30
Entwicklertagebuch: Passwortsicherheit
Hallo Administrator User,
mit dem heutigen Release erhöhen wir die Passwortsicherheit auf unserer Seite. Dazu haben wir die Einstellungen 'Passwort und Loginverhalten' aktualisiert. Wenn man nun ein Passwort ändern möchte, muss man neben dem alten Passwort auch die Qualität seines Passworts berücksichtigen. Das neue Passwort muss aus mindestens 6 Zeichen, Buchstaben, Zahlen und mindestens einem Sonderzeichen bestehen. Auch die Groß- und Kleinschreibung wird berücksichtigt.
Wir haben dafür einen neuen Indikator, der die Qualität des Passworts live bewertet, hinzugefügt. Es werden ab sofort nur noch Passwörter mit der Stärke: 'Normal' (grauer Balken) und höher zugelassen (es gibt insgesamt 5 Stufen).
User, die sich mit einem Passwort, dass unter der Passwort-Stärke 'Normal' liegt, anmelden, werden nach dem Login aufgefordert, ihr Passwort neu zu setzten. Ohne ein sicheres Passwort können sie sich im angemeldeten Zustand nicht mehr auf der Seite bewegen.
Ich weiß, dass das für einige User ärgerlich oder aufwändig ist, aber in der heutigen Zeit ist es für die Sicherheit aller User hier auf der Seite wichtig, dass keine einfachen Passwörter mehr verwendet werden.
Ich hoffe auf Euer Verständnis und freue mich auf Feedback.
Schönen Gruß
Frank
mit dem heutigen Release erhöhen wir die Passwortsicherheit auf unserer Seite. Dazu haben wir die Einstellungen 'Passwort und Loginverhalten' aktualisiert. Wenn man nun ein Passwort ändern möchte, muss man neben dem alten Passwort auch die Qualität seines Passworts berücksichtigen. Das neue Passwort muss aus mindestens 6 Zeichen, Buchstaben, Zahlen und mindestens einem Sonderzeichen bestehen. Auch die Groß- und Kleinschreibung wird berücksichtigt.
Wir haben dafür einen neuen Indikator, der die Qualität des Passworts live bewertet, hinzugefügt. Es werden ab sofort nur noch Passwörter mit der Stärke: 'Normal' (grauer Balken) und höher zugelassen (es gibt insgesamt 5 Stufen).
User, die sich mit einem Passwort, dass unter der Passwort-Stärke 'Normal' liegt, anmelden, werden nach dem Login aufgefordert, ihr Passwort neu zu setzten. Ohne ein sicheres Passwort können sie sich im angemeldeten Zustand nicht mehr auf der Seite bewegen.
Ich weiß, dass das für einige User ärgerlich oder aufwändig ist, aber in der heutigen Zeit ist es für die Sicherheit aller User hier auf der Seite wichtig, dass keine einfachen Passwörter mehr verwendet werden.
Ich hoffe auf Euer Verständnis und freue mich auf Feedback.
Schönen Gruß
Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304331
Url: https://administrator.de/contentid/304331
Printed on: April 24, 2024 at 17:04 o'clock
30 Comments
Latest comment
Ich hab ehrlich gesagt den Indikator anfangs nicht beachtet und hab mich gewundert, wieso das neue Passwort nicht genommen wurde, obwohl alle Anforderungen eigentlich erfüllt waren. Großbuchstabe, Kleinbuchstabe, Sonderzeichen, Zahl.
Ich hab auch nirgends gelesen, dass der Indikator mindestens "normal" anzeigen muss. Entweder ich hab das übersehen, oder aber man sollte das dann noch hinzufügen.
Interessant ist auch, dass das Passwort PasswortIst###e19 den Anforderungen des Indikators gerecht wird, das Passwort PasswortIst###e1950 hingegen nicht.
Klar, Jahreszahl. Aber trotzdem. Rein bruteforcemäßig sollten mehr Stellen länger dauern. Oder irre ich mich da?
Ich hab auch nirgends gelesen, dass der Indikator mindestens "normal" anzeigen muss. Entweder ich hab das übersehen, oder aber man sollte das dann noch hinzufügen.
Interessant ist auch, dass das Passwort PasswortIst###e19 den Anforderungen des Indikators gerecht wird, das Passwort PasswortIst###e1950 hingegen nicht.
Klar, Jahreszahl. Aber trotzdem. Rein bruteforcemäßig sollten mehr Stellen länger dauern. Oder irre ich mich da?
Ich habe dazu eine Frage, warum wird man eigentlich dazu gezwungen?
Es ist ja effektiv immernoch der Benutzer selbst dafür verantwortlich.
Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?), Tipps für sichere Passwörter geben und den User trotzdem selbst entscheiden lassen?
Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)
Es ist ja effektiv immernoch der Benutzer selbst dafür verantwortlich.
Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?), Tipps für sichere Passwörter geben und den User trotzdem selbst entscheiden lassen?
Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)
1
Hallo,
Und du meinst es hält dann alle ab die hier immer versuchen Konten anzulegen?
Gruß,
Peter
Und du meinst es hält dann alle ab die hier immer versuchen Konten anzulegen?
Gruß,
Peter
2
@127132,
nein, Jahreszahlen wie auch einfache Wörter (egal wie lang) werden meist am Anfang einer Bruteforce geprüft. Die Länge eines Passworts ist nur dann von Bedeutung, wenn sie zufällig entsteht (z.B. per Hashfunktion).
Stimmt, beim reinen Passwort ändern, habe ich es nicht dazu geschrieben. Spätestens beim "Speichern" weißt er aber darauf hin. Evtl sollte ich es da noch hinzufügen.
@Olfryygt
Weil es immer noch User gibt, die "123456" als Passwort benutzen. Diese recht leicht zu übernehmenden Accounts ärgern dann die anderen User auf unserer Seite.
Haben wir eine Zeit lang gemacht, hat nicht geholfen.
Weil es nicht nur auf die Länge eines Passworts ankommt, sondern auf die Zufälligkeit der einzelnen Zeichen. Die besten Passwörter wären Hashs, die kann man sich aber nur schwer merken
Gute Passwörter tragen zur Sicherheit der Seite und der Accounts bei. Das sollte im Interesse aller User liegen. Der nächste Schritt ist eine Zwei-Faktor Authentifizierung. Diese wird es in Zukunft sicher auch noch optional geben.
Gruß
Frank
Klar, Jahreszahl. Aber trotzdem. Rein bruteforcemäßig sollten mehr Stellen länger dauern. Oder irre ich mich da?
nein, Jahreszahlen wie auch einfache Wörter (egal wie lang) werden meist am Anfang einer Bruteforce geprüft. Die Länge eines Passworts ist nur dann von Bedeutung, wenn sie zufällig entsteht (z.B. per Hashfunktion).
Ich hab auch nirgends gelesen, dass der Indikator mindestens "normal" anzeigen muss.
Stimmt, beim reinen Passwort ändern, habe ich es nicht dazu geschrieben. Spätestens beim "Speichern" weißt er aber darauf hin. Evtl sollte ich es da noch hinzufügen.
@Olfryygt
Ich habe dazu eine Frage, warum wird man eigentlich dazu gezwungen?
Weil es immer noch User gibt, die "123456" als Passwort benutzen. Diese recht leicht zu übernehmenden Accounts ärgern dann die anderen User auf unserer Seite.
Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?)
Haben wir eine Zeit lang gemacht, hat nicht geholfen.
Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen?
Weil es nicht nur auf die Länge eines Passworts ankommt, sondern auf die Zufälligkeit der einzelnen Zeichen. Die besten Passwörter wären Hashs, die kann man sich aber nur schwer merken
Gute Passwörter tragen zur Sicherheit der Seite und der Accounts bei. Das sollte im Interesse aller User liegen. Der nächste Schritt ist eine Zwei-Faktor Authentifizierung. Diese wird es in Zukunft sicher auch noch optional geben.
Gruß
Frank
Zitat von @Olfryygt:
Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)
Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)
In dem xkcd-Comic steht es doch drin. Es ist die Entropie (=Informationsgehalt in Bit), die darüber entscheidet, ob das lange oder das kurze Paßwort sicherer ist. Leider wird hierzulande in den Schulen zu wenig Wert auf das vermitteln des Wissens, was Entropie ist gelegt.
In die Entropie geht wesenlich auch die Wahrscheinlichkeit mit ein, mit der ein zeichen oder gar eine Zeichenkombination erraten werden kann ein. Daher ist die Sicherheit eines Paßwortes auch wesetlich davon abhängig, welche Methoden zum "Erraten" gerade aktuell sind. Und Wörterbuchattacken können die Entropie eines langen Paßwortes ganz schnell schrumpfen lassen.
lks
1
Hi Frank,
das ist viel Admin-Thinking. Etwas Evil-Thinking:
Die Ausgangslage für Angriffe auf die Passwortsicherheit (gerade bei Foren) ist ganz überwiegend, dass der Angreifer kein Wissen über Passwortbildungsregeln zu dem jeweiligen Nutzernamen hat. Wenn doch, weil er ein ganz bestimmtes Konto kapern will, ist ohnehin die nötige Entropie äußerst hoch, und dem Nutzer mit einer praktikablen Passwortrichtlinie kaum zu helfen. Im Sinne einer effizienten Maßnahme sollte man daher m.E. die Passwortlänge überproportional gewichten.
Dann gäbe eine noch sehr simple Maßnahme, die in Relation zum Aufwand wesentlich mehr nützen würde: Authentifizierung mit E-Mail-Adresse statt Nutzername.
Dienste, deren Nutzernamen bekannt sind, leiden immer unter wahllos gehackten Konten. Denn die Nutzer, die "123456" als Passwort verwenden, verwenden generell das einfachste denkbare Passwort. Wie das aussieht, verrät die Passwortrichtlinie. Aus "123456" ist jetzt "Abc123." geworden. Zwanzig bis vierzig einfache Passwörter gegen rund 100k Nutzer getestet ergeben erfahrungsgemäß wahrscheinlich ein gutes Kosten-Nutzen-Verhältnis.
Grüße
Richard
das ist viel Admin-Thinking. Etwas Evil-Thinking:
Die Ausgangslage für Angriffe auf die Passwortsicherheit (gerade bei Foren) ist ganz überwiegend, dass der Angreifer kein Wissen über Passwortbildungsregeln zu dem jeweiligen Nutzernamen hat. Wenn doch, weil er ein ganz bestimmtes Konto kapern will, ist ohnehin die nötige Entropie äußerst hoch, und dem Nutzer mit einer praktikablen Passwortrichtlinie kaum zu helfen. Im Sinne einer effizienten Maßnahme sollte man daher m.E. die Passwortlänge überproportional gewichten.
Dann gäbe eine noch sehr simple Maßnahme, die in Relation zum Aufwand wesentlich mehr nützen würde: Authentifizierung mit E-Mail-Adresse statt Nutzername.
Dienste, deren Nutzernamen bekannt sind, leiden immer unter wahllos gehackten Konten. Denn die Nutzer, die "123456" als Passwort verwenden, verwenden generell das einfachste denkbare Passwort. Wie das aussieht, verrät die Passwortrichtlinie. Aus "123456" ist jetzt "Abc123." geworden. Zwanzig bis vierzig einfache Passwörter gegen rund 100k Nutzer getestet ergeben
Grüße
Richard
Hallo Richard,
Mit dem Gedanken habe ich auch schon gespielt und hier stimme ich dir voll und ganz zu.
Gruß
Frank
Authentifizierung mit E-Mail-Adresse statt Nutzername.
Mit dem Gedanken habe ich auch schon gespielt und hier stimme ich dir voll und ganz zu.
Gruß
Frank
Naja,
Email-adresse mit Paßwort birgt wieder andere Risiken, da die Mailadresse bei vielen unveränderlich ist und damit die vielen geleakten Mail/Paßwortlisten durchprobiert werden - oft erfolgreich, weil die Paßworte selten oder nur wenig variert werden.
Letztendlich ist es aber wie immer die Entscheidung von Dir, Frank.
lks
Email-adresse mit Paßwort birgt wieder andere Risiken, da die Mailadresse bei vielen unveränderlich ist und damit die vielen geleakten Mail/Paßwortlisten durchprobiert werden - oft erfolgreich, weil die Paßworte selten oder nur wenig variert werden.
Letztendlich ist es aber wie immer die Entscheidung von Dir, Frank.
lks
Hi,
was mich dann aber zu der Idee bringt: Warum sollte man beim Login nur zwei Felder eingeben? Mit der Zwei-Faktor Authentifizierung muss man auch insgesamt drei Eingaben machen (und in der Regel noch auf ein weiteres Gerät schauen).
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen. Die Passwort-Manager in den Browsern helfen dabei, die Eingabe weiterhin leicht und schnell zu gestalten, alternativ kann man das "Angemeldet bleiben" Token aktivieren. Was denkt ihr?
Gruß
Frank
was mich dann aber zu der Idee bringt: Warum sollte man beim Login nur zwei Felder eingeben? Mit der Zwei-Faktor Authentifizierung muss man auch insgesamt drei Eingaben machen (und in der Regel noch auf ein weiteres Gerät schauen).
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen. Die Passwort-Manager in den Browsern helfen dabei, die Eingabe weiterhin leicht und schnell zu gestalten, alternativ kann man das "Angemeldet bleiben" Token aktivieren. Was denkt ihr?
Gruß
Frank
Moin Frank,
??
Als nächstes kommen dann noch Sicherheitsabfragen a la "Wie hiess der erste Deutschlehrer Deiner Grosstante mütterlicherseits?" ...
LG, Thomas
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort.
bereitet Ihr Euch auf eine Aufgabe als Ersatz-Fort-Knox vor ??Als nächstes kommen dann noch Sicherheitsabfragen a la "Wie hiess der erste Deutschlehrer Deiner Grosstante mütterlicherseits?" ...
LG, Thomas
Zitat von @admtech:
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen. Die Passwort-Manager in den Browsern helfen dabei, die Eingabe weiterhin leicht und schnell zu gestalten, alternativ kann man das "Angemeldet bleiben" Token aktivieren. Was denkt ihr?
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen. Die Passwort-Manager in den Browsern helfen dabei, die Eingabe weiterhin leicht und schnell zu gestalten, alternativ kann man das "Angemeldet bleiben" Token aktivieren. Was denkt ihr?
Die Frage ist doch: brauchen wir das alles bei Administrator.de überhaupt? Zumindest ich habe bisher nciht allzuviel SPAM oder übernommene Accounts im Forum bemerkt, wenn auch das ein oder ander Mal die Ausnahme die Regel bestätigt. Und ist das mit den schachen Paßworten hier wirklich ein Problem? Was sagen Diene Logs, wie oft hier druchprobiert wird?
lks
PS. Bei meinem Account dürften die Kollegen recht schnell merken, wenn er übernommen wird. Dann würden die ganzen typischen Tippfehler plötzlich nicht mehr stimmen.
3
Hi,
Wenn wir diesen Status hätten, wäre das echt prima. Warum auch nicht, in Zukunft sollen hier noch verschlüsselte Nachrichten (ohne dass die Schlüssel bei uns gespeichert werden) hinzukommen und dafür würde ich gerne alle Möglichkeiten für eine hohe Sicherheit ausschöpfen. Man kann es niemals sicher genug gestalten.
Nein, davon halte ich nichts.
Ein klares: Ja
Das die User bisher kaum etwas vom Spam etc. mitbekommen hat natürlich auch seinen Grund: Im Hintergrund wird sehr viel dagegen getan um das wirkungsvoll zu verhindern. Für ein besseres Verständnis: Es gibt ca. 30-40 Spamanmeldungen, ca. 8.000 Angriffe auf Usernamen und ca. 60.000 Angriffe pro Tag auf die Infrastruktur unserer Server - und das sind die optimistischen Zahlen
Außerdem möchte ich in Zukunft mit Administrator.eu auch noch eine englische Version unserer Seite anbieten. Dafür brauchen wir ein gutes und grundsolides Sicherheitskonzept, gute Passwörter und evtl. auch neue Ideen, um die Webseite wirkungsvoll zu schützen. Die Zwei-Faktor Authentifizierung ist sicher eine Möglichkeit, sie ist aber auch sehr umständlich.
Was haltet ihr denn von der Idee, den Nutzername, die E-Mail und das Passwort beim Login einzugeben. Zu aufwendig oder für die gegebene Sicherheit vertretbar?
Gruß
Frank
bereitet Ihr Euch auf eine Aufgabe als Ersatz-Fort-Knox vor
Wenn wir diesen Status hätten, wäre das echt prima. Warum auch nicht, in Zukunft sollen hier noch verschlüsselte Nachrichten (ohne dass die Schlüssel bei uns gespeichert werden) hinzukommen und dafür würde ich gerne alle Möglichkeiten für eine hohe Sicherheit ausschöpfen. Man kann es niemals sicher genug gestalten.
Als nächstes kommen dann noch Sicherheitsabfragen a la "Wie hiess der erste Deutschlehrer Deiner Grosstante mütterlicherseits?"
Nein, davon halte ich nichts.
Die Frage ist doch: brauchen wir das alles bei Administrator.de überhaupt?
Ein klares: Ja
Das die User bisher kaum etwas vom Spam etc. mitbekommen hat natürlich auch seinen Grund: Im Hintergrund wird sehr viel dagegen getan um das wirkungsvoll zu verhindern. Für ein besseres Verständnis: Es gibt ca. 30-40 Spamanmeldungen, ca. 8.000 Angriffe auf Usernamen und ca. 60.000 Angriffe pro Tag auf die Infrastruktur unserer Server - und das sind die optimistischen Zahlen
Außerdem möchte ich in Zukunft mit Administrator.eu auch noch eine englische Version unserer Seite anbieten. Dafür brauchen wir ein gutes und grundsolides Sicherheitskonzept, gute Passwörter und evtl. auch neue Ideen, um die Webseite wirkungsvoll zu schützen. Die Zwei-Faktor Authentifizierung ist sicher eine Möglichkeit, sie ist aber auch sehr umständlich.
Was haltet ihr denn von der Idee, den Nutzername, die E-Mail und das Passwort beim Login einzugeben. Zu aufwendig oder für die gegebene Sicherheit vertretbar?
Gruß
Frank
1Zitat von @admtech:
Was haltet ihr denn von der Idee, den Nutzername, die E-Mail und das Passwort beim Login einzugeben. Zu aufwendig oder für die gegebene Sicherheit vertretbar?
Was haltet ihr denn von der Idee, den Nutzername, die E-Mail und das Passwort beim Login einzugeben. Zu aufwendig oder für die gegebene Sicherheit vertretbar?
Würde mich nicht stören. Grundsätzlich eine positive Entwicklung, sich durch Sicherheitsmerkmale abzuheben. Das ist auch bei Fach-Foren sonst eher mau.
Grüße
Richard
Finde ich ein bisschen übertrieben das ganze. Das sind ja immer noch Forenaccounts und keine Online-Banking Konten. Für wen würde es sich lohnen da großartig Accounts zu hacken wenn er darin sowieso nichts verwertbares findet was er zu Geld machen kann.
Und wenn ein Account gehackt würde, dann kann sich der Inhaber ja melden und das Password wird wieder geändert, viel Anfangen lässt sich mit so einem Account hier ja sowieso nicht, wenn sich sowieso jeder einen kostenlosen Account erstellen kann, wieso also der Aufwand?
Viel Lärm um nichts, und 2-Faktor Auth nur für einem simplen Forenaccount??, maßlos übertrieben.
Frohe Pfingsten
Und wenn ein Account gehackt würde, dann kann sich der Inhaber ja melden und das Password wird wieder geändert, viel Anfangen lässt sich mit so einem Account hier ja sowieso nicht, wenn sich sowieso jeder einen kostenlosen Account erstellen kann, wieso also der Aufwand?
Viel Lärm um nichts, und 2-Faktor Auth nur für einem simplen Forenaccount??, maßlos übertrieben.
Frohe Pfingsten
1
Hallo @129148,
Das sehe ich natürlich anders. Wir sind neben einem Forum auch ein sehr großes Wissensportal und eine Jobbörse. Manche User haben hier hunderte von Anleitungen in ihrem Account. Wenn ich oder einer dieser User z.B. unsere Wissensbeiträge wegen eines Hacks des Accounts verlieren würden, wäre das mehr als nur ärgerlich. Wir alle würden dabei wichtige Informationen, Tips, Anleitungen oder Erfahrungsberichte verlieren.
Außerdem sind Dienste wie verschlüsselte Nachrichten und persönliche Blogs etc. geplant. Administrator ist damit eine Knowledgebase, eine Platform, wo man neben unwichtigen auch wichtige Informationen austauscht und genau diese Informationen und Inhalte müssen vor Missbrauch geschützt werden.
Du willst ein einfaches Forum? Dann bist du hier falsch.
Gruß
Frank
Viel Lärm um nichts, und 2-Faktor Auth nur für einem simplen Forenaccount??, maßlos übertrieben.
Das sehe ich natürlich anders. Wir sind neben einem Forum auch ein sehr großes Wissensportal und eine Jobbörse. Manche User haben hier hunderte von Anleitungen in ihrem Account. Wenn ich oder einer dieser User z.B. unsere Wissensbeiträge wegen eines Hacks des Accounts verlieren würden, wäre das mehr als nur ärgerlich. Wir alle würden dabei wichtige Informationen, Tips, Anleitungen oder Erfahrungsberichte verlieren.
Außerdem sind Dienste wie verschlüsselte Nachrichten und persönliche Blogs etc. geplant. Administrator ist damit eine Knowledgebase, eine Platform, wo man neben unwichtigen auch wichtige Informationen austauscht und genau diese Informationen und Inhalte müssen vor Missbrauch geschützt werden.
Du willst ein einfaches Forum? Dann bist du hier falsch.
Gruß
Frank
Wenn ich oder einer dieser User z.B. unsere Wissensbeiträge wegen eines Hacks des Accounts verlieren würden, wäre das mehr als nur ärgerlich. Wir alle würden dabei wichtige Informationen, Tips, Anleitungen oder Erfahrungsberichte verlieren.
Wofür gibt's Backups
Wenn mir diese Anleitungen wichtig wären würde ich natürlich Sicherungen davon anfertigen. Wenn das ein User nicht tut ist er ....
Und ich hoffe ihr tut das in eurem eigenen Interesse natürlich auch
Ich suche kein "einfaches" Forum, ich denke nur die Verhältnismässigkeit sollte stimmen.
Hallo @Frank,
eine Art zwei Faktor Authentifizierung würde ich sehr begrüßen. Bei Paypal, den Email Konten, etc. Setzt man ja das auch ein. Und außerdem bin ich ein großer Fan von zwei Faktor Authentifizierung. Und wenn du darüber nachdenkst und es für dich kein rießen Aufwand ist, würde ich mich über das Feature freuen und natürlich bedanken.
Aber nicht dass die anderen "wichtigen" Punkte auf der ToDo Liste darunter leiden. Gibt ja das eine oder andere auf die wir schon lange warten.
Ich will dir nicht zu nahe treten, aber du bist knapp 10 Tage hier aktiv und willst von Verhältnismäßigkeit reden - sorry das passt nicht ganz.
Gruß
@kontext
eine Art zwei Faktor Authentifizierung würde ich sehr begrüßen. Bei Paypal, den Email Konten, etc. Setzt man ja das auch ein. Und außerdem bin ich ein großer Fan von zwei Faktor Authentifizierung.
Und wenn du darüber nachdenkst und es für dich kein rießen Aufwand ist, würde ich mich über das Feature freuen und natürlich bedanken. Aber nicht dass die anderen "wichtigen" Punkte auf der ToDo Liste darunter leiden. Gibt ja das eine oder andere auf die wir schon lange warten.
Zitat von @129148:
Ich suche kein "einfaches" Forum, ich denke nur die Verhältnismässigkeit sollte stimmen.
Naja - wir alten Hasen haben schon eine lange Reise hinteruns. Administrator.de gibt es ja nicht erst seit 2015 ... Ich bin jetzt über 10 Jahre dabei ...Ich suche kein "einfaches" Forum, ich denke nur die Verhältnismässigkeit sollte stimmen.
Ich will dir nicht zu nahe treten, aber du bist knapp 10 Tage hier aktiv und willst von Verhältnismäßigkeit reden - sorry das passt nicht ganz.
Gruß
@kontext
Moin Frank,
ich seh das ähnlich wie Kollege @keine-ahnung und @Lochkartenstanzer. Wobei natürlich Accounts von Moderatoren, Editoren und Webmaster ein größeres Ziel darstellen als ein Standardaccount.
Gruß,
Dani
P.S. Fehlt nur noch dass ich alle 90 Tage mein Passwort ändern muss...
ich seh das ähnlich wie Kollege @keine-ahnung und @Lochkartenstanzer. Wobei natürlich Accounts von Moderatoren, Editoren und Webmaster ein größeres Ziel darstellen als ein Standardaccount.
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort
Ich halte sowohl von der Zusatzangabe der E-Mailadresse noch von 2FA recht wenig. Letztes könnte ich mir jedoch optional vorstellen. Grundsätzlich würde ich die genannten Features auf der ToDo-Liste eher im Mittelfeld sehen. Meine Meinung dazu kennst du bereits. Administrator ist damit eine Knowledgebase, eine Platform, wo man neben unwichtigen auch wichtige Informationen austauscht und genau diese Informationen und Inhalte müssen vor Missbrauch geschützt werden.
Für wichtige Informationen nutze ich kein Forum bzw. private Nachricht. Dafür gibt es andere Wege...Gruß,
Dani
P.S. Fehlt nur noch dass ich alle 90 Tage mein Passwort ändern muss...
1
Hallo,
ich würde jetzt auch grundsätzlich mal sagen 2-Faktor Auth ist schon etwas übervorsichtig.
Aber gut wird sind hier in einem Fachforum das auch den Punkt IT Sicherheit abdeckt und das man da schon mal mit Guten Beispiel vorangehen sollte kann ich's verstehen.
Und du das Funktionell auch noch so ausbauen willst, dann hast du auch gründe dafür.
Ich sag mal man wird sich daran gewöhnen.
Bin mal gespannt was hier die nächsten Jahre bringen und hoffte das die Funktionen die du Umsetzten willst dann auch gut angenommen werden.
Mal rein aus Neugier, weil du schon ein paar mal von einer englischen Version gesprochen hast.
Wird das ne kpl. Abspaltung oder einfach nur eine Übersetzung der Oberfläche und alles landet in einem Pool.
ich würde jetzt auch grundsätzlich mal sagen 2-Faktor Auth ist schon etwas übervorsichtig.
Aber gut wird sind hier in einem Fachforum das auch den Punkt IT Sicherheit abdeckt und das man da schon mal mit Guten Beispiel vorangehen sollte kann ich's verstehen.
Und du das Funktionell auch noch so ausbauen willst, dann hast du auch gründe dafür.
Ich sag mal man wird sich daran gewöhnen.
Bin mal gespannt was hier die nächsten Jahre bringen und hoffte das die Funktionen die du Umsetzten willst dann auch gut angenommen werden.
Mal rein aus Neugier, weil du schon ein paar mal von einer englischen Version gesprochen hast.
Wird das ne kpl. Abspaltung oder einfach nur eine Übersetzung der Oberfläche und alles landet in einem Pool.
Zitat von @kontext:
Naja - wir alten Hasen haben schon eine lange Reise hinteruns. Administrator.de gibt es ja nicht erst seit 2015 ... Ich bin jetzt über 10 Jahre dabei ...
Und was soll mir das jetzt sagen?Naja - wir alten Hasen haben schon eine lange Reise hinteruns. Administrator.de gibt es ja nicht erst seit 2015 ... Ich bin jetzt über 10 Jahre dabei ...
Ich will dir nicht zu nahe treten, aber du bist knapp 10 Tage hier aktiv und willst von Verhältnismäßigkeit reden - sorry das passt nicht ganz.
Du meinst also nur wenn man hier 10 Jahre dabei ist darf man seine Meinung vertreten? Was ist das denn für ein Kindergarten.Aber so scheinen hier alle langjährigen Mitglieder Neulinge von Oben herab zu behandeln. Durfte ich schon ausgiebig in den Threads hier feststellen. Hier kommen so viele Threads vom Thema mit nutzlosen Kommentaren ab und wenn man dann selber etwas zur Lösung effektiv beiträgt, kommt so ein "langjähriger" daher und beleidigt oder schreibt provozierende Kommentare.
Das ist definitiv einem Admin-Forum nicht würdig, sorry aber so ist der erste Eindruck wenn man hier als "Neuling" (der schon etliche Jahre Admin-Berufserfahrung hinter sich hat) produktiv helfen will.
Vielleicht solltet ihr eher daran mal was tun.
Trotzdem schöne Pfingsten
icybox
Ganz ruhig, kleiner oder großer.
Mann oder Frau.
Hab ich dich provoziert? Ich wüsste nicht wo, aber falls doch entschuldige ich mich. Hab ich gesagt du darfst keine eigene Meinung haben - glaube ich kaum. Und von oben behandle ich generell niemanden. Jeder hat mal Klein angefangen (wie auch ich) und mit der Zeit bekommt man auch eine gewisse "dicke" Haut und legt nicht jedes Wort auf die Waagschale.
Ich habe mich doch an der Diskussion beteiligt und gesagt, dass ich eine zwei Faktor Authentifizierung begrüßen würde. Wie diese geschieht ist @Frank überlassen.
Aber hey - ich werde mich mal auf die stille Treppe setzten und über deine Worte nachdenken. Wie du schon sagst - ist ja alles ein Kindergarten hier, vielleicht ist meine Zeit hier auch vorüber - wie heißt es so schön - früher war alles besser ...
PS: ich habe keine Sicherungen von meinen Tips / Erfahrungswerten oder Links. Würde mich interessieren was ich in deinen Augen bin - bezogen auf dein ...
Aber bitter per PM - denn das ist OT.
Just my 2 cents
@kontext
Mann oder Frau.
Hab ich dich provoziert? Ich wüsste nicht wo, aber falls doch entschuldige ich mich. Hab ich gesagt du darfst keine eigene Meinung haben - glaube ich kaum. Und von oben behandle ich generell niemanden. Jeder hat mal Klein angefangen (wie auch ich) und mit der Zeit bekommt man auch eine gewisse "dicke" Haut und legt nicht jedes Wort auf die Waagschale.
Ich habe mich doch an der Diskussion beteiligt und gesagt, dass ich eine zwei Faktor Authentifizierung begrüßen würde. Wie diese geschieht ist @Frank überlassen.
Aber hey - ich werde mich mal auf die stille Treppe setzten und über deine Worte nachdenken. Wie du schon sagst - ist ja alles ein Kindergarten hier, vielleicht ist meine Zeit hier auch vorüber - wie heißt es so schön - früher war alles besser ...
PS: ich habe keine Sicherungen von meinen Tips / Erfahrungswerten oder Links. Würde mich interessieren was ich in deinen Augen bin - bezogen auf dein ...
Aber bitter per PM - denn das ist OT.
Just my 2 cents
@kontext
Ich meinte damit eher einen anderen Thread, das war nicht direkt auf dich bezogen, sorry wenn das so rüber gekommen ist.
Aber machen wir kein Faß auf und belassen es einfach dabei, war halt nur mein erster Eindruck hier im Forum.
Und Feedback ist ja eigentlich ab und zu ganz nützlich. In der passenden Kategorie sind wir hier ja schon.
Als denn, schönes Wochende.
Aber machen wir kein Faß auf und belassen es einfach dabei, war halt nur mein erster Eindruck hier im Forum.
Und Feedback ist ja eigentlich ab und zu ganz nützlich
. In der passenden Kategorie sind wir hier ja schon.Als denn, schönes Wochende.
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort
Ich halte sowohl von der Zusatzangabe der E-Mailadresse noch von 2FA recht wenig. Letztes könnte ich mir jedoch optional vorstellen. Grundsätzlich würde ich die genannten Features auf der ToDo-Liste eher im Mittelfeld sehen. Meine Meinung dazu kennst du bereits.Sprich man bekommt ne E-Mail wenn man sich von "unbekannten" Geräten anmeldet. Ähnlich wie bei Onedrive oder google.
Für Admin Account's und wenn man Franks kommende Dienste nutzen will verpflichtend aktiv. Für den Rest Optional?
1
Hi,
hmm, jetzt hat er sich abgemeldet. Die User sind ja kaum noch kritikfähig. Melden sich bei den kleinsten Dinge gleich ab.
Hier ein paar Antworten zu Euren Fragen:
Natürlich haben wir Backups. Nur muss man es auch mitbekommen, wenn ein Missbrauch erfolgt und das ist keine leichte Aufgabe und passiert selten in Echtzeit.
Wie auch immer, ich halte an den hohen Sicherheit-Standards unserer Seite fest, immerhin sind wir Administrator.de und müssen mit guten Beispiel vorangehen.
Nein, ich arbeite erst mal unsere Roadmap, wie angekündigt, ab.
Wenn ich die Verschlüsselung für interne Nachrichten fertig haben, kann sich das schnell ändern. Ich nutze schon jetzt die Seite zum Austausch von wichtigen Informationen mit anderen Kollegen oder Freunden. Daher ist es mein Ziel, Informationen absolut sicher von A nach B zu senden, ohne das jemals eine Dritte Partei das mitlesen kann. Mail oder Messenger sind mir immer noch zu unsicher.
Nein, davon halte ich auch nichts
Man kann die Sprache der Oberfläche über die Endung auswählen und die Sprache der Inhalte über die Einstellungen. Auf der internationalen Seite wird englisch und deutsch der Standard sein. Auf der deutschen Seite nur deutsch. Man kann aber über die Einstellungen auch in nur englisch oder in nur deutsch oder halt beides ändern. Jeder wie er möchte. Später, wenn es genug englische Inhalte gibt, werde ich den Standard der internationalen Seite evtl. wieder auf reines englisch setzten. Intern merke ich mir für jeden Beitrag oder Kommentar die Sprache.
Ein Abspaltung gibt es aber nicht, ich möchte die Sprachen und Inhalte miteinander verzahnen. Wer aber nur englisch oder nur deutsch will, kann das machen.
Dafür gibt es die Melde-Funktion. Wer sie nicht benutzt und sich lieber beleidigt abmeldet, ist selbst Schuld. Nur wenn die User Kommentare auch melden, können wir reagieren. Was glauben denn die meisten neuen User von mir, dass ich alles mitlese, was reinkommt?
Auch ist es es absolut falsch, wird man von einem User beleidigt, gleich die Schuld auf die Seite zu schieben. Wir habe über 90.000 registrierte User, da spricht das Handeln eines oder auch mehrerer User nicht gleich für die ganze Seite. Wie oft habe ich jetzt schon gelesen, das ein User sich über einen einzigen anderen User geärgert hat und gleich die gesamte Administrator.de Seite für schlecht empfunden wird. Siehe auch unserem "Abmelder" hier im Beitrag.
Ist schwer umzusetzen, wäre aber eine Möglichkeit.
Ich wünsche Euch einen schönen Feiertag
Gruß
Frank
hmm, jetzt hat er sich abgemeldet. Die User sind ja kaum noch kritikfähig. Melden sich bei den kleinsten Dinge gleich ab.
Hier ein paar Antworten zu Euren Fragen:
Wofür gibt's Backups
Natürlich haben wir Backups. Nur muss man es auch mitbekommen, wenn ein Missbrauch erfolgt und das ist keine leichte Aufgabe und passiert selten in Echtzeit.
Wie auch immer, ich halte an den hohen Sicherheit-Standards unserer Seite fest, immerhin sind wir Administrator.de und müssen mit guten Beispiel vorangehen.
Aber nicht dass die anderen "wichtigen" Punkte auf der ToDo Liste darunter leiden.
Nein, ich arbeite erst mal unsere Roadmap, wie angekündigt, ab.
Für wichtige Informationen nutze ich kein Forum bzw. private Nachricht. Dafür gibt es andere Wege...
Wenn ich die Verschlüsselung für interne Nachrichten fertig haben, kann sich das schnell ändern. Ich nutze schon jetzt die Seite zum Austausch von wichtigen Informationen mit anderen Kollegen oder Freunden. Daher ist es mein Ziel, Informationen absolut sicher von A nach B zu senden, ohne das jemals eine Dritte Partei das mitlesen kann. Mail oder Messenger sind mir immer noch zu unsicher.
Fehlt nur noch dass ich alle 90 Tage mein Passwort ändern muss..
Nein, davon halte ich auch nichts
Mal rein aus Neugier, weil du schon ein paar mal von einer englischen Version gesprochen hast. Wird das ne kpl. Abspaltung oder einfach nur eine Übersetzung der Oberfläche und alles landet in einem Pool.
Man kann die Sprache der Oberfläche über die Endung auswählen und die Sprache der Inhalte über die Einstellungen. Auf der internationalen Seite wird englisch und deutsch der Standard sein. Auf der deutschen Seite nur deutsch. Man kann aber über die Einstellungen auch in nur englisch oder in nur deutsch oder halt beides ändern. Jeder wie er möchte. Später, wenn es genug englische Inhalte gibt, werde ich den Standard der internationalen Seite evtl. wieder auf reines englisch setzten. Intern merke ich mir für jeden Beitrag oder Kommentar die Sprache.
Ein Abspaltung gibt es aber nicht, ich möchte die Sprachen und Inhalte miteinander verzahnen. Wer aber nur englisch oder nur deutsch will, kann das machen.
Hier kommen so viele Threads vom Thema mit nutzlosen Kommentaren ab und wenn man dann selber etwas zur Lösung effektiv beiträgt, kommt so ein "langjähriger" daher und beleidigt oder schreibt provozierende Kommentare.
Dafür gibt es die Melde-Funktion. Wer sie nicht benutzt und sich lieber beleidigt abmeldet, ist selbst Schuld. Nur wenn die User Kommentare auch melden, können wir reagieren. Was glauben denn die meisten neuen User von mir, dass ich alles mitlese, was reinkommt?
Auch ist es es absolut falsch, wird man von einem User beleidigt, gleich die Schuld auf die Seite zu schieben. Wir habe über 90.000 registrierte User, da spricht das Handeln eines oder auch mehrerer User nicht gleich für die ganze Seite. Wie oft habe ich jetzt schon gelesen, das ein User sich über einen einzigen anderen User geärgert hat und gleich die gesamte Administrator.de Seite für schlecht empfunden wird. Siehe auch unserem "Abmelder" hier im Beitrag.
Wie wär's mit einer Gerätebindung?
Ist schwer umzusetzen, wäre aber eine Möglichkeit.
Ich wünsche Euch einen schönen Feiertag
Gruß
Frank
Zitat von @admtech:
@Olfryygt
Weil es immer noch User gibt, die "123456" als Passwort benutzen. Diese recht leicht zu übernehmenden Accounts ärgern dann die anderen User auf unserer Seite.
Haben wir eine Zeit lang gemacht, hat nicht geholfen.
@Olfryygt
Ich habe dazu eine Frage, warum wird man eigentlich dazu gezwungen?
Weil es immer noch User gibt, die "123456" als Passwort benutzen. Diese recht leicht zu übernehmenden Accounts ärgern dann die anderen User auf unserer Seite.
Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?)
Haben wir eine Zeit lang gemacht, hat nicht geholfen.
Zusammenlassen, was zusammen war, ich schrieb: "Warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt, Tipps für sichere Passwörter geben und den User trotzdem selbst entscheiden lassen?"
Gemeint war, ist ja eh sein Bier, wenn er seinen Account verliert. Aber, dass gekaperte Accounts natürlich auch dazu benutzt werden können, andere Benutzer zu nerven, ärgern oder diffamieren, hatte ich nicht bedacht. Eben auch, dass dann wertvolle Wissensbeiträge verschwinden könnten.
Wieder ein paar Sichtweisen dazugewonnen, danke dafür
Und Danke an Lochkartenstanzer für die Erklärung, ich versuche zeitweise auch die xkcd-Erklärungen zu lesen, hilft zwar viel, aber nicht immer :p
@neulinge
Also, ich könnte mich hier nicht beschweren. Wenn man ungenau oder unkonkret fragt, wird man darauf hingewiesen. Vollkommen OK so.
Mir kommt vor, dass immer mehr Leute immer, äh, zarter sind. Man muss ja schon immer mehr aufpassen, bloß niemandem auf den Schlips treten.
Moin,
passend zu diesem Thema ist gerade wieder ein Verkauf von linkedin-Paßwörtern aktuell.
Das wirft natürlich die fage auf, wie hier die Paßwörter/hashes abgelegt werden. Ein zwei Worte darüber wären nett, sofern du magst.
lks
passend zu diesem Thema ist gerade wieder ein Verkauf von linkedin-Paßwörtern aktuell.
Das wirft natürlich die fage auf, wie hier die Paßwörter/hashes abgelegt werden. Ein zwei Worte darüber wären nett, sofern du magst.
lks
Hallo allerseits
Fände ich voll in Ordnung... oder allenfalls gar nicht ein Nutzername bzw. E-Mail sondern eine zusätzliche 4 stellige Zeichenfolge die man wählen kann?
Also so alla= Benutzername: KMUlife Passwort: XXXXXXXXX Zeichenfolge: XXXX
Problematik hierbei... Nutzer mit Zeichenfolge ASDF würden wahrscheinlich überwiegen :P
Würde das nicht die meisten "Standart-Scripts" schon aushebeln?
Zusätzlich noch n Code aufs Handy oder so fände ich aber übertrieben....
Grüsse
KMUlife
Zitat von @admtech:
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen.
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen.
Fände ich voll in Ordnung... oder allenfalls gar nicht ein Nutzername bzw. E-Mail sondern eine zusätzliche 4 stellige Zeichenfolge die man wählen kann?
Also so alla= Benutzername: KMUlife Passwort: XXXXXXXXX Zeichenfolge: XXXX
Problematik hierbei... Nutzer mit Zeichenfolge ASDF würden wahrscheinlich überwiegen :P
Würde das nicht die meisten "Standart-Scripts" schon aushebeln?
Zusätzlich noch n Code aufs Handy oder so fände ich aber übertrieben....
Grüsse
KMUlife
Wie sich gerade wieder bei linkedin zeigt, verwenden die Leute wirklich kaum Gehirnschmalz, für Paßwörter. Aber bei linkedin war das unerheblich, weil die einfach kein Salz genommen haben.Ich hoffe, hier ist das anders.
lks
lks
Hi lks,
ja, bei uns ist es anders und wir benutzen natürlich auch Salz und Pfeffer. Genau möchte ich das hier jetzt nicht aufschlüsseln, aber wir machen es bedeutend sicherer als LinkedIn.
Gruß
Frank
ja, bei uns ist es anders und wir benutzen natürlich auch Salz und Pfeffer. Genau möchte ich das hier jetzt nicht aufschlüsseln, aber wir machen es bedeutend sicherer als LinkedIn.
Gruß
Frank
Das merkt man, ich habe gerade ein 20 Zeichen Passwort erfinden müssen nur um mich darüber aufzuregen, ein 20 Zeichen Passwort zu haben. Im ernst sobald das aktuelle Jahr als Zahl angegeben wird *buuuz* nein, eine Ausrufezeichen als Sonderzeichen *buuuz* vergisses. Ja das werd ich dann wohl auch machen. Nichts gegen Sicherheit um jeden Preis, aber ich denke wer kein gutes Passwort wählt ist selber schuld wenn was passiert dafür müssen nicht andere Leiden, bald kann ich noch mein Lieblingsgedicht in voller Länge als Passwort nehmen und komm selbst dann nicht durch ^^ nee das geht mir echt zu weit
Mal schauen wie viele Tage es dauert bis ich das vergessen habe aber ich sag schonmal *winkewinke*
Mal schauen wie viele Tage es dauert bis ich das vergessen habe aber ich sag schonmal *winkewinke*
