seeseekey.net - Invictus Deus Ex Machina

Wenn man sich bei einem Webdienst anmeldet, so geschieht das meist mittels eines Passwortes. Das Problem an dieser Art von Authentifizierung ist das man nur mit Hilfe des Passwortes einen Account übernehmen kann. Bei der Zwei-Faktor-Authentifizierung läuft das ganze etwas anders. Hier bekommt der Nutzer zusätzlich noch ein Token oder muss sich mittels einer TAN oder seinem Fingerabdruck identifizieren.

twofactorauth.org

Viele bekannte Webdienste bieten diese Möglichkeit der Authentifizierung mittlerweile an. Meist bekommt man eine SMS mit dem Code, oder nutzt einen Generator auf seinem Smartphone. Wenn man sich informieren möchte, ob der gewünschte Webdienst eine Zwei-Faktor-Authentifizierung unterstützt, so sollte man twofactorauth.org besuchen. Auf der Webseite ist übersichtlich dargestellt welche Dienste eine solche Authentifizierung anbieten und welche es planen. Auch ist es möglich dem Dienst direkt mitzuteilen, das man sich eine Zwei-Faktor-Authentifizierung wünscht.

Wenn man sich für seinen SSH Zugang nur noch mit einem entsprechenden Schlüsselpaar anmeldet, kann man die Authentifikation per Passwort deaktivieren. Dazu wird die „/etc/ssh/sshd_config“-Datei in einem Editor geöffnet:

nano /etc/ssh/sshd_config

Dort wird die Option:

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

gesucht und in:

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

geändert. Anschließend muss der SSH Server mittels:

service ssh restart

neugestartet werden. Damit ist die Anmeldung per Passwort nicht mehr möglich und der Server ein Stück sicherer.

Wenn man das ownCloud-Passwort ändern möchte, so kann man dies über die „Passwort vergessen?“-Funktion zurücksetzen. Wenn dies nicht mehr möglich ist, so kann das ganze auch in der Datenbank erledigt werden:

UPDATE `oc_users` SET `password`=SHA1('geheim') WHERE `uid`='nutzername'

Da die Passwörter mit einem Salt und mittels SHA1 gehasht gespeichert werden, muss das neue Passwort auch gehasht werden. Dies erledigt die Datenbank-Funktion „SHA1“ für uns. Nachdem das Passwort zurückgesetzt wurde, sollte das Passwort nach dem Login über die „Persönlich“-Seite erneut geändert werden, damit wieder ein Salt für selbiges generiert wird.

Wer unter der aktuellen Version von ownCloud (5.0.7) versucht das Passwort des angemeldeten Nutzers zu ändern, kann durchaus mit der Meldung:

Class 'OCA\Encryption\Util' not found at /www/htdocs/owncloud/settings/ajax/changepassword.php#31

beglückt werden. Der Fehler tritt immer dann auf wenn die App „Encryption“ nicht aktiv ist und man das Passwort ändern möchte. Um den Fehler zu umgehen gibt es zwei Möglichkeiten. Die erste Möglichkeit ist die Aktivierung der entsprechenden App um anschließend das Passwort zu ändern. Die zweite Möglichkeit ist es den Patch welcher im Bugreport verlinkt ist, in die eigene ownCloud Version zu integrieren. Danach klappt es mit dem Passwortwechsel.

Wenn man ein Jenkins aufsetzt kann es passieren das man sich beim Testen des Menüpunktes „Globale Sicherheit konfigurieren“ aus dem System aussperrt. Um diesen Zustand zu ändern, beendet man Jenkins einfach und sucht nach der „config.xml“ der Software. Dort gibt es einen Tag namens „useSecurity“ dessen Wert einfach auf „false“ setzt. Danach sollte man Jenkins wieder starten und kann ohne Zugriffsbeschränkungen auf das System zugreifen, bis man sich wieder mal aussperrt.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Jenkins_(Software)

Wenn man das lokale Passwort für einen Windowsrechner vergessen hat so ist das ärgerlich, kann aber dank ntpasswd sehr schnell behoben werden. Schwieriger wird es wenn man das administrative Passwort in einer Windows Domäne verlegt hat. Hier kommt man mit „ntpasswd“ nicht sehr weit, auch die Windows Bordmittel helfen im ersten Moment nicht. Allerdings gibt es natürlich auch hier Mittel und Wege, in diesem Beispiel anhand des Windows Server 2003 beschrieben.

Im ersten Schritt sollte das Passwort für die „Verzeichnisdienstwiederherstellung“ auf eine leere Zeichenkette gesetzt werden. Dies geschieht mittels „ntpasswd“. Dort leert man einfach das Passwort für den Nutzer „Administrator“. Nachdem dies erledigt ist drückt man beim Start von Windows im richtigen Moment die F8 Taste damit die erweiterten Windows-Startoptionen geöffnet werden. Dort wird der Punkt „Verzeichnisdienstwiederherstellung (Windows-Domänencontroller)“ ausgewählt. Das Windows wird damit im abgesicherten Modus gestartet. Der Login lautet dabei „Administrator“ verbunden mit einem leeren Passwort.

Für den nächsten Schritt benötigt man die „Windows Server 2003 Resource Kit Tools“ welche unter http://www.microsoft.com/en-us/download/details.aspx?id=17657 heruntergeladen werden können. Den Installer sollte man unter Umständen mit einem Packprogramm seiner Wahl (z.B. 7-Zip) entpacken, so das man die enthaltenen Dateien zur Verfügung hat. Bei entsprechender Serverkonfiguration kann es nämlich passieren, das der Installer als solches nicht auf dem Domaincontroller ausgeführt werden darf.

Aus dem „Windows Server 2003 Resource Kit Tools“ werden die Dateien „instsrv.exe“ und „srvany.exe“ benötigt. Diese kopiert man sich in ein Verzeichnis seiner Wahl z.B. nach „C:\Temp“. Danach öffnet man die Kommandozeile, wechselt in den Ordner und gibt dort folgendes ein:

instsrv tmpService "C:\Temp\srvany.exe"

Im nächsten Schritt müssen die Parameter des Dienstes „tmpService“ in die Registry eingetragen werden. Dazu wird der Registrierungseditor mittels „regedit“ gestartet“ und dort der Schlüssel (bzw. der Ordner):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tmpService

gesucht. In diesem wird ein neuer Schlüssel mit dem Namen „Parameters“ angelegt und in diesem werden folgende Zeichenfolgen angelegt:

Application -> C:\Windows\System32\cmd.exe
AppParameters -> /k net user Administrator neuesPasswort /domain

In der „Systemsteuerung“ sollte danach in der „Verwaltung“ das Fenster „Dienste“ geöffnet werden und dort nach dem Dienst „tmpService“ gesucht werden. In den Eigenschaften wird als Starttyp „Automatisch“ sowie unter „Anmelden“ der Haken bei „Datenaustausch zwischen Dienst und Desktop zulassen“ aktiviert. Nachdem der Dialog bestätigt wurde kann der Rechner neugestartet werden.

Beim Neustart wird das Passwort nun auf „neuesPasswort“ gesetzt und es ist möglich sich mit diesem einzuloggen. Nun muss der entsprechende Dienst wieder deaktiviert und entfernt werden. Dazu gibt man in der Kommandozeile folgendes ein:

net stop tmpService
sc delete tmpService

Als letzter Schritt müssen nur noch die kopierten Dateien gelöscht werden. Das Passwort des Domaincontrollers wurde damit zurückgesetzt.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Domain_Controller

Vor einigen Tagen kam die Version 2.0 der Anwendung Outbank heraus. Dabei handelt es sich um eine Banking Software für Mac OS X und iOS. Allerdings hatte sich in die Version ein schwerer Fehler eingeschlichen. So wurde das Passwort welches zu lokalen Verschlüsselung der Daten benutzt wird, im Klartext in die „system.log“ geschrieben, was dann im Beispiel so aussieht:

Jan 17 09:17:03 delphi.localdomain OutBank[537]: Open Store:Core Data key:123456->abcdefghijklmnopqrstuvwxyzABCDEF

Neben diesem Problemen hatte die erste Version dank iCloud Synchronisierung auch mit Problemen wie doppelten Umsätzen und ähnlichem zu kämpfen. Problematisch an dem Fehler im Log ist auch das Mac OS X von Zeit zu Zeit das ganze archiviert und es so dazu kommen kann, das dieses Passwort an mehreren Stellen zu finden ist. Das gleiche trifft auch auf die Kombination mit Backupsystemen wie Time Machine zu. Um nach dem Update auf Outbank die entsprechenden Logeinträge zu entfernen wird von „stoeger it“ folgende Zeile empfohlen welche man im Terminal ausführen sollte:

sudo -i -- 'cd /var/log && grep -vE "OutBank\[" system.log > system.log.clean && mv system.log.clean system.log && if [[ -f system.log.0.bz2 ]]; then for a in system.log.*.bz2; do bunzip2 $a && grep -vE "OutBank\[" ${a%.*} > ${a%.*}.clean && mv ${a%.*}.clean ${a%.*} && bzip2 ${a%.*} ; done; fi; rm -f /var/log/asl/*.asl'

Witzig sind in diesem Zusammenhang Aussagen von Tobias Stöger aus der Zeitschrift SFT (Spiele | Filme | Technik) wo er auf die Frage ob Outbank sicher ist unter anderem wie folgt antwortet:

Der Artikel bezog sich mal wieder auf das unsichere Android-OS. […] Hinzu kommen noch unsere Sicherheitsmaßnahmen, wie automatische Passwortsperre oder verschlüsselte Datenbank.

Das war dann wohl ein Fall von pauschaler Aussage zum falschen Zeitpunkt. Natürlich stellt sich die Frage warum (wenn auch nur für Debugzwecke) Passwörter überhaupt im Klartext gespeichert werden. Auch war keine Auskunft zu erhalten ob die neue Version von Outbank die Bereinigung der Dateien selber vornimmt. Zur Sicherheit sollte man dies also auf alle Fälle manuell nachholen und anschließend das entsprechende Passwort ändern.

Weitere Informationen gibt es unter:
http://www.outbank.de/outbank-os-x-mac-sicherheitshinweis-zu-version-2–0-0/
http://www.heise.de/mac-and-i/meldung/Outbank-2-mit-Passwort-Leck-1786837.html

Manchmal sind es die banalen Probleme, welchen einen in den Wahnsinn treiben. So zum Beispiel wenn auf einem iOS Gerät ein WLAN eingerichtet ist und dieses mit einem falschen Passwort versehen wurde. Das kann dann passieren wenn man das Passwort des WLANs ändert oder auf dem Gerät bei der Einrichtung ein falsches Passwort eingeben hat.

Der WLAN Auswahldialog

Dies führt nun dazu das dass entsprechende Gerät immer wieder versucht sich mit der WLAN Gegenstelle zu verbinden, ohne das eine Verbindung zu Stande kommt. Ein neues Passworteingabefeld bekommt man nicht angeboten. Damit dies wieder geschieht geht man in die Einstellungen zu den WLAN Einstellungen und drückt dort auf den blauen Pfeil rechts beim entsprechenden WLAN.

Die Einstellung für ein bestimmtes WLAN

Dort betätigt man den Button „Dieses Netzwerk ignorieren“ und anschließend kann man sich wieder zu dem Netzwerk verbinden und wird auch nach einem Passwort gefragt, so das man in der Lage ist, wieder erfolgreich eine Verbindung zur Gegenstellen aufbauen zu können.

Das alte Invertika Forum wurde vor einigen Tagen ja in das Hauptsystem integriert, damit man nun alles mit einem Account nutzen kann. Bestandsnutzer müssen allerdings vor dem ersten Mal einloggen die „Passwort vergessen?“ Funktion benutzen.

Anschließend bekommt der Nutzer sein neues Passwort zugeschickt mit welchem er sich dann problemlos einloggen kann.

Weitere Informationen gibt es unter:
http://invertika.org

Unter Umständen kann es passieren das man das Passwort für seine PostgreSQL Datenbank vergisst. Wenn man allerdings Kontrolle über den Server hat, ist dies kein Problem. Um das Passwort neu zu setzen muss man im ersten Schritt die pg_hba.conf Datei bearbeiten:

# IPv4 local connections:
 host    all             all             127.0.0.1/32            md5
 # IPv6 local connections:
 #host    all             all             ::1/128                 md5

wird dabei zu:

# IPv4 local connections:
 host    all             all             127.0.0.1/32            trust
 # IPv6 local connections:
 #host    all             all             ::1/128                 trust

geändert. Nachdem die Konfiguration neu geladen wurde, kann man sich mit einem x-beliebigen Passwort anmelden und ein neues Passwort setzen. Anschließend setzt man die pg_hba.conf wieder zurück und lädt die Konfiguration abermals neu.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Postgresql