Speedport Pro: Gerätepasswort darf nur 12 Zeichen lang sein?!

@muc80337_2 & @Arclight : Das Problem müsste in der aktuellen Labor-Firmware schon gefixt sein, wenn es eines war?! Ich kann nur 12 Zeichen als neues Gerätepasswort eingeben.

Wobei ich mich wirklich frage, warum ein Gerätepasswort mehr als 12 Zeichen haben sollte? Zum eigenen Netzwerk haben doch nur wenige und auch noch bekannte Nasen Zugriff. Außerdem wird der erneute Zugriff bei jeder falschen Eingabe weiter verzögert.

Gruß Ulrich

---

@UlrichZ  schrieb:

Wobei ich mich wirklich frage, warum ein Gerätepasswort mehr als 12 Zeichen haben sollte?

---

Wenn man das werksseitige Gerätepasswort ändert dann kann man sich ein neues wie z.B. "witzigesPasswort" welches 16 Zeichen hat besser merken als ein Gerätepasswort mit auch nur 8 Zeichen wie z.B. "uX+r!70="

---

@muc80337_2  schrieb:

Wenn man das werksseitige Gerätepasswort ändert dann kann man sich ein neues wie z.B. "witzigesPasswort" welches 16 Zeichen hat besser merken als ein Gerätepasswort mit auch nur 8 Zeichen wie z.B. "uX+r!70="

---

Die 12 Zeichen Version "PasswortWitz" dürfte ähnlich gut zu merken sein ...

---

@Has  schrieb:
"PasswortWitz"

---

Du wirst aber zugeben müssen, dass das einen deutlich negativeren Unterton hat

---

@muc80337_2  schrieb:

---

@UlrichZ  schrieb:

Wobei ich mich wirklich frage, warum ein Gerätepasswort mehr als 12 Zeichen haben sollte?

---

Wenn man das werksseitige Gerätepasswort ändert dann kann man sich ein neues wie z.B. "witzigesPasswort" welches 16 Zeichen hat besser merken als ein Gerätepasswort mit auch nur 8 Zeichen wie z.B. "uX+r!70="

---

Ja, aber gerade kürzere Sachen wie MeinLiebling kann man(n) sich doch noch viel besser merken, und man(n) muss nicht solange tippen, es muss ja nicht unbedingt admin sein, ;-).

Gruß Ulrich

1. Ein Passwort muss länger als 12 Zeichen sein können.
2. Ein Hinweis auf Einschränkungen bei der Passwortwahl muss direkt in der Eingabemaske erfolgen.
3. Eingabefehler müssen direkt während der Eingabe als Fehler angezeigt werden.

Ich diskutiere hier auch nicht über Sinn oder Unsinn bestimmter Passwortlängen.

Es gibt mehr als genug Nachrichten zum Thema Sicherheitslücken bei Routern, ungewollter Fernzugriff auf Router und zu kurzen oder zu einfachen Passwörtern. Gerade bei Geräten die 24/7 am Netz sind gehört ein langes selbstgewähltes Passwort zum Standard.

Selbst die Telekom empfiehlt längere Passwörter als 12 Zeichen:

„Ein sicheres Passwort besteht aus mindestens 8 Zeichen. Dies ist die Untergrenze, die Experten für ein sicheres Passwort empfehlen. Noch besser wäre eine Länge von mindestens 14 Zeichen.“

Quelle: https://www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/sichere-passwoerter

---

@Arclight  schrieb:

ungewollter Fernzugriff auf Router und zu kurzen oder zu einfachen Passwörtern.

Diese Art Fernzugriff bietet kein Speedport, auch der Pro nicht. Der Zugriff über das UI des Speedport kann nur über das Heimnetzwerk erfolgen.

Doch, nennt sich „Easy Support“ und wird netzseitig über das TR-069 Protokoll implementiert. D.h. die Schnittstellen sind offen, nur der Provider schirmt sie gegen Zugriff von außen ab. Das es zu Pannen bei den Betreibern kommt, ist bereits vorgekommen. Gerade deshalb ist eine Absicherung auf eigener Seite wichtig.

• Implementationsfehler in WPS: Fatale Sicherheitslücken in Zwangsroutern von Vodafone/Kabel Deutschland (Quelle: heise Security)
• Interner Wartungszugang des Provider: Fatales Sicherheitsleck bei Kabel Deutschland/Vodafone bedrohte Millionen Kabel-Kunden (Quelle: heise Security)
• Def Con 22: Millionen DSL-Router durch TR-069-Fernwartung kompromittierbar (Quelle: heise news)
• Infos zum TR-069 Protokoll (Quelle: teltarif)

@Arclight : Bitte komm jetzt nicht mit dieser Art der Argumentation. Ich habe bewusst geschrieben "Diese Art Fernzugriff bietet kein Speedport, auch der Pro nicht." Sprich, es gibt keinen Fernzugriff, wo Dein Gerätepasswort benötigt wird!

Apropos Router-Sicherheit: Ich pflege hier eine Link-Sammlung, wo es um Routerunsicherheit geht. Und dort finden sich nur ganz wenige Einträge bezüglich Speedports. Ich haben hier keinen gespeichert, wo über eine Sicherheitslücke geschrieben wurde, die einen externen Zugriff auf einen Speedport ermöglichte. Das letzte große Problem betraf Arcadyan Router, die über einen Angriff auf den TR069-Port(?) zum Absturz gebracht wurden. Da finde ich den externen Zugriff auf viele FRITZ!Boxen mit Erstellen einer kostenpflichtigen Rufumleitung wesentlich schlimmer, zumal viele FRITZ!Boxen trotz bekannter Sicherheitslücke nicht umgehend manuell oder automatisch upgedatet wurden:

https://www.heise.de/security/meldung/Das-Router-Desaster-Fritzbox-Update-geraet-ins-Stocken-2173043...

Dagegen stellt aus meiner Sicht die beschränkte Gerätepasswort-Länge </=12 im eigenen Netzwerk keine wesentliche Unsicherheit dar. Wem vertraust Du denn nicht in Deinem Netzwerk? Und wenn, könnte eine Spyware Deine 16 Tastaureingaben und oder das unverschlüsselte Gerätepasswort bei der Übertragung zum Speedport mitschneiden.

Gruß Ulrich

@UlrichZ 

Eine spezielle Art des "Routerfernzugriffs" bei einem Speedport ist wie folgt:

• PC im LAN/WLAN fängt sich im Internet etwas ein
• PC wird übernommen und ferngesteuert
• Zugriff aus der Ferne auf den Speedport via PC bis zur Loginmaske
• hack hack hack

Jetzt muss man sagen, dass man bei 12 Stellen mit jeweils 70 möglichen Zeichen bereits eine ziemliche Anzahl von Kombinationen hat. Bei wiederholten Fehleingaben wird eine Wartezeit eingelegt bis ein neuer Loginversuch erfolgen kann. Und die Wartezeit verlängert sich wenn weitere Fehleingaben erfolgen. Solcherart wird man im Laufe eines Menschenlebens wohl nicht alle Kombinationen durchprobiert haben. Von dem her: also nicht kritisch.

Bei anderen Speedports ist das wohl auch so, dass max. 12 Stellen gehen. Scheint seit bereits einiger Zeit eine generelle Design Rule zu sein.

Früher gab es wohl mal bis zu 32 mögliche Zeichen - wie es heute noch meines Wissens Standard ist bei AVM Fritzboxen.

Deshalb würde ich das mal als allgemeinen Verbesserungsvorschlag ansehen, bei Speedports mehr als 12 Zeichen zuzulassen.

Der vermutlich aber keine hohe Priorität genießen wird bei der Telekom.

---

@muc80337_2  schrieb:

@UlrichZ 

Eine spezielle Art des "Routerfernzugriffs" bei einem Speedport ist wie folgt:

• PC im LAN/WLAN fängt sich im Internet etwas ein
• PC wird übernommen und ferngesteuert
• Zugriff aus der Ferne auf den Speedport via PC bis zur Loginmaske
• hack hack hack

Diese Art des "Fernangriffes" habe ich ja in meinem Spyware-Beispiel schon eingeschlossen, wer den Zugriff auf den PC hat, gelangt über eingeschleuste Spyware auch an das Gerätepasswort, egal ob 12 oder 32 Stellen. Der braucht sich nicht die Mühe eine Brute Force Angriffes auf den Speedport zu machen.

Aber, seien wir mal ehrlich, wer meint, mehr als 12 Stellen für das Gerätepasswort nehmen zu müssen, der wird hoffentlich so schlau sein, sein eigenes Netzwerk so zu nutzen und zu schützen, dass niemand von Außen ins LAN eindringen kann.

Für mich ist das eher Security by Obscurity, genauso wie die (W)LAN-MAC-Filterung. Letztere mag gegen den Kumpel / die Kumpeline des eigenen Nachwuchses helfen, nicht aber gegen wahrlich böse Buben in der Nachbarschaft. Hier hilft wirklich ein mehr als zwölfstelliger WLAN-Schlüssel.

Gruß Ulrich

@UlrichZ 

Ich sehe ein längeres Passwort mehr unter dem Motto "bequem aber trotzdem sicher". Und unter dem Motto "besser wieder auffindbar auch wenn man den Zettel verlegt hat)

Aber gut - der Pro ist nicht besser und nicht schlechter als z.B. der Smart.

Im Grunde genommen sollen die Telekom Produktmanager halt die Idee aufgreifen und sie umsetzen (kundenfreundlich) oder verwerfen (kostengünstig)

---

@UlrichZ  schrieb:

Aber, seien wir mal ehrlich, wer meint, mehr als 12 Stellen für das Gerätepasswort nehmen zu müssen, der wird hoffentlich so schlau sein, sein eigenes Netzwerk so zu nutzen und zu schützen, dass niemand von Außen ins LAN eindringen kann.

---

Die ganze Diskussion ist doch müßig!

Die heutigen Exploits nutzen oft mehrere Schwachstellen aus. Es braucht auch nur eine fehlerhafte Funktion in einer Software und schon haben wir eine Konstellation in der die Passwortprüfung ohne künstliche Pause erfolgen kann. Auch dafür gibt es reale Fälle. Eine falsche Konfiguration reichte offensichtlich auch beim Netzbetreiber aus, damit die TR-069 Ports auf einmal öffentlich waren. Und genauso kann auch die Routerkonfiguration dafür sorgen, dass die interne Loginmaske dann doch mal öffentlich zugänglich ist. Also kann man doch wenigstens das Problem eines zu kurzen Passworts pauschal ausschließen, anstatt 12 Zeichen als ausreichend darzustellen.

Lange Passwörter sind kein Luxus und ein Passwort-Manager generiert automatisch lange Passwörter.

@Arclight 

Was bitte hat denn die TR-069 Schnittstelle mit dem Konfigurationspasswort zu schaffen?