HomeMatic-Forum / FHZ-Forum

mule hat geschrieben: ↑

14.02.2019, 09:43

Netzwerkabsicherung statt für jedes einzelne Gerät im Netzwerk ein Passwort, ist der richtige Weg
Browser-Passworttresore nutze ich nicht denn es gibt genug gute Gründe gegen diese Bequemlichkeit.

Du kannst dein Netzwerk absichern wie du möchtest, sobald du auf ein System von außen zugreifst (was die meisten bei Ihrer CCU auf verschiedene Wege tun) kommst du um einen Passwort nicht herum.

mule hat geschrieben: ↑

14.02.2019, 09:43

Browser-Passworttresore nutze ich nicht denn es gibt genug gute Gründe gegen diese Bequemlichkeit.

Die Option von Browsern Passwörter zu speichern würde ich jetzt auch nicht empfehlen, aber es gibt auch noch Alternativen wie z.B. KeePass mit AutoType, dass funktioniert sehr gut und ist definitiv sicher.

LibertyX hat geschrieben: ↑

14.02.2019, 09:47

mule hat geschrieben: ↑

14.02.2019, 09:43

Netzwerkabsicherung statt für jedes einzelne Gerät im Netzwerk ein Passwort, ist der richtige Weg
Browser-Passworttresore nutze ich nicht denn es gibt genug gute Gründe gegen diese Bequemlichkeit.

Du kannst dein Netzwerk absichern wie du möchtest, sobald du auf ein System von außen zugreifst (was die meisten bei Ihrer CCU auf verschiedene Wege tun) kommst du um einen Passwort nicht herum.

Für den Zugriff von extern benötige ich das Passwort für mein VPN. Aber ich benötige eben nur ein Passwort um auf ALLE Geräte in meinem Netz zuzugreifen. Das VPN Passwort wird durch das Raspberrymatic Passwort nicht obsolet.

Danach gilt wieder das gleiche wie zuvor; mein VPN ist sicher - wer über dieses in mein Netz kommt, darf auf alle Geräte zugreifen.

Auch VPN Zugänge können in falsche Hände geraten oder auch umgangen werden, daher ist es definitiv nicht mehr Zeitgemäß, Systeme von der Art wie eine CCU o.ä. die mehr oder weniger Sicherheitsrelevant sind ohne einen Zugangsschutz zu betreiben.

Auch die Verwendung von Gastnetzten (Subnetzten) usw, stellt keinen adäquaten Schutz da, denn jemand mit dem entsprechenden Know How, weiß wie er sowas umgeht.

Ich kenne ehrlich gesagt auch kein System mehr, dass keinen Zugangsschutz verlangt egal ob das NAS Systemen, Router etc. sind.
Inzwischen werden dort auch die Passwortrichtlinien verschärft, damit passwörter ala 123456789 etc nicht mehr möglich sind.

Und ein sicheres Passwort auch wenn man auf allen Systemen das gleiche nutzt, ist besser als keines zu verwenden.

LibertyX hat geschrieben: ↑

14.02.2019, 10:13

Auch VPN Zugänge können in falsche Hände geraten oder auch umgangen werden

Wie willst Du denn ein VPN umgehen?
Und das Passwort für Deine CCU kann auch in falsche Hände geraten. Wenn wir so argumentieren dann hilft ein oder auch mehere Passwörter nie.
Ich halte es einfach für den falschen Weg für x-Geräte Passwörter zu vergeben, da dies nur dazu führt, das schwache Passwörter genutzt werden weil der Mensch halt bequem ist. Das kann man zwar mit Software wie Keepass (welches ich selbst nutze) umgehen, aber welcher Ottonormal-User nutzt das schon?
Deshalb bleibe ich dabei: "Passwortwahn" ist genauso schlecht wie keine Absicherung.

Das mag alles sein. Trotzdem werten heutzutage Sicherheitsexperten Systeme herab und schreiben offizielle Sicherheitslücken (CVE) für die Systeme aus die über solche Funktionalitäten noch verfügen egal ob die in einem abgetrennten Netzwerk verwendet werden oder nicht. Und sie bemängeln es (zum teil aus gutem Grund) das kein Passwort und HTTPS erzwungen wird. Es gibt nämlich mehr als Menschen die versuchen auf Systemen einzudringen und eine ungeschützte CCU WebUI ist ein leichtes Opfer für DDoS Attacken oder um programmatisch Unfug anzurichten. Also bedankt euch besser bei den "Sicherheitsexperten", Datenschützern und reißerischen Journalisten das Ihr in Zukunft nicht um eine Passwortvergabe/eingabe auch bei der CCU-WebUI herumkommen werdet. Und auch für die XMLRPC und andere API Kommunikationsformen wird es sicherlich in Zukunft irgendwann verpflichtend sein die Authentifizierung und HTTPS zu nutzen.

mule hat geschrieben: ↑

14.02.2019, 10:51

LibertyX hat geschrieben: ↑

14.02.2019, 10:13

Auch VPN Zugänge können in falsche Hände geraten oder auch umgangen werden

Wie willst Du denn ein VPN umgehen?

Indem man sich anderweitig Zugang zum Netz verschafft z.B., eine VPN schützt nur die Verbindung selbst, aber nicht den Zugang.

mule hat geschrieben: ↑

14.02.2019, 10:51

Und das Passwort für Deine CCU kann auch in falsche Hände geraten. Wenn wir so argumentieren dann hilft ein oder auch mehere Passwörter nie.

Doch, eben genau hier helfen mehrere Passwörter, denn gerät ein Passwort in falsche Hände, ist nur ein System / Zugang davon betroffen und nicht gleich die komplette Infrastruktur.

mule hat geschrieben: ↑

14.02.2019, 10:51

Ich halte es einfach für den falschen Weg für x-Geräte Passwörter zu vergeben, da dies nur dazu führt, das schwache Passwörter genutzt werden weil der Mensch halt bequem ist.

Was genau der Grund dafür ist, dass die Hersteller von Systemen inzwischen die Schrauben anziehen und die Mindestanforderungen (Komplexität) von Passwörtern erhöhen und auch die Vergabe eines Passwortes erzwingen.

mule hat geschrieben: ↑

14.02.2019, 10:51

Das kann man zwar mit Software wie Keepass (welches ich selbst nutze) umgehen, aber welcher Ottonormal-User nutzt das schon?
Deshalb bleibe ich dabei: "Passwortwahn" ist genauso schlecht wie keine Absicherung.

Leider viel zu wenige, wer braucht schon sowas..., Ist das selbe wie mit BackUps die sind auch nur was für Feiglinge.
Bis mal was schief geht...

Jedem System ein eigenes Passwort zu vergeben hat nichts mit einem Wahn zu tun, im Unternehmensbereich ist das schon seit mehr als einem Jahrzehnt ggf schon länger Standard.

LibertyX hat geschrieben: ↑

14.02.2019, 11:23

Jedem System ein eigenes Passwort zu vergeben hat nichts mit einem Wahn zu tun, im Unternehmensbereich ist das schon seit mehr als einem Jahrzehnt ggf schon länger Standard.

Da haben wir unterschiedliche Erfahrungen; SSO ist das Stichwort.

Man kann lang und breit über die Vor- und Nachteile von Passwortzwang, Firewalls auf der Raspberrymatic etc. diskutieren. Gerne kann man all diese Features einführen und auch per default aktivieren. Ich fände es trotzdem schön, wenn man es dem mündigen Nutzer (von mir aus nach 15 "Willst-Du-das-wirklich"-Fragen und 10 weiteren "Du-wirst-sterben"-Hinweisen) erlauben würde diese Features zu deaktivieren.

SSO findest du nur bei nicht Kritischen / Sicherheitsrelevanten Systemen z.B. das man sich nach Anmeldung an seinem Client nicht auch noch am Mail, Netzlaufwerken etc. anmelden muss.

Da sich trotzt dieser Hinweise, Firmen immer wieder Kritiken oder gar Haftungsfragen stellen müssen, geht man hier kein Risiko mehr ein.

Du wirst in Zukunft deshalb immer mehr mit einem Passwortzwang konfrontiert werden, es gibt inzwischen sogar Dienste, bei denen du gezwungen bist, dein Passwort in einem vorgegebenen Turnus zu wechseln.

Hallo,
ich habe gestern auf die neue Version aktualisiert - leider funktioniert nun folgendes Script nicht mehr: viewtopic.php?f=27&t=25044&hilit=audiosonic&start=60

Im log steht folgende Meldung:
(ID und Passwort habe nur ich hier durch XXXX ersetzt...)

Bist du dir sicher, dass der Service so noch existiert?
Denn Wunderground hat zum Ende 2018 einige Dienste ein-/ umgestellt.