Artikel mit Tag passwörter

Shellclear - History automatisch auf sensible Inhalte untersuchen

Das kleine Tool shellclear automatisiert das Überprüfen der Shell History auf sensible Inhalte wie Passwörter oder Zugangstoken.

shellclear

Unterstützt werden Shells wie Bash, Zsh, PowerShell und Fish. Das Tool greift auf ein Pattern-File zurück, welches beliebig erweitert werden kann.

Beim Start der Shell werden die Inhalte der History automatisch über dieses YAML-Pattern-File auf Passwörter und Token geprüft.

Sind sensible Inhalte vorhanden, werden diese gelistet und können gelöscht werden.

Momentan wird auf AWS Access Keys, Github Tokens, Gitlab Tokens, Slack, Cloudflare, Twitter, Facebook und vieles mehr getestet.

Installation

curl -sS https://raw.githubusercontent.com/rusty-ferris-club/shellclear/main/install/install.sh | bash

Einbinden in die Shell

nano ~/.bashrc
eval $(shellclear --init-shell)

bzw. 

nano ~/.zshrc
eval $(shellclear --init-shell)

Powershell

$PROFILE

Invoke-Expression (&shellclear --init-shell)

Fish

nano ~/.config/fish/config.fish

shellclear --init-shell | source

shellclear-findings

Verwendung

Durch das Einbinden in beispielsweise Zsh oder Bash prüft shellclear bei jedem Start automatisch auf sensible Inhalte in der History. Dieser Vorgang kann zusätzlich manuell gestartet und konfiguriert werden. Auch das Banner "your shell is clean from sensitive data" lässt sich ausblenden.

#sensible Inhalte suchen
shellclear find

#sensible Inhalte als Tabelle ausgeben
shellclear find --format table

#sensible Inhalte bereinigen
shellclear clear

#banner ausblenden
shellclear --no-banner

#eigene Config festlegen
shellclear config

#history verstecken
shellclear stash

Fazit

Kleiner Helfer für den Alltag, der tut, was er soll. Dank des YAML Formats ist das Tool beliebig erweiterbar. Abgesehen davon sind die größten Cloud-Firmen bereits integriert und das Tool erfüllt im Hintergrund seinen Zweck.

Keine doppelten Passwörter mehr, dank Privacy Watchdog

Oft werden für mehrere Seiten die gleichen Passwörter verwendet. Viele gleiche oder ähnliche Zugänge vereinfachen zwar den Umgang mit den einzelnen Webseiten, öffnen Hacker aber Tür und Tor, sobald sie nur ein einziges Passwort ergattert haben. Um dieses Passwort Recycling zu verdeutlichen hat Paul Sawaya den Password Reuse Visualizer entwickelt. Das Add-on stellt auf einfache Weise die Mehrfachverwendung von Passwörtern dar.

watchdog

Nach der Installation kann entweder über die Add-on Bar oder das Vorhängeschloss Symbol der Privacy Watchdog gestartet werden. Danach wird in einem neuen Tab eure Passwortgrafik dargestellt. Grüne Punkte repräsentieren einzelne Passwörter,die mit verschiedenen Webseiten, welche die blauen Punkte repräsentieren, verbunden sind. Per Klick kann das verwendete Passwort angezeigt werden. Werden nun ähnliche oder gleiche Passwörter auf verschiedenen Webseiten verwendet, wird davor in Form eines orange farbigen Vierecks gewarnt.

Das praktische Add-on wurde bereits am 13.2. offiziell über die Mozilla Labs vorgestellt.

Download

Einfach MD5 Hashes cracken, Google machts möglich

MD5 Hashes knacken war bis vor kurzem noch mit etwas Rechenleistung verbunden. Die ständig wachsende Cloud macht diese Rechenpower inzwischen für viele zugänglich, so kann heutzutage beispielsweise die Amazon Cloud für solche Vorgänge missbraucht werden. Es existieren auch andere Wege um MD5 zu cracken, diese sind aber aufwendig umzusetzen.

Juuso Salonen ein findiger Programmierer hat einen pragmatischen Weg gefunden die Cloud zu nutzen und diesen in einem Ruby Script namens BozoCrack verewigt. Lustiger weise ist alles was das Script macht: googlen.

Doch was ist MD5 überhaupt? Hierzu eine kurze Erklärung: An einem Dienst oder PC muss man sich oft mit einem Benutzernamen und einem Passwort identifizieren. Würde man das Passwort im Klartext abspeichern, könnte es theoretisch jeder lesen und der Rechner oder Dienst wäre für jeden zugänglich. Um dies zu verhindern speichert man das Passwort in einem sogenannten Hash ab. Bereits 1991 hat man dazu Message-Digest Algorithm 5 entwickelt (MD5), dieser Algorithmus erzeugt aus Passwörtern oder Nachrichten eine 128-Bit Prüfsumme. In der Praxis wird bei einer Anmeldung euer Password sofort in MD5 umgerechnet und mit dem gespeicherten MD5 Hash verglichen, stimmen sie überein bekommt ihr Zugriff.

Solche Hashes kann man einfach online generieren

hash-erstellen

hash-erstellen

Wie oben zu erkennen, habe ich den MD5 Hash zu "Peter Pan" generiert, dieser lautet "b1f7e8c5c5d12670675975e769ec11b9". Gibt man diesen Wert nun bei Google ein wird man so gut wie immer auf die dort hinterlegte Nachricht stoßen. Es ist also recht simpel MD5 Hashwerte zu knacken, mehr als Google ist dazu nicht notwendig. Einzig die Idee den Vorgang zu automatisieren ist neu.

Zu groß muss die Angst um die eigenen Passwörter jedoch nicht sein, da viele Systeme ihre Hashes mit einem zusätzlichen Salt String versehen.

KeePass - Passwortspeicher mit neuen Versionen

Wer mehrere Passwörter zu verwalten hat, dem fällt es zuweilen schwer alle sicher zusammen zuhalten. KeePass ist ein zentraler Passwort Safe, in dem verschlüsselt Zugangskennwörter gespeichert werden können. Der Open Source Passwortspeicher ist nun in einer neuen Version erschienen.

Wobei man unterscheiden muss, es gibt eine neue Version 1.20 und eine neue Version 2.15. Erstere hat weniger Funktionen, ist portabel und auf allen Windows Systemen einsetzbar. Die zweite Generation läuft nur mit einem installierten Microsoft .NET Framework 2.0 oder höher unter Windows, bietet dafür zusätzlich eine Linuxinstallation an (mit installierten Mono) und ist ebenfalls portabel.

Alle Unterschiede haben die Hersteller auf einer eigenen Seite zusammen gefasst. Im Endeffekt muss jeder selbst entscheiden, welche Version er verwenden möchte.

Die Neuerungen in Version 1.2

  • Datenbanken können nun verschiedene Farben gegeben werden
  • Bei der Suche nach mehreren Wörtern, die durch Leerzeichen getrennt sind, sucht KeePass nun nach allen Begriffen
  • Das Senden von Tastatureingaben an Windows mit verschiedenen Tastatur-Layouts wird nun unterstützt

Die Änderungen in Version 2.15 sind zahlreicher und würden hier den Rahmen sprengen, darum nur der Verweis auf die Neuerungen

Fazit

KeyPass ist und bleibt bei mir erste Wahl, wenn es um das zentrale und sichere Abspeichern von Passwörtern geht. Da man mit einfachen Schritten auch Firefox Passwörter importieren kann, ist es jedem, der etwas Wert auf Sicherheit legt, zu empfehlen.

Download

Online Check für die 62000 gestohlenen Zugangsdaten von LulzSecurity

In den letzten Tagen machten viele Neuigkeiten über die Hack-Aktivisten rund um LulzSecurity die Runde. Egal ob Spielehersteller oder Regierungen, vieles ist ins Fadenkreuz der Gruppe geraten.
Nun wurde eine Liste mit 62000 Zugangsdaten veröffentlicht. Darin enthalten sind E-Mailadressen und Passwörter von privaten Nutzern, wobei die Herkunft unbekannt ist. Laut Berichten scheinen diese Zugangsdaten bei Amazon, Paypal oder Facebook Accounts durchaus zu funktionieren.

Die Liste kann nach einer ausführlichen Suche im Internet heruntergeladen werden. Wer sich diese Mühe nicht machen möchte, der kann den Service von Gizmodo wahrnehmen. Die Seite stellt ein Formular zur Verfügung mit dem man testen kann, ob die eigene E-Mail-Adresse mit Passwort veröffentlicht wurde. Sollte sie dabei sein, würde ich dringend empfehlen die verwendeten Passwörter zu ändern.

gizmodo