Hi,

"Obskur" ist ein vieldeutiges Wort, aber "sicher" heisst es sicher (;-)) nicht. Oder spielst du auf "Security through obscurity" an?

Ja! Was denn sonst?

Aber jedes passive System ist mMn nur "sicher durch Verdeckung", denn wenn man die Passwörter und Usernamen öffentlich bekanngeben würde, wäre es mit der Sicherheit dahin, selbst wenn man keine Paarungen, sondern nur einzelne Argumente der Paare veröffentlichte.

Das ist nicht ganz korrekt. So kann z.B. rein theoretisch jeder das Rootpaßwort der von mir installierten Webserver haben, denn root ist nur an der Maschine selbst erreichbar und so ein Serverraum ist normalerweise gut zu verteidigen ;-)
Noch besser wäre es natürlich wenn es kein root mehr gibt, aber dann ist die Kiste recht unflexibel, was das Aufspielen evt dringender Sicherheitsupdates angeht.

Aber Du hast natürlich Recht, damit wäre auch nur das Problem root erschlagen, das Problem der Benutzer bleibt bestehen. Aber man kann ja heutzutage kein VAX mehr mit VMS in den Serverraum stellen, da kann kein Sysadmin mehr mit umgehen und auch die Benutzer würden sich herzlich bedanken. (Wenn jemand die Windows-NT Rechteverwaltung gut kennen sollte: das ist VMS extra light ;-)

In der Praxis ist die Anzahl der tatsächlich existierenden Paarungen schließlich sehr wesentlich kleiner, als die Anzahl der möglichen Paarungen.

Und wenn jetzt das Sicherheitssystem nicht aktiv ist, sondern nur passiv (statisch) dann hat man eine passende Paarung sehr schnell gefunden.

Auch das ist nicht ganz korrekt. Wenn Username und Schlüssel etwas länger sind als das übliche "karlheinz/asD51?#k" und zwar so um die 4 kib, dann ist "sehr schnell" auch auf dem http://edition.cnn.com/2005/TECH/07/25/japan.supercomputer.ap/ ziemlich relativ, was? ;-)
Eine andere Methode wäre es die Dauer der Gültigkeit zu begrenzen (one-time-pads et. al.), aber das wäre dann rein theoretisch schon wieder aktiv, das ist wohl wahr.

so short

Christoph Zurnieden