zugang zur MSDN AA funktioniert nachwievor tadellos.
Euch ist bewusst, dass MSDN AA und ZIH-Login nicht direkt gekoppelt sind?
-
Um mal ein Gegenbeispiel zu bringen: Mein Zugang zur MSDN AA funktioniert nachwievor tadellos.
meiner mittlerweile auch wieder, danke sherlock :whistling:
Euch ist bewusst, dass MSDN AA und ZIH-Login nicht direkt gekoppelt sind?
weiß ich doch nicht wie das gekoppelt ist. wenn man exmatrikuliert ist wird der zugang auf jeden fall blockiert. also ist schon ein gewisser zusammenhang zu den datenbeständen der TUD zu vermuten. das nur als keine zusatz-info. mfg watson :glare:
hab noch am selben tag dann ne mail bekommen:
Ihr Konto bei Tu Dresden Institut Für Werkstoffwissen ELMS für MSDNAA Softwarecenter wurde reaktiviert.
insofern ist die sache bei mir erledigt. hoffe bei dir siehts genauso aus, punkindoc
-
Liebe Student(inn)en,
das Login-Problem im CAD-Labor ist weitestgehend gelöst. Ich habe heute die erste Version meines Mini-Programms zur Benutzerpflege freigegeben. Die wichtigsten Testfälle hat es bestanden und ich hoffe, dass es auch bei größerer Benutzeranzahl stabil und zuverlässig funktioniert. Folgende Punkte sind für Benutzer des CAD-Pools wichtig:
(1) Grundsätzlich erfolgt die Anmneldung mit dem ZIH-Login auf der Windows-Domäne CAE. Achten Sie darauf, was in der 3. Zeile bei der Windows-Anmeldung eingestellt wurde. Oft spielen Studenten daran herum, wenn etwas nicht klappt.
(2) Neue Nutzer bzw. Nutzer mit geändertem Kennwort müssen zunächst ein Windows-Login anlegen bzw. das Benutzerkonto aktualisieren. Dazu melden Sie sich mit einem speziellen Benutzerkonto unter Windows an (diese Zugangsdaten gibt's nur vor Ort im CAD-Labor). Es wird darüber ein Webbrowser gestartet, der eine spezielle Webseite zur Benutzerpflege anzeigt. Dort sind - ähnlich wie bei der Registrierung zu MSDN AA - die Zugangsdaten des ZIH-Benutzerkontos einzutragen. Diese Zugangsdaten werden per SSL - also verschlüsselt - zum Webserver übertragen. Nach erfolgreicher Kennwortüberprüfung werden die entsprechenden Operationen auf dem Domain-Controller ausgeführt. Erscheinen drei grüne Häkchen, ist alles Ok. Einfach das Fenster schließen und danach mit dem ZIH-Login anmelden.
Mit besten Grüßen
Ralf Städtler.
-
Na das klingt ja mal sehr erfreulich :)
Eine Frage hab ich aber noch :
Dazu melden Sie sich mit einem speziellen Benutzerkonto unter Windows an (diese Zugangsdaten gibt's nur vor Ort im CAD-Labor)
Was muss z.B. ich als Erstsemester, also Neuling im CAD-Labor, denn unternehmen, um dann auch definitiv jemanden zu erwischen, der die Zugangsdaten kennt ? Braucht es dafür irgendwelche Terminabsprachen oder ähnliches ?
-
Nein, es bedarf keiner Terminabsprachen. Im CAD-Labor werden Anleitungen an geeigneten Stellen ausgehangen und die Zugangsdaten für das Spezial-Konto werden über das Hintergrundbild bei der Anmeldung eingeblendet. Die Informatik-Teilnehmer erfahren es spätestens bei der nächsten Übung im CAD-Labor. Und außerdem gibt es ja noch meine Mitarbeiterin und fünf Studenten, die unseren Pool betreuen.
-
Wunderbar, danke für die Informationen und die intensiven Bemühungen, alles wieder in Gang zu bekommen :)