Ich habe kürzlich beim Login in das Netbanking der Sparkasse gesehen, dass nun nun ein verpflichtender Passwortwechsel eingeführt eingeführt wurde. Beim darauffolgenden Wechsel bin ich noch dazu über einen Bug gestolpert und habe deshalb den Helpdesk per Email kontaktiert. Hier mal die Antwort, warum nun verpflichtende Wechsel eingeführt wurden:

Bei der Diskussion um Mindestanforderungen an Passwörter müssen mehrere Angriffsvektoren unterschieden werden. Wenn brute force Attacken möglich sind (bzw. optimierte Varianten) so ist die Passwortlänge und die Qualität des Passworts ausschlaggebend. In diesem Fall ist die Pflicht zur Passwortänderung als eher untergeordnet zu sehen. Dieser Angriffsvektor ist im netbanking aber gegenstandslos, da systembedingt (Sperre nach vier Fehlversuchen) kein brute force möglich ist und auch sonst kein Zugriff auf z.B. gehashte Passwörter besteht, welche durch derartige Angriffe dann rückgerechnet werden könnten.

Ein valider und leider auch realer Angriffsvektor ist aber das Ausspähen von Passwörten durch Phishing bzw. Trojaner am Endgerät. Dieser Angriff lässt sich nicht durch besonders lange oder gut gewählte Passworte beeindrucken  – es werden 14 Stellen genauso “abgegriffen” wir der Klassiker “123456″.

D.h. es gibt einen realen Angriffsweg mit einer nicht zu vernachlässigenden Eintrittswahrscheinlichkeit – wie die Erfahrung zeigt. Nachdem es nun im netbanking schützenswerte Daten gibt (zB ihre ihre “>Kontaktdaten, Kontonummern, Kontostände, Umsätze des letzten Jahres, ihre Kreditkartennummer, ihre Versicherungen, Kredite usw.) muss der Zugang dazu adäquat abgesichert werden. D.h. Bedrohungen erfordern Gegenmassnahmen. Um nun zu vermeiden, dass einmal abgegriffene Verfüger/Passwort Passwort “>Pärchen jahrelang gültig sind (wie es die Anzahl von “Passwort ändern” Abläufen indiziert), ist ein Mindestmass an Änderungspflicht erforderlich. Es ist zwar richtig, dass in der Regel irgendeine Ziffer raufgezählt wird (Monat, Woche, sonstwas), nachdem man aber nur vier Versuche hat das Passwort zu erraten, ist dieser Punkt weniger relevant.

Wir möchten auch auf das “branchenübliche Referenzwerk” des BSI hinweisen und da besonders auf Maßnahme 2.11.

Es ist natürlich klar, dass das Beschriebene nicht 1:1 umgesetzt werden muss. Es ist – wie zu Beginn beschrieben  – ein praktikabler Kompromiss zu finden.
Auch die zu beachtenden Regeln müssen angemessen interpretiert um umgesetzt werden. Die Regel 10 (”Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage.”) ist im Unterschied zu einigen SOLL-Bestimmungen eine MUSS-Bestimmung. Auch das impliziert, dass diese Massnahme wohl als branchenüblich (bzw. dem Stand der Sicherheitstechnik entsprechend) angesehen wird.

Das ist mal verständlich. Was ich noch nicht ganz verstehe, ist die Beschränkung auf eine Maximallänge des Passworts. Ich hofnetbanking #fe dass ich da noch eine Erklärung dafür bekomme.

http://www.mountaingrafix.at/2008/07/02/wir-verschenken-einen-ipod-touch-32gb/

Anyway, life was great and I was happy. I even bought the 20$ addon pack with the improved applications and the multipage home screen.

Then I read lots about the jailbreaking and that it was so easy to get good third party apps on my device, so I gave it a try.

First, I tried the Ziphone unlock, because “It’s so easy a caveman could do it!”. Well, a stone age cave man certainly would know what to do with the iBrick I had after trying this program. I, however, restored itto non-jailbroken pristine condition after approximately 10 minutes of cursing and freaking out.

An unfortunate combination of reinstalling my computer from scratch without using time machine and resetting the iTouch also led to the situation where I thought I had lost the 20$ app pack for good. Fortunately, Apple support was kind enough to allow me to download it again…

Anyway, after this desaster I tried the other simple jailbreak: PwnageTool. This works by running the jailbreak not on the device itself, but by modifying the firmware:

1. Get the original firmware (direct links via TUAW)
2. Prepare the device to accept the modified firmware (single click “iPwner” in the PwnageTool)
3. Let the PwnageTool modify the firmware (you can even set some custom options for the iPhone) and get a coffee, this may take some time
4. Load the modified firmware onto the device (option click restore to get the selection dialog)
5. Done. Enjoy the glory of Installer.app and try to create something like this: iPhone ad song

And then, hopefully, I’ll blog more often. Somehow I feel I got something to say again. But maybe that’s because of twitter.

The idea sounded good, so it made it to the frontpage of digg.com fast. Then, the number of participants rose above the critical mass, and the following ensued:

John rose quietly to avoid being heard leaving. Shit, fuck this .Where is my fucking Jetpack! Meanwhile, Heather was going to suck my hairy balls . She protested when the nasty taste reached her mouth and she looked amazed at the huge throbbing monster in my pants . Wow! She screamed as she bounced on my trampoline . After a while she died again and again and again and kevinrose died too. It was only Christmas but cheese was hep fucking crashed my cock . ROFL said the dog. jesus crippled me internally where my love nest was throbbing painfully emitting passionate cows of anal doom and gloom from beyond the grave of santa claws with a spoon SPARTAAAAAAAAAA. TheyAreCensoringOurEdits!! ADMINsuckBALLS HoldDownF5forTENminutes ihascheezburger MyNipplesExplodeWithDelight Then John took drugs to see reality but God said to RoguesDoItFromBehind that drugs are bad mmmmkay. . IMexplodingINmyPANTS dot comma Pedobear stays in vegas and marries marries elvis newton whoever that is . Anyway, my penis is swollen and raw. Help!

The internet is really a strange place…