Raspberry Pi Standardnutzer:
Schlaues Sicherheitsupdate für Bullseye

Die Entwickler Raspberry Pi Betriebssystems Bullseye haben sich einem Sicherheitsproblem angenommen, das recht verbreitet scheint: Das neue Update für den Raspberry Pi entfernt den Standardbenutzer, um Brute-Force-Angriffe zu verhindern.
Logo, mini-pc, raspberry pi, raspberry, Raspberry Pi Logo, Himbeere
Denn durch den Standardbenutzer "pi" ist es für Angreifer einfacher, Raspberry Pi-Geräte zu finden und zu kompromittieren, die im Internet exponiert sind, indem sie einen Zugriff mit den Standardzugangsdaten versuchen. Die Lösung ist daher ganz einfach - ab sofort warnt Bullseye in der neuesten Version, wenn man versucht, den Standardbenutzer "pi" zu verwenden. In der neuen Version wird man nun bei der Installation des Betriebssystems zunächst aufgefordert, einen Benutzernamen und ein Passwort zu wählen. Bisher fragte das Installationsprogramm dagegen nur nach einem benutzerdefinierten Passwort, der Nutzer wurde standardmäßig voreingestellt auf "pi" gelassen.

Dieser Schritt für die Vergabe eines eigenen Nutzernamens kann nicht mehr übersprungen werden. Man kann zwar weiterhin den Benutzernamen "pi" und das Passwort "raspberry" verwenden, es erschient dann aber eine eindringliche Warnung, dass das keine kluge Idee ist.

Bei der Bekanntgabe der Neuerung für Bullseye erklärt nun Simon Long, Senior Principal EngineerSenior bei Raspberry Pi im Firmen-Blog: "Wir werden den 'pi'-Benutzer bei bestehenden Installationen nicht abschaffen. Wir halten niemanden davon ab, bei einer Neuinstallation 'pi' und 'raspberry' als Benutzernamen und Passwort einzugeben."

Bestehende Installationen sind von dieser Änderung nicht betroffen. Der Benutzername lässt sich jedoch jederzeit noch nachträglich ändern, wenn man nicht länger die standardmäßigen Anmeldeinformationen verwenden möchte.

Einfach behebbare Schwachstelle

"Das ist keine große Schwachstelle - nur einen gültigen Benutzernamen zu kennen, hilft nicht viel, wenn jemand in Ihr System eindringen will; er müsste auch Ihr Passwort kennen, und Sie müssten überhaupt irgendeine Form des Fernzugriffs aktiviert haben", erklärt Long. Dennoch vereinfacht es einen Brute-Force-Angriff, daher führen einige Länder als Reaktion darauf jetzt Gesetze ein, die es jedem mit dem Internet verbundenen Gerät verbieten, Standard-Anmeldedaten zu haben. Großbritannien beispielsweise will neue Vorschriften durchsetzen, die verlangen, dass IoT-Geräte nicht mehr mit Standard-Benutzernamen und -Passwörtern ausgeliefert werden, sondern die Kunden stattdessen auffordern, benutzerdefinierte Anmeldedaten zu wählen, die nicht auf einen universellen Werksstandardwert zurückgesetzt werden können. Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!