Pflicht bei Secure ist ein Projektpasswort.

Ich bin mal gespannt, welcher Freak sich die Mühe macht, in ein System einzudringen(nicht über offene Ports) und dann die Geräte zu löschen. Auf den Präzedenzfall bin ich gespannt, wenn eine Anlage gekidnappt wurde und sich rausstellt der Hersteller hat ein Datenleck….

Ich bin froh wenn Kunden überhaupt ein ETS Projekt haben. Dann sollen noch welche mit BAU Passwort anfangen…..

Secure wäre das Mittel meiner Wahl, falls dies ein Kunde wünscht. Aber wie Roman schon sagt, manche Hersteller springen da nicht mit auf.

Herrje, Bau Passwort hat nichts mit secure zu tun und mdt ignoriert das Bau Passwort z. B.

Ps: mdt ignoriert, außer beim tapko Router, auch secure.

Sprich du setzt keins? Ist das nicht Pflicht, sobald du Geräte mit Secure verwendest?

Aktuell vielleicht, aber nicht ausgeschlossen, dass ein angegriffenes Gerät im Heimnetzwerk als Proxy fungierte.

Es sind aktuell nur Fälle, wo der Port offen im Internet hängt.
Sorry, selbst Schuld.

Wer trotzdem noch ein Alu Hut benötigt, sollte auf IP Secure und Data Secure wechseln.

Das BAU Passwort wäre für mich das letzte Mittel.

Die KNX A empfiehlt angeblich in den Schulung (keine Ahnung, bin voll schlecht geschult) das Passwort in den Projekt Namen zu schreiben.

Naja ein schlechtes Passwort ist immer noch besser als kein Passwort. Ist ds gleiche Prinzip wie bei einer PIN mit nur 4 Zahlen. Ich kann das durchaus verstehen. Hier geht es immer hin nur um eine KNX Installation auf die man erstmal Zugriff erlagen muss. Ansonsten hast du naütlrich recht, das eine Passwort im klassichen Sinne nicht herleitbar sein sollte.

Es erschreckt mich, dass ausgerechnet ein ITler den Vorschlag bringt, einen Standard für die Herleitung eines Passworts zu definieren.
Man kann nur hoffen, dass niemand diese Idee aufgreift oder weiterverfolgt....

Da wäre ein Standard für die Ablage der Projekt-Datei wesentlich sinnvoller, und an der Stelle könnte man dann auch gleich das BAU-Passwort deponieren.
Oder man klebt einfach einen Dymo-Streifen hinter die Abdeckung auf das Netzteil.


​

Ich habe mir das auch schonmal überlegt. Aber die Varianz der Kombination ist nicht besonders groß. Und dann denke ich mir. "Zum Himmel", warum schreibt man nicht das Passwort auf und legt es in den Sicherungskasten. Am besten auf eine Rückseite einer Abdeckung kleben. Aber bevor man kein Passwort hat, ist das immer noch besser.

Ich habe mir gerade mal den Beitrag und die Ansätze zum "recovern" angesehen. Ziemlich interessantes Thema bzw. gute Ansätze!

Bei mir sind fast ausschließlich MDT Komponenten verbaut. Als ITler weiß ich auch was ich tue, trotzdem würde ich gerne alle Maßnahmen der Prävention nutzen (auch wenn der Fall eines direkt Zugriffs via DNAT bzw. Portforwarding praktisch ausgeschlossen ist) und somit in meinem Projekt das Bau-Passwort direkt selbst setzen.
Sobald man aus meiner Sicht Dinge wie Fernzugriffsmodule, Bridges wie z.B. 1Home etc. einsetzt, gibt man das Thema IT-Sicherheit ja in gewisser Weise auch an den jeweiligen Hersteller ab und muss diesem vertrauen. Von daher schadet es sicherlich nicht, das Bau Passwort einfach zu setzen um die potenziellen Auswirkungen bei einem "Leck" ein Grenzen zu halten ...
Dieses wird natürlich in KeePass, der Projektdatei und auch schriftlich in der Verteilung dokumentiert.

Im Prinzip ist es ja nur einmal das Passwort im ETS Projekt konfigurieren und anschließend alle Geräte einmal neu mit dem Appl.Programm zu beschreiben, richtig?

Evtl. macht es trotzdem Sinn eine Art inoffiziellen Standard im Rahmen dieses Forums zu entwickeln, an den sich möglichst viele versierte SI und Anwender halten um im Zweifel auch ohne niedergeschriebenes Passwort das Baupasswort herleiten zu können (ergibt im Zweifel natürlich auch ein Vorteil für einen potenziellen Angreifer, wobei der sich im Zweifel lieber eine "ungesicherte" Anlage sucht). Hilft aber evtl. dem User, der nach X Jahren sein Passwort verlegt hat und dann hier im Forum wieder aufschlägt.

Was mir spontan einfällt wäre z.B. eine Herleitung das Bau-Passwortes anhand fester lokaler Werte wie z.B. der Hausnummer und der Postleitzahl. Ergibt auch schön unterschiedlich hohe "Zahlenkombinationen", sodass ein Angreifer eher kein BruteForce-Angriff starten wird. Klar wird die Sicherheit durch solch eine Logik aufgeweicht, dafür aber das Risiko sich selbst auszusperren (was ich für wahrscheinlicher halte) gesenkt ;-)

Vorschlag:
PLZ (10587) + Hausnummer ohne eventuelle Buchstaben (19a) + wenn nötig Nullen zum "Auffüllen" der letzten Stellen bis die 8 Zeichen bzw. 4 Byte erreicht sind -> 10587190

4-stellige Hausnummern sind ja eher die Ausnahme in Deutschland

Wer sein Passwort dann vergessen hat und in 15 Jahren hier aufschlägt wird glücklich sein, dass er diese Empfehlung wieder zu lesen bekommt. Und alle gewerblichen können jeweils ohne großen Aufwand das Baupasswort beim Kunden vor Ort ableiten bzw. dieses am Telefon mitteilen.

Wer natürlich das Passwort tatsächlich zur Absicherung vor "Innentätern" nutzen möchte, sollte von dieser Empfehlung abweichen.

Was haltet ihr vor diesem Vorschlag?

Viele Grüße
neutrino

So, und hier wieder ein neues ausgelesenes BCU-PW:

6161E6EE​

Beste Grüße,

MH

Ich schaue leider nicht allzu oft hier rein, aber wenn ich abseits der offiziellen Kanäle helfen kann, dann sehr gerne.

Ich habe zwar selber (zum Glück) das Problem nicht, finde es aber toll, dass du deine Informationen hier weiterhin zur Verfügung stellst! Großes Lob!

Da immer noch "BAU-verschlüsselte" Geräte gefunden werden, hier das zuletzt ausgelesene BAU-PW der Vollständigkeit halber:

00521711
​
Beste Grüße

M.H.

Hallo zusammen,

ich habe leider schon lange nicht mehr hier reingesehen, es tut sich ja Einiges!

Zu den Schlüsseln: Wir hatten bisher noch nie den Fall, dass ein Schlüssel bei mehreren Fällen verwendet wurde und es gibt auch keine Überschneidungen mit hier bereits veröffentlichten Schlüssel. Allerdings gab es innerhalb eines Falles manchmal Abwandlungen des Schlüssels: Eine der Stellen war leicht verschoben und die Schlüssel waren zB 26516886, 26516887 und 26516888.

Schlüssel, die wir bisher gesehen haben:

• 26516886
• 47566566
• 12354789
• 24155165
• 0000000C

Nicht helfen konnten wir leider Betroffenen, die ausschließlich Jung oder Gira einsetzen. Hatte hier jemand mehr Erfolg?

LG
Peter

Vielen Dank!