Neuinstallation wird immer nerviger

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Hach, ich wollte es wissen und habe es schnell getestet.

Ich habe über die Konsole die Passwortlänge auf "4" gestellt.
Code:
min_length = "4"

Als ich nun im DSM unter "Benutzer" und "erweitert" die Seite aufgerufen habe, stand dort brav die "4" als Passwortlänge.
passwort1.jpg

Nun habe ich einen neuen Benutzer angelegt:
Name: passworttest
Passwort: 1234 (genauso, kein Witz)

passwort2.jpg

Er hat es gefressen. Der User ist so aufgenommen worden.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Diskutieren wir jetzt wirklich darüber, ob man 6 oder 8 Zeichen vergeben muss, und deshalb ist das alles überzogen und unnötig ?

DSM wird konzipiert mit einem SoHo-Benutzer im Kopf. Da finde ich es ganz sinnvoll, dass ein Minimum an Absicherung vorgegeben wird.

Es dürfte allen hier bekannt sein, dass mit einer modernen Grafikkarte (so eine, die man gerne hätte, aber nicht bekommt …) für 6 Stellen kaum noch messbare Zeit benötigt wird, um es brute force zu knacken. 8 Stellen kann man ebenfalls knicken. Also was soll die Diskussion?

Einfach heute 15-stellige Passwörter einstellen, dann muss man sich in 4 Jahren nicht darüber ärgern, sie „schon wieder“ ändern zu müssen. Werft eure Passwortmanager an, copy&paste und gut ist.
 
  • Like
Reaktionen: Gulliver und blurrrr

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
für 6 Stellen kaum noch messbare Zeit benötigt wird, um es brute force zu knacken
Probieren wir doch das mal realitätsnah aus.

Rechnen wir erstmal ganz nüchtern:
26 Kleinbuchstaben
26 Großbuchstaben
10 Ziffern
10 Sonderzeichen (sind mehr, aber egal)

Das macht bei:
einstellig=> 72 Möglichkeiten
zweistellig => 5.184 Möglichkeiten
dreistellig => 373.248 Möglichkeiten
vierstellig => 26.873.856 Möglichkeiten
fünfstellig => 1.934.917.632 Möglichkeiten
sechsstellig => 139.314.069.504 Möglichkeiten

Man müsste also rund 139 Milliarden Möglichkeiten durchgehen. Nehmen wir mal an, dass das DSM nach x-Versuchen die IP sogar nicht sperrt. Das DSM wartet dennoch rund 6 Sekunden bei einem falschen Passwort.

Bei 139.314.069.504 Möglichkeiten wäre man mit dem DSM rund 26505 Jahre beschäftigt um alle diese Möglichkeiten durchzugehen. GraKa hin oder her, also für mich sieht "kaum messbare Zeit" etwas anders aus.

Die Zeiten von "brute force" an laufenden Systemen sind schon lange vorbei. Das funktioniert maximal z.B. an Dateien mit Passwortschutz, auf die man unendlich draufhämmern , sowie durch zigfache Vervielfältigung und Verteilung die Arbeit noch splitten kann. Live-Systeme lehnen dich nach wenigen Versuchen ab bzw. erhöhen die Zeit zur nächsten Eingabe.
Statt mit "brute force" arbeitet man lieber mit Einbruch (Lücke im System), Diebstahl der Daten (z.B. Trojaner) oder Dummheit vom User (freiwillige Herausgabe).

Nichts desto trotz, ich habe früher Passwörter von FTP und anderen Zugängen für Kunden sechsstellig vergeben. Vor circa 10 Jahren habe ich dies auf 8 Stellen erweitert, inzwischen sind es seit 2 Jahren nun 12 Stellen. Aber wirklich nötig ist das nicht. Das war mehr dafür da, damit der Kunde spürt wie sicher das doch alles ist und sich nicht über so ach so kurze (und gefühlt unsichere) Passwörter wundert.

Bei 12 Stellen sind wir übrigens bei 19.408.409.961.765.342.806.016, sprich über 19 Trilliarden Möglichkeiten. Je nach Zugang macht unser System bei 3 bzw. 5 Falscheingaben erst mal dicht.
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Die Zeiten von "brute force" an laufenden Systemen sind schon lange vorbei.
Das rafft auch irgendwie niemand... selbst 8 Zeichen... pfeift der Hund drauf... (ausser bei Windows-Systemen vielleicht... *g*). Wesentliche Punkte sind einfach die, dass eher gespeicherte Passwörter aus gekaperten Geräten ausgelesen werden, die Passwörter in irgendwelchen Word/Excel-Dateien vor sich hin siechen, oder wirklich physikalisch Passwörter anhanden kommen (Klebezettel und Co.). Ich hab einige Systeme direkt am Netz, da ist "nie" irgendwas passiert. Das wirklich einzige was wir mal hatten, war ein gekaperter Hosting-Zugang, weil die Dame die Credentials auf ihrem "befallenen" Rechner gespeichert hatte. Ihren Rechner aus dem Rennen genommen, Credentials für FTP, Mail, etc. neu gesetzt, nie wieder was von gehört und die Dame war auch direkt geimpft ?? RDP-Zugänge würde ich allerdings nach wie vor nicht direkt an die Sonne hängen... Find das so peinlich, dass M$ es bis heute nicht geschafft hat, etwas fail2ban-ähnliches zu implementieren... :rolleyes:

EDIT: Damit will ich jetzt auch nicht sagen, dass man "nur" 8 Zeichen nutzt, "länger ist besser"(!) (und von wegen "die Technik macht's" - ist natürlich nur was für Leute mit kurzen Passwörtern (fairerweise: in Kombi auf die Erhöhung der Möglichkeiten muss man es dennoch befürworten)) und das sag ich jetzt nicht nur weil...... ich lange Passwörter und eine gute Technik hab *husthust* ? ? ? Aber... ich denk: is schon klar geworden ;)

P.S.: Und wehe einer von euch Schlingel/innen sieht mir das irgendwie mehrdeutig ?
 
Zuletzt bearbeitet:

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
622
Punkte
174

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259

Kyruss

Benutzer
Mitglied seit
31. Jul 2010
Beiträge
264
Punkte für Reaktionen
1
Punkte
18
Das würde ich ja, wenn es ginge. Die Diskussion geht auch nicht darum ob es in der heutigen Zeit noch reicht oder nicht. Mir reicht es jedenfalls im privaten Umfeld, gerade wenn die Kiste nicht im Internet hängt. Auch wurde hier ja schon darauf verwiesen, dass die IP gesperrt wird, sollten zu viele Fehlversuche erfolgen und ja noch die Verzögerung bei der Eingabe hinzu kommt. Der Punkt ist ja auch der, dass man dann auch die alten Konten anpassen muss.
Hatte ich aber auch schon erwähnt.
Mir geht es hier um die Bevormundung.
Tut mir ja leid, dass ich mich habe hinreißen lassen hierzu einen Thread zu eröffnen.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Das schöne Thema zu Passwortlänge, dessen Zwang auf Sonderzeichen usw. finde ich auch immer wieder spannend.

Aus meiner Sicht bringt ein Zwang von Sonderzeichen und/oder ein Zwang von Groß/Kleinbuchstaben, Ziffern erst einmal wenig wenn zugleich die Passwortlänge nur auf mindestens 8 Zeichen gefordert wird.

Betrachtet man den mathematischen Zusammenhang mit Blick auf die Entropie, also die Anzahl der möglichen Kombinationen zur Basis 2 fällt folgendes auf.
Nehmen wir als Beispiel an wir zwingen den Benutzer auf ein Passwort mit Minimum 8 Zeichen und ihn zusätzlich dazu Sonderzeichen darin zu verwenden dann sind wir uns alle einig, dass wenn hier kein Passwortmanager im Gebrauch ist der User auch nur die Mindestanzahl von Zeichen wählt und nicht freiwillig mehr als die geforderten 8 Zeichen verwendet. Zum einen damit er sich das Passwort in irgendeiner Form merken kann bzw. es nicht ewig dauert um es einzugeben (mal von einer virtuellen Bildschirmtastatur abzusehen).

Gehen wir nun davon aus wir haben die Möglichkeit folgende Zeichen aus dem zur Verfügung stehenden ASCII-Code einzugeben und konzentrieren uns dabei auf die 95 druckbaren Zeichen wobei wir das Leerzeichen ignorieren.
  • 10 Ziffern (0-9)
  • 52 Buchstaben (A-Z und a-z)
  • 32 Sonderzeichen (ohne Leerzeichen)
Somit können wir aus 94 Zeichen wählen.

Dann haben wir folgendes Szenario:
Bei einer Zeichenlänge von 8 ergibt sich somit eine mögliche Anzahl an Kombinationen --> 94^8=6.09E15
Daraus wiederum eine Entropie von ln (6.09E15) / ln (2) => 53

Nun nehmen wir an wir definieren eine minimale Passwortlänge von 16 Zeichen und geben keinen Zwang an Sonderzeichen vor:
  • Verwendet der User nur Ziffern (0-9) ergibt sich eine Anzahl an Kombinationen von 10^16=1E16 und somit eine Entropie von 53
Wenn wir beides miteinander vergleichen fällt sofort auf, dass ein Passwort mit Sonderzeichen und einer Länge von 8 Zeichen nicht besser bzw. durch brute-force nicht schwerer zu berechnen ist als ein Passwort mit einer Länge von 16 welches allein aus den Ziffern von 0-9 besteht.

Die Entropie ist in beiden Fällen näherungsweise (nach mathematischer Rundung) gleich.

Und nun sollte jeder selbst einmal darüber nachdenken ob ein Zwang von Sonderzeichen bzw. eine minimale Anzahl an Zeichen tatsächlich Sinn macht wenn sie zu klein gewählt ist. Bei den meisten Usern mit Sicherheit, denn wie es so oft im Leben der Fall ist muss man viele Menschen zu ihrem Glück (hier zu ihrer Sicherheit) mit solchen Regeln zwingen.

Wenn man sich einmal Gedanken über die Kombinatorik gemacht hat wird man schnell feststellen, dass ein Passwort welches z.B. allein aus Buchstaben bzw. Wörtern besteht, sich leicht merken kann und eine größere Entropie erreicht werden kann.

Hier als Gedankenexperiment:
Wir wählen 5 Wörter mit jeweils 4 Buchstaben die wir aus dem Lexikon frei wählen ohne darüber nachzudenken.

  • affe
  • oase
  • boot
  • oben
  • hand

Wenn wir nun die Wörter zusammenlegen und auf die Leerzeichen verzichten so ergibt sich ein Passwort aus 20 Zeichen allein aus Kleinbuchstaben (a-z). Nun berechnen wir die Entropie --> ln(26^20) / ln (2) = 95

Bei 2^95 Möglichkeiten bedarf es bereits längeren Rechenoperationen.
Betrachtet man die Möglichkeit mit einem Mix aus Klein und Großbuchstaben (a-z, A-Z) so ergibt sich eine Entropie von 115.

Fassen wir das ganze zu einem Ergebnis zusammen:
a.) Aus meiner Sicht bringt ein Zwang von Sonderzeichen recht wenig wenn die minimale geforderte Länge zu gering gewählt wird.
b.) Eine minimale Länge von z.B. 20 Zeichen ohne jeglichen Zwang auf Sonderzeichen bietet allein schon eine bessere Entropie allein bei Einhaltung der minimal geforderten Länge des Administrators im Vergleich zu 8 Zeichen mit Zwang auf Sonderzeichen.

ABER:
Es gibt auch sicher Kritik zu dieser mathematischen Darlegung weil das schwächste Glied im System wie so oft der Mensch ist. Und aus Bequemlichkeit kann es schnell dazu führen, dass ein User Wörter wählt die evlt. von Dritten (Freunde, Bekannte, Kollegen) leicht erraten werden können wenn man nicht vorsichtig damit umgeht.

Und die Administratoren möchten sich mit solchen "starken" Passwortregeln mit einer Mindestzeichenlänge und den Einsatz von Sonderzeichen nur selbst einen späteren Aufwand ersparen sollte doch einmal ein Passwort eines Users geknackt worden sein.
Somit auch der Zwang den Großteil der Benutzer zu ihrem Glück zwingen zu müssen.

Aber wie es oft der Fall ist, fühlen sich die meisten Benutzer durch solche zwanghaften Passwortregeln durch Administratoren in eine Ecke gedrängt anstatt sich einmal selbst Gedanken darüber zu machen warum dies der Fall ist. Der Administrator möchte keineswegs die User mit solchen Spielregeln nerven. Es ist nicht nur ein Spiel eines Administrators sondern ein gewisser Schutz der damit einhergehen kann wenn man eine große Kombinatorik erzwingt.

Im Zeitalter von Passwortdatenbanken und Generatoren und Auto-Type Sequenzen ist das heute alles kein Problem Passwörter mit einer großen Zeichenlänge und somit einer hohen Entropie zu erstellen ohne sie sich alle merken zu müssen.

Und zu guter Letzt für alle die bis zum Ende meiner Zeilen durchgehalten haben noch ein passender Comic der den Vergleich zweier Passwörter mit unterschiedlicher Länge und Komplexität bzw. Entropie zeigt.

<Password Strength>https://xkcd.com/936/
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Das würde ich ja, wenn es ginge.

Es geht doch alles was du möchtest und es wurde dir auch erklärt. Liest du die Beiträge welche andere für dich Zusammensuchen?
Über den Sinn möchte ich ja nicht mal Beginnen zu diskutieren, aber JA du kannst deine 6 stelligen PW behalten und auch die Adminmeldung abschalten.

Hier also nochmal die Beiträge (sind dir aber schon mitgeteilt worden) wo dir erklärt wird wie du deine beiden Wünsche umsetzen kannst:

Passwortlänge wieder reduzieren auf zB 6 Zeichen:
https://www.synology-forum.de/threads/neuinstallation-wird-immer-nerviger.114654/#post-941093
Adminmeldung deaktivieren/abschalten:
https://www.synology-forum.de/threads/dsm-6-2-4-25554-ist-da.113126/page-2#post-925079
Du musst auf die blauen Texte klicken um zu den jeweiligen Erklärungen zu springen.

Dort trägst du dann zB für Passwortlänge wieder 6 ein und für die Adminmeldung "false" Eintragen, steht aber alles in den Beiträgen, siehe blaue Texte.
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Najo, gibt es nur einen kleinen Knick bei den Gedanken und das sind die Wörterbuch-Attacken zum einen, zusammengesetzte Wörter (aus vorherigem) zum anderen, Rainbow-Tables gibt es auch noch, und und und.... Wenn man es mal wirklich "nüchtern" betrachtet (und weder schön, noch schlecht gerechnet), wird "niemand" hingehen und ein Passwort wie "affebootoase" benutzen... und da kommen jetzt wieder die "sonstigen" Passwortlisten ins Spiel. Um die Kinder mal beim Namen zu nennen: Namen von Fussballvereinen (oder sonstigen, Fussball ist halt sehr verbreitet), Vornamen... für die Physik-Leute vielleicht etwas in Richtung "Edison1879", etc. pp usw. usw.

Grundsätzlich ist immer abhängig vom Betrachtungswinkel, was an bestimmten Stellen vorzuziehen ist. Hat man "direkten" Zugriff auf verschlüsselte Passwörter, gelten völlig andere Spielregeln, als wenn man versucht "online" sich irgendwo via Bruteforce Zutritt zu verschaffen (was heutzutage sowieso niemand mehr macht, ausser den 0815-Fail-Logins via admin/admin und Co.).
 

Kyruss

Benutzer
Mitglied seit
31. Jul 2010
Beiträge
264
Punkte für Reaktionen
1
Punkte
18
@Kurt-oe1kyw

Ja, ich lese die Beiträge. Wer die meinen auch liest, dem wäre aufgefallen, dass ich in dem eine Screenshot zeige, dass entweder nur mindestens 8 Zeichen möglich sind oder eben leere Passwörter, wenn man den Haken davor raus nimmt. Ebenso verweise ich darauf, dass der Hinweis auf das Admin Konto nicht so einfach zu deaktivieren ist. Würde auch davon ausgehen, dass die manuell geänderte Konfigurationsdatei beim nächsten - größeren - Update wieder überschrieben wird.

Ist aber nur meine Meinung.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
für die Physik-Leute vielleicht etwas in Richtung "Edison1879"

Ja, aber letztendlich wurde er sich mit Joseph Swan einig und es ging unter Ediswan dann weiter mit der Erfolgsgeschichte ?
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Wenn man es mal wirklich "nüchtern" betrachtet (und weder schön, noch schlecht gerechnet), wird "niemand" hingehen und ein Passwort wie "affebootoase" benutzen... und da kommen jetzt wieder die "sonstigen" Passwortlisten ins Spiel.
Ich habe damit auch nicht sagen wollen, dass man Passwörter aus zusammenhängenden Wörtern verwenden soll. Die Überlegung ist einfach aus mathematischer Sicht betrachtet und zeigt schnell, dass kurze Passwörter mit Sonderzeichen nicht besser sind als lange Passwörter ohne Sonderzeichen.
Und ein Angreifer über brute-force weiß zunächst sowieso nicht welche minimalen Passwortregeln definiert sind.

Und auch damit gebe ich dir Recht, dass online über brute-force kaum angegriffen wird weil es zusätzliche Blocking Mechanismen gibt die das entschärfen.

Ich kann dazu nur folgendes sagen. Unabhängig von irgendeinem Administrator und dessen Passwortspielregeln bin ich als User selbst für die Sicherheit meines Zugangs verantwortlich und somit jeder seines Glückes Schmied...
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
dass entweder nur mindestens 8 Zeichen möglich sind oder eben leere Passwörter,

ok ich verstehe.
Du liest zwar die Beiträge aber möchtest die Lösungen dafür dann nicht Umsetzen.
Kann ich akzeptieren, ich bin dann aber damit dann auch raus aus dem Thema.

Nochmal, du kannst es zurückstellen auf 1 Zeichen, das geht. Sinnvoll ist es nicht.
 
  • Like
Reaktionen: blurrrr

Kyruss

Benutzer
Mitglied seit
31. Jul 2010
Beiträge
264
Punkte für Reaktionen
1
Punkte
18
@Kurt-oe1kyw

Das händisch abgeändert Configs beim nächsten größeren Update wieder überschrieben wurden gab es früher schon.

Mann muss ja nicht meiner Meinung sein, aber man kann doch auch mal die Meinung eines anderen akzeptieren. Mir ging es ja nur darum, dass man dann eben auch andere Geräte irgendwann abändern muss. Siehe den Kommentar zur Photostation. Da greift das kurze Passwort eben nicht mehr.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
622
Punkte
174
Ja, ich lese die Beiträge. Wer die meinen auch liest, dem wäre aufgefallen, dass ich in dem eine Screenshot zeige, dass entweder nur mindestens 8 Zeichen möglich
Hiermit hast Du Dich nun endgültig disqualifiziert ... ?
 
  • Haha
Reaktionen: blurrrr

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
@Kurt-oe1kyw

Das händisch abgeändert Configs beim nächsten größeren Update wieder überschrieben wurden gab es früher schon.
Siehe den Kommentar zur Photostation. Da greift das kurze Passwort eben nicht mehr.

so wie ich es getestet habe wird durch ein Update nichts verändert. Es ist weiter Limit von 6 drin.
Nur bei einer Neuinstallation wird 8 eingefügt.
(Weiss jedoch nicht was drin stehen wird in DSM7.)
Was admin für die Konfiguration der Photo Station betrifft, das ist einfach eines der seltenen Fälle wo admin verwendet wird. Sonst ist der admin doch immer OFF, das ist doch normal, das war immer so, und kann doch nur für diese seltene Situation eingeschaltet werden. Das ist ja nichts neues. Neu ist vielleicht die Meldung, aber die erscheint nur während der kurzen Zeit in welcher man mit dem admin arbeitet. Dazu braucht man ja keine Geräte umstellen?
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.574
Punkte für Reaktionen
883
Punkte
174
***********************
Das ist mein Passwort. Mit allem Drum und Dran. Und es wird alle 3 Monate per ROT geändert.
Die Passwörter aller anderen User sind ********** und müssen ebenfalls alle 3 Monate geändert werden.
Muss ich mich jetzt schämen?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat