http://www.politiker-stopp.de/gfx/politiker-stopp-print.png

Benjamin Schieder

[TECHSUCKS] HETZNER UND DIE PASSWOERTER

2006 August 28 | 0 comments

Da ich in letzter Zeit ein paar Probleme mit meinem Server hatte und ich nicht immer warten kann, bis die Hetzner Jungs den Reset-Knopf druecken, wollte ich den automatischen Resetter haben.
Das heisst, ich geh in mein Admin Interface, klick auf nen Button und die Maschine resettet sofort. Praktisch fuer fehlgeschlagene Kernel Updates.

Jedenfalls schick ich ueber den Robot (so heisst das Admin Interface bei Hetzner) eine Anfrage, wieviel mich der Spass kostet. Ausschnitt aus der Antwort:

Wenn Sie einen Resetter haben wollen, bräuchte ich die ersten 5 Zeichen Ihres Robotkennworts, zwecks Verifizierung.


Scheinbar ist es moeglich, zumindest die ersten fuenf Zeichen eines Passwortes zu entschluesseln. Ob diese nun unverschluesselt, entschluesselbar oder einzeln gehashed werden kann ich von hier nicht sagen.
Was mich allerdings etwas schockiert, war dass die Mitarbeiter per unverschluesselter E-Mail einen Teil des Passwortes abfragen. Hier werden einfach mal saemtliche Sicherheitsmassnahmen ueber Bord geworfen. Im Robot gibt es zwar einen Public Key mit dessen Hilfe man die Signatur auf den E-Mail Rechnungen verifizieren kann. Ebenfalls kann man dort seinen eigenen Public Key hinterlegen 'fuer Anfragen an den Robot'. Aber die Mitarbeiter sind nicht mit E-Mail Verschluesselung ausgestattet.

Ich jedenfalls habe mein Passwort geaendert, die ersten fuenf Zeichen dieses Passwortes an Hetzner geschickt und nach Aktivierung des Automatischen Resetters das Passwort wieder geaendert.

Siehe dazu auch einen Thread im Hetzner Forum, in welchem sich andere Kunden so ihre Gedanken gemacht haben.

EOF

Category: blog

Tags: TechSucks Hetzner Sicherheit


Post a comment

All comments are held for moderation; basic HTML formatting is accepted.

Name: (required)
E-mail: (required, not published)
Website: (optional)
Comment: