Passwort über Script automatisch ändern

1. offizieller Beitrag

    Huhu liebe Community,

    ich bin nun seit geringer Zeit im Programmieren in C++, HTML, CSS und Javascript tätig.

    Nachdem ich nun in einem Online Game den Warnhinweis ließ, dass man aus eigener Interesse das Passwort am besten jede Woche ändern sollte, auf eine Idee gekommen.

    Leider kann ich jetzt schon gestehen, dass ich bei der Umsetzung nur in Hinsicht der Programmierung scheitere und auch vorher nachfragen möchte, ob man ein folgendes Script aufbauen könnte.


    Nun zum Script, welches von mir erdacht ist und hoffentlich in die Realität umsetzbar ist:

    Als erstes muss man natürlich ein Passwort haben, welches vom Script eingelesen werden muss, um dann ( wie ich zumindest hoffe ) an ein Formular für die Passwortänderung gegeben werden kann.

    Darauf sollte sich ein Zufallsscript einschalten, welches ein beliebiges Passwort aus 10 Zeichen mit Groß - und Kleinbuchstaben, Ziffern und Sonderzeichen erstellt.

    Dieses Passwort wird dann das zweite Passwort, welches vom Script eingelesen und in eine Log Datei gespeichert werden muss.

    Nun sollte man einen Zeitraum einstellen können, an welchen Tagen oder nach welcher Zeit das Script das Passwort nun wieder ändern soll.

    Ist dieser Zeitraum abgelaufen, schaltet sich das Script wieder ein und meldet sich mit dem ersten generierten Passwort an.

    Darauf erfolgt wieder der Prozess des Zufallsscript, wodurch dann das zweite generierte Passwort entsteht und nach Eintrag in das Log zum aktuellen ersten Passwort wird.


    Wozu nun eigentlich dieser Aufwand?

    Man vergisst nicht, das Passwort alle x Tage zu ändern und wenn ich wie schon beschrieben von Online Games ausgehe, kann man somit auch schnell weiterführend einen Automatischen Login erstellen, wo allerdings z.B. nach jedem Logout im Spiel das aktuelle

    Passwort geändert wird und somit ein Höchstmaß an Sicherheit bestehen sollte.


    Sollten Fehler bei meiner Denkweiße aufgetreten sein, oder das ganze nicht realisierbar scheint, wünsche ich auf jeden Fall, dass dies in den Kommentaren erläutert werden könnte.

    Mit freundlichen Grüßen

    emmi1992

    Hallo emmi1992,
    um welches Spiel geht es denn genau?
    Das ganze könnte man per PHP und mithilfe eines Cronjobs recht einfach gestalten, auch, dass es automatisch nach XYZ Tagen geändert wird.
    Die Denkweise ist prinzipiell OK, das Programm ist ebenso umsetzbar. Allerdings solltest du dein AutoIt kompiliertes Programm dann in den Autostart Ordner tun, damit das Programm immer mit deinem PC läuft und aufhört zu laufen. Der Rest ist dann analog zu deiner Idee.

    Nichts desto trotz empfehle ich die Umsetzung per PHP, da die zukünftigen Passwörter dann ja sowieso zufallsgeneriert sind, und es von daher kein Formular benötigen würde UND der ausschlaggebende Grund ist - mehr oder minder - der Cronjob.

    Es gibt sehr viele Leute, die glauben. Aber aus Aberglauben.
    - Blaise Pascal

    @ Xorianator - Naja ein Cronjob alleine ist kein Grund für PHP. Jedes Windows Betriebssystem hat einen scheduler an board - mit dem sich die Zeitsteueung machen läßt. Wer das nicht will findet auch noch Freeware Alternativen als exe ohne Install - läuft dann auch von Stick.

    So aber nun zur eigentlichen Frage - da spricht nichts dagegen - mach mal - das wird.

    Gruß

    Peter

    Hinweise auf Suchmaschinen finde ich überflüssig - wer fragt hat es nicht gefunden oder nicht verstanden. Die Antwort gibt sich oftmals schneller als der Hinweis auf Dr. Goggle & Co.

    Ab 19-10-22 ergänzt um:

    Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen. (Albert Einstein)

    @peter nicht jeder lässt seinen Rechner zuhause 24/7 laufen, deshalb hätte ich das an der Stelle empfohlen. Auch gibt es zu Hauf kostenlose Anbieter für Crons & Webspace, weshalb das dann 24/7 zum Nulltarif läuft. Sonst ist das natürlich absolut richtig, was du sagst.

    Es gibt sehr viele Leute, die glauben. Aber aus Aberglauben.
    - Blaise Pascal

    Zitat von Xorianator

    nicht jeder lässt seinen Rechner zuhause 24/7 laufen

    Und? Hier wurde davon geredet das Passwort einmal am Tag zu ändern und nicht alle x Minuten rund um die Uhr. Das lässt sich problemlos über die Windows Aufgabenplanung realisieren. Selbst wenn der Rechner zum eigentlichen Ausführungszeitpunkt nicht online ist kann der Start automatisch nachgeholt werden.

    Davon aber mal abgesehen ist es völlig übertrieben sein Passwort bei jedem Login oder einmal täglich zu ändern. Sofern man ein halbwegs sicheres Passwort wählt und der betreffende Dienst nicht total diletantisch mit fehlerhaften Loginversuchen (z.B. kein effektiver Bruteforcing Schutz) oder Benutzerdaten in der Datenbank (z.B. Klartext Passwörter) umgeht reicht es völlig sein Passwort alle x Monate oder bei einem konkreten Anlass (z.B. Hack mit Zugang zur Datenbank) mal zu ändern. Außerdem ist ein Account für ein Onlinegame ja wohl ohenhin nicht wirklich wertvoll oder schützenswert.

    • Dein Script muss das aktuelle Kennwort anzeigen können, oder den automatischen Login haben
    • Kann es das aktuelle Kennwort anzeigen, hat jeder Zugriff auf dein Kennwort, der Zugriff zu deinem Rechner hat
    • Hat es einen automatischen Login, widerspricht es so ziemlich jeder Onlinespiel-AGB die derzeit unterwegs ist. Auch ein automatischer Login ist eine Automatisierung und fällt in deren Nutzungsbestimmungen unter "Bots"
    • Passwort mit 10 Zeichen, aber du machst dir Gedanken um die Sicherheit? Mit einem einzelnen PC von ALDI - die haben ja immer mal wieder Billigmühlen im Angebot - knacke ich - je nach Beschaffenheit des zufällig generierten Kennworts eben dieses in < 1 Sekunde bis hin zu in Jahrhunderten nicht. Nehme ich nun einen guten Rechner respektive einen Server oder eine Workstation, verkürzt sich die Zeit drastisch im Vergleich. Ein gutes Kennwort sollte mindestens aus 16 Zeichen bestehen und möglichst keine Regelmäßigkeiten aufweisen oder Wörter enthalten. Relevant für die Bewertung des Kennwortes sollte die Informationsdichte sein - und der Zufallsgenerator sollte dies berücksichtigen. Diese Informationsdichte sollte mindestens 30 (benötigt etwa 24 Stunden zum knacken) betragen, damit du ein relativ sicheres Kennwort hast - und nur relativ.
    • Das Script sollte nicht durchgehend im Hintergrund laufen müssen. Der Hinweis mit der Aufgabenplanung ist hier der sinnigste, vor allem, da die Aufgabenplanung auch "verpasste Jobs" nachholen kann und man somit nicht auf 24/7 Betrieb angewiesen ist, oder versuchen muss die Seite via PHP zu manipulieren, was sehr schnell zu einer Sperre führen kann -> Automatismus, falscher Referrer, ... Des Weiteren würden hierbei deine Log-Dateien auf dem Server eines Fremdanbieters liegen, da diese ja via PHP erzeugt würden - bzw. hast du die Wahl, sie unverschlüsselt im Netz liegen zu lassen, sie unverschlüsselt via bsp. E-Mail zu versenden oder aber sie zu verschlüsseln und die Datei selbst nicht mehr lesen zu können - wobei beim nicht via E-Mail versenden "direkt daneben" die Anleitung liegt, wie man das ganze verschlüsselt hat, und wie man das ganze wohl wieder umkehrt.

    Ich fasse zusammen: Ein Thema, welches die Sicherheit deines Passworts nicht erhöhen KANN, solange es auf einem anderen Gerät erzeugt oder würde. Ein komplexes Passwort mit 10 Stellen Länge zu finden, dass bei einem aktuellen PC länger als 24 Stunden braucht um geknackt zu werden ist schon sehr optimistisch geschätzt, da das nicht einmal auf 10% der 10 stelligen Kennwörter zutrifft. Die meisten davon bekommst du schon mit lächerlichen 10 Wörterbüchern meist in weniger als 6 Stunden geknackt.

    Es gibt Tage, da trete ich nicht ins Fettnäpfchen. Ich falle in die Friteuse.

    @ Bioshade
    nichts spricht dagegen das Passwort verschlüsselt in einem autoit ini file abzulegen. Ders Nachteil ist natürlich - dass bei automatischer Ausführung ein Henne Ei Problem entsteht. Das Master PSW ist dann fest in Scribt hinterlegt - jeder der das Programm besitzt kann dann....
    Aber dazu muss man erst mal wissen, dass es das Programm gibt. Wie mit allen Dingen rund um die Sicherheit alles was automatisch gehen soll hat auch seine schwächen.
    Einer meiner bevorzugten Ansätze ist es mit autoit die Existenz eines USB Sticks abzuprüfen, dort ev. bestimmte Files zu suchen, wenn diese vorhanden sind, wird das Scribt ausgeführt. Dann muss man schon 2 Sachen auf einmal verlieren.

    Dieses Verfahren macht, nach meiner Meinung halbwegs Sinn. Schützt natürlich nicht vor bösen Buben ... mit viel EdV know how - denn das psw steht nach wie vor im code....

    Nicht spricht gegn längere PSWs wenn der Provider das zuläßt....

    Man sollte manches PSW nicht zu wichtig nehmen.... solange die meisten im Broser nachzulesen sind
    :rofl:


    Die AGB´s sind natürlich ein echter Grund das nicht zu machen
    :ironie:


    Gruß

    Peter

    Hinweise auf Suchmaschinen finde ich überflüssig - wer fragt hat es nicht gefunden oder nicht verstanden. Die Antwort gibt sich oftmals schneller als der Hinweis auf Dr. Goggle & Co.

    Ab 19-10-22 ergänzt um:

    Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen. (Albert Einstein)

    @Peter: Ist es verschlüsselt, kann er es selbst nicht mehr lesen, außer sein Programm kann es anzeigen. Und der Mensch ist von Natur aus "gemütlich". Demnach wird das Script in Reichweite liegen. Und wie jeder hier weiß, gibt es für AutoIt Decompiler - somit ist ein MasterPW wie auch deine Methode in etwa so sicher wie der Schlüssel zur Tür unter der Fußmatte. Und jeder mit der bloßen Kenntnis von AutoIt erkennt ein AutoIt-Script problemlos... somit hast du da kein "Henne Ei"-Problem, sondern ein ganz einfaches: AutoIt kann NIEMALS auch nur vor dem klassischen Endbenutzer sicher sein.

    Es zum Verwalten oder gar Generieren von Kennwörtern zu verwenden ist demnach genauso sinnvoll wie sich mit einem Prius zu einem Drag-Rennen anzumelden. Außer die Sicherheit geht einem ohnehin am Arsch vorbei, aber warum sollte man dann ein Script bauen, dass das Passwort regelmäßig ändert, statt einem, dass diesem Kennwort-Hinweis sprichwörtlich "jaja, leck mich" sagt, eben da letzteres deutlich leichter zu realisieren ist.

    Zu deinem "IRONIE"-Part: Es widerspricht in dem Fall den AGB von AutoIt.de.

    Es gibt Tage, da trete ich nicht ins Fettnäpfchen. Ich falle in die Friteuse.

    • Offizieller Beitrag

    Als ich den Thread-Titel gelesen habe Passwort über Script automatisch ändern, dachte ich das ist ein Fun-Post.

    Sorry, aber wie kann man ernsthaft auf die Idee kommen PASSWÖRTER automatisch zu ändern?! Wer das tut, dem traue ich auch zu, während der Fahrt sein Auto zu putzen.
    Ich denke alles sicherheitsrelevante hat @Bioshade bereits erwähnt.

    Mal als Tipp zum Gestalten von Passwörtern. Weil sich gute Passwörter schlecht merken lassen, werden oft nur schwache genutzt. Dummerweise wird das von vielen Anbietern im Netz auch noch gefördert, weil diese keine Sonderzeichen im Pw zulassen!! Da bleibt dann nur ein schöner Mix aus Ziffern, Klein- u. Großbuchstaben.
    Um sich auch starke Pw merken zu können kann man, wie die Gedächtnisakrobaten, mit einem Bilderpalast arbeiten oder sich ein ähnliches Gedankenmodell erstellen. Nur statt der Bilder ordnet man Sonderzeichen zu die man über die Assoziation bekannter Gegenstände dann in kleinen Geschichten mit Ziffern und Buchstaben erweitert zum Pw kombiniert. Auf diese Weise verwende ich z.B. 20-stellige Pw die wirklich kryptisch sind. Und diese Pw brauchst du nicht alle Nase lang ändern.