Sicherheitswarnung Passwort-Lücke von Windows/XP

[Falko]

Damit hier nicht geflamt wird, habe ich trotzdem nochmal diesen Link
eingefügt worüber jeder Windowsuser nachdenken kann

http://www.youtube.com/watch?v=oC8c7zKLnU4&NR

Verhindern kann man es dann nur noch, das man beim Verlassen des PC's
sofort den Bildschirmschoner mit Passwort einschaltet. Oder man den Benutzer verlässt.

Um Zugriffe als Admins unter Neustart und F8 zu verhindern,
kann man diesem auch ein eigenes Passwort für Admin vergeben!

Es gibt zwar noch eine weitere Lösung, aber die tische ich hier lieber nicht auf

Ansonstens ist diese Lösung für Leute sehr gut, die ihr Passwort vergessen.

Alles hat seine Vor- und Nachteile.

Grüße ..Falko

[Kaeru Gaman]

ich hatte ne nette antwort zum ersten (gelöschten) post geschrieben...

kernpunkte:
a) typisch windows, sicher im high-end-bereich, aber mit low-prog wirds ausgehebelt.

b) wer wirklich vertrauliche informationen woanders aufbewahrt,
als in seinem kopf, geht ein sicherheitsrisiko ein.
wer es elektronischen medien anvertraut anstatt dem notizzettel in
tante agathes zuckerdose, geht ein doppeltes sicherheitsrisiko ein.

[vonTurnundTaxis]

Ähm... gehts noch?

[Kaeru Gaman]

nimms nich persönlich, das war es nämlich nicht!
schreib noch mal ein post und gut is!

[vonTurnundTaxis]

Incroyable, aber fragen wir nochmal:
Funktioniert das nur, wenn das Konto Admin-Rechte hat?
Wenn ja, wäre das Verhalten ganz normal; bei

Code: Alles auswählen

machine:/ # passwd {user}

wird man auch nicht nach einem alten Passwort gefragt.

[Falko]

Das Adminpasswort wird durch den usernamen und dem Sternchen gelöscht.
Danach kommt die neuabfrage, für ein neues Passwort und danach die
Bestätigung. Also wenn jemand als Admin auf den Rechner eingeloggt ist,
kann man ihm so das Passwort löschen und der Rechner reagiert ohne
Passworteinwahl. Das habe ich gerade selbst probiert

Noch schlimmer. Wenn eine XP-Installation normal installiert wird, kann man
im Bootvorgang mittels F8 ( abgesicherter Modus) zum Administrator
kommen. Der hat solange, man ihm noch kein Passwort bestimmt hatte, volle
Adminrechte und somit ist es auch hierunter möglich alle passwörter der
angemeldeten Admin-user zu entfernen.

Traurig aber wahr.

[vonTurnundTaxis]

Ich sehe da kein Problem.
Wer
a) für sein root-Konto kein Passwort gesetzt hat ist selbst blöd
und
b) als root arbeitet ebenfalls.

[Hellhound66]

Sehe ich (fast) genauso wie vTuT.

Als Administrator sollte man das Recht haben, _jedes_ Passwort auf dem Rechner zu ändern, wie man will. Das das unter der Windowsoberfläche nicht so einfach zu bewerkstelligen ist, ist Sache der Oberfläche. Dass es generell geht ist ein alter Hut und gewollt. Wer seinen Rechner ungeschützt als Admin eingeloggt (oder als User mit Adminrechten) unbeaufsichtigt stehen lässt, braucht sich nicht wundern. Dafür gibt es eingeschränkte Konten (die bei Vista noch besser werden). Das ist auch kein Lowlevel-Mist. Wenn ich bei Linux als root den Rechner stehen lasse und ein User, der sich auskennt und mir böses will, der macht mir auch aus einem Rechner drei.

[AND51]

Damit hier nicht geflamt wird, habe ich trotzdem nochmal diesen Link
eingefügt worüber jeder Windowsuser nachdenken kann

http://www.youtube.com/watch?v=oC8c7zKLnU4&NR

Wer kennt diesen Trick denn noch nicht? Ich bin mir nich sicher, aber ich glabe das ich das mal in einer PC Zeitschrift gelesen habe...


"net user <name> <password>"

[Hellhound66]

Code: Alles auswählen

net help user

Steht alles da.