70866
19.05.2016, aktualisiert am 24.05.2016
1997
12
0
Passwortirrsin auf Administrator.de
wenn ihr das mit der neuen Paßwortregel nicht schleunigst wieder abschafft, dann verpiß ich mich hier und such mir ne andere Platform. Gibt genug davon, und ich sprech Englisch.
Alle verfallen jetzt der Meinung mann kann Leute beliebig viel damit ärgern, indem sie neue Paßwortregeln festlegen.... daß diese Aufforderung überhaupt aufgekommen ist, legt den Schluß nahe daß mein altes Kennwort im Klartext irgendwo rumgelegen hat und das ist ebenfalls unsicher...
Alle verfallen jetzt der Meinung mann kann Leute beliebig viel damit ärgern, indem sie neue Paßwortregeln festlegen.... daß diese Aufforderung überhaupt aufgekommen ist, legt den Schluß nahe daß mein altes Kennwort im Klartext irgendwo rumgelegen hat und das ist ebenfalls unsicher...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304903
Url: https://administrator.de/forum/passwortirrsin-auf-administrator-de-304903.html
Ausgedruckt am: 02.04.2025 um 03:04 Uhr
12 Kommentare
Neuester Kommentar
Lass es mich so sagen:
Schön, dass du da warst...
Beste Grüße!
Schön, dass du da warst...
Beste Grüße!
2
100% agree
2
Zitat von @70866:
dann verpiß ich mich hier und such mir ne andere Platform.
... und ward' nimmer mehr gesehen, der Schattenmeister der mit seinem Kamel "Detlef" in die mongolische Steppe verschwand ...dann verpiß ich mich hier und such mir ne andere Platform.
und ich sprech Englisch.
Na Gott sei Dank, hoffentlich drückst du dich damit nicht auch so "göttlich" aus wie in Deutsch.Leute gibt's, unfassbar.
Nimm ne Valium und leg dich ins Bett ...
Hi,
Nein, dein Passwort liegt nicht unverschlüsselt bei uns, wir prüfen bei der Eingabe des Passworts die Stärke bzw. die Qualität deines Passworts. Wenn du eine Aufforderung für ein neues Passwort bekommst, ist dein bisheriges Passwort viel zu einfach und sollte daher dringend neu gesetzt werden. Das fördert deine und unsere Sicherheit und ist weder Willkür noch Irrsin. Außerdem ist das einmalig und ärgern wollen wir damit bestimmt nur die Hacker.
Gruß Frank
Nein, dein Passwort liegt nicht unverschlüsselt bei uns, wir prüfen bei der Eingabe des Passworts die Stärke bzw. die Qualität deines Passworts. Wenn du eine Aufforderung für ein neues Passwort bekommst, ist dein bisheriges Passwort viel zu einfach und sollte daher dringend neu gesetzt werden. Das fördert deine und unsere Sicherheit und ist weder Willkür noch Irrsin. Außerdem ist das einmalig und ärgern wollen wir damit bestimmt nur die Hacker.
Gruß Frank
2
Moin,
wie gesagt, die Änderung des Passwortes musst Du nur einmal durchführen und außerdem gibt es auch Passwortmanager mit der Funktion Autologin.
Zum Beispiel Homepage Keepass
Also entspann dich.
Gruss Penny.
wie gesagt, die Änderung des Passwortes musst Du nur einmal durchführen und außerdem gibt es auch Passwortmanager mit der Funktion Autologin.
Zum Beispiel Homepage Keepass
Also entspann dich.
Gruss Penny.
Zitat von @70866:
wenn ihr das mit der neuen Paßwortregel nicht schleunigst wieder abschafft, dann verpiß ich mich hier und such mir ne andere Platform. Gibt genug davon, und ich sprech Englisch.
Tschüss.wenn ihr das mit der neuen Paßwortregel nicht schleunigst wieder abschafft, dann verpiß ich mich hier und such mir ne andere Platform. Gibt genug davon, und ich sprech Englisch.
1
Zitat von @Frank:
Wenn du eine Aufforderung für ein neues Passwort bekommst, ist dein bisheriges Passwort viel zu einfach und sollte daher dringend neu gesetzt werden.
Wenn du eine Aufforderung für ein neues Passwort bekommst, ist dein bisheriges Passwort viel zu einfach und sollte daher dringend neu gesetzt werden.
Offenbar ist die Maßnahme nur vollkommen in Kombination mit einem Themen-Filter für Threads wie: Unverschämtheit, mein Passwort ist viel zu unsicher!
Nothing is foolproof to a sufficiently talented fool...
Grüße
Richard
Ich denke, alles wichtige ist gesagt. Wir wollen hier niemanden ärgern. Es geht hier um Eure Sicherheit der Daten.
Können wir diesen Thread bitte schließen bzw auf "erledigt" setzen?
Gruß Frank
Können wir diesen Thread bitte schließen bzw auf "erledigt" setzen?
Gruß Frank
tja... ausgerechnet da liegt das Problem. Das Kennwort, das ich nun angegeben hätte hätte man mit dem Linkedin-Hack auf einfachste Weise knacken können (von dem ich aber vorher schon Kenntnis hatte und weshalb ich auf ca. 20 Seiten mein Kennwort geändert hab), wohingegen das alte Paßwort auf Administrator.de eher nicht zu erraten war aber hier haben wir den typsichen deutschen Regelmist - es ist zu kurz. 6 Zeichen das geht ja garnicht....
Und eure Prüfung ist so lame gemacht daß sie ein "Password1!" durchgehen läßt. Also ehrlich... da solltet ihr mal ernsthaft dran arbeiten. Irgendein einfacher Entropiecheck auf clientseite, aber keine Dictionaryprüfung serverseitig.
Nur für die N00bs - mein Kennwort hier ist natürlich aktuell nicht Password1! aber ich habs mal ausprobiert und, ja, es wird akzeptiert.
Im Endeffekt wird sowas dann über einen Trojaner ausspioniert oder aus einer geklauten Kennwortdatenbank extrahiert und dann spielt die Komplexität keine Rolle mehr...
p.s. "Password1" ohne Sonderzeichen wird in der Standardregel für komplexe Passwörter in Windows 2012 R2 immer noch akzeptiert, bei Citrix geht das "druch", beim MS SQL Server (bis rauf zu 2016) auch. Ist deshalb auch das Standardpaßwort bei vielen Infrastrukturschulungen.
Und eure Prüfung ist so lame gemacht daß sie ein "Password1!" durchgehen läßt. Also ehrlich... da solltet ihr mal ernsthaft dran arbeiten. Irgendein einfacher Entropiecheck auf clientseite, aber keine Dictionaryprüfung serverseitig.
Nur für die N00bs - mein Kennwort hier ist natürlich aktuell nicht Password1! aber ich habs mal ausprobiert und, ja, es wird akzeptiert.
Im Endeffekt wird sowas dann über einen Trojaner ausspioniert oder aus einer geklauten Kennwortdatenbank extrahiert und dann spielt die Komplexität keine Rolle mehr...
p.s. "Password1" ohne Sonderzeichen wird in der Standardregel für komplexe Passwörter in Windows 2012 R2 immer noch akzeptiert, bei Citrix geht das "druch", beim MS SQL Server (bis rauf zu 2016) auch. Ist deshalb auch das Standardpaßwort bei vielen Infrastrukturschulungen.
Ich frag mich grad ernsthaft, was für eine Passwortregel hier gemeint wird. Offenbar hat nur der TE Probleme damit?
mein Gott.
Jedem das seine.
Wer ein PW auf mehreren Plattformen benutzt --> selber Schuld.
Wer ein PW aus einem Wort zusammensetzt mit Zahl und Sonderzeichen --> selber Schuld.
Auch wenn eine Handvoll Nutzer sich mal einen Keylogger einfangen, dann sind das nur eine Handvoll Nutzer. Die gehen dann in der Promille unter.
Wenn ich sehe wieviele "Nutzer" als Admin unterwegs sind, meist im privaten Umfeld, hab ich auch kein Mitleid.
Im "Enterprise"-Umfeld ist es mir auch schon einmal untergekommen in der alle Nutzer einer Abteilung als Domain Admin eingetütet waren und da hilft dann auch kein PW. ^^
Dein Hinweis das die Komplexität noch nicht hoch genug ist --> *thumb up*.
Das sorgt aber auch nur dafür das sie halt noch komplexer wird als bisher. *gg*
Das wäre ja dann das Gegenteil von dem was du dir wünscht.
Eine Passwort Policy an die ich mich halten muss ist auch komplexer, unter anderen auch das ganze Wörterbücher Gedöhns.
Dazu kommt dann noch hinzu das wir die Passwörter alle 4 Wochen ändern müssen und die Historie und der Teile der letzten 10 Passwörter mit einbezogen wird in den Checks.
Das hat am Anfang zwar alle genervt aber der Mensch ist ein Gewohnheitstier und mittlerweile wird es akzeptiert.
Jedem das seine.
Wer ein PW auf mehreren Plattformen benutzt --> selber Schuld.
Wer ein PW aus einem Wort zusammensetzt mit Zahl und Sonderzeichen --> selber Schuld.
Auch wenn eine Handvoll Nutzer sich mal einen Keylogger einfangen, dann sind das nur eine Handvoll Nutzer. Die gehen dann in der Promille unter.
Wenn ich sehe wieviele "Nutzer" als Admin unterwegs sind, meist im privaten Umfeld, hab ich auch kein Mitleid.
Im "Enterprise"-Umfeld ist es mir auch schon einmal untergekommen in der alle Nutzer einer Abteilung als Domain Admin eingetütet waren und da hilft dann auch kein PW. ^^
Dein Hinweis das die Komplexität noch nicht hoch genug ist --> *thumb up*.
Das sorgt aber auch nur dafür das sie halt noch komplexer wird als bisher. *gg*
Das wäre ja dann das Gegenteil von dem was du dir wünscht.
Eine Passwort Policy an die ich mich halten muss ist auch komplexer, unter anderen auch das ganze Wörterbücher Gedöhns.
Dazu kommt dann noch hinzu das wir die Passwörter alle 4 Wochen ändern müssen und die Historie und der Teile der letzten 10 Passwörter mit einbezogen wird in den Checks.
Das hat am Anfang zwar alle genervt aber der Mensch ist ein Gewohnheitstier und mittlerweile wird es akzeptiert.
Hi @70866,
Nein, unser System funktioniert anders und ist nicht mit der simplen LinkedIn Methode zu vergleichen. Die Passwörter bei LinkedIn wurden per SHA1 ohne "salt" gespeichert. Ein eher untypisches Vorgehen.
Warum, ist doch alles drin: Zahlen, Buchstaben, Groß- und Kleinschreibung und ein Sonderzeichen
Für unsere Verschlüsselung ist das völlig ausreichend. So etwas wie bei LinkedIn kann uns damit nicht passieren. Das es jetzt leicht zu erraten ist, also Richtung social Hacking, kann sich ja wohl jeder denken. Wir wollten die User aber nicht noch mit einer Wörterbuch-Prüfung ärgern, die Verantwortung für sein Passwort sollte man schon selbst tragen. Auch wenn wir versuchen, den bestmöglichen Schutz anzubieten, sollte der User auch noch seinen eigenen Verstand einsetzten.
Na prima, dann haben wir auf jeden Fall schon mal bessere Passwörter wie in Windows 2012 R2 oder Citrix
Gruß
Frank
Das Kennwort, das ich nun angegeben hätte hätte man mit dem Linkedin-Hack auf einfachste Weise knacken können ...
... oder aus einer geklauten Kennwortdatenbank extrahiert und dann spielt die Komplexität keine Rolle mehr ...
... oder aus einer geklauten Kennwortdatenbank extrahiert und dann spielt die Komplexität keine Rolle mehr ...
Nein, unser System funktioniert anders und ist nicht mit der simplen LinkedIn Methode zu vergleichen. Die Passwörter bei LinkedIn wurden per SHA1 ohne "salt" gespeichert. Ein eher untypisches Vorgehen.
Und eure Prüfung ist so lame gemacht daß sie ein "Password1!" durchgehen läßt.
Warum, ist doch alles drin: Zahlen, Buchstaben, Groß- und Kleinschreibung und ein Sonderzeichen
Für unsere Verschlüsselung ist das völlig ausreichend. So etwas wie bei LinkedIn kann uns damit nicht passieren. Das es jetzt leicht zu erraten ist, also Richtung social Hacking, kann sich ja wohl jeder denken. Wir wollten die User aber nicht noch mit einer Wörterbuch-Prüfung ärgern, die Verantwortung für sein Passwort sollte man schon selbst tragen. Auch wenn wir versuchen, den bestmöglichen Schutz anzubieten, sollte der User auch noch seinen eigenen Verstand einsetzten."Password1" ohne Sonderzeichen wird in der Standardregel für komplexe Passwörter in Windows 2012 R2 immer noch akzeptiert,
Na prima, dann haben wir auf jeden Fall schon mal bessere Passwörter wie in Windows 2012 R2 oder Citrix
Gruß
Frank
1
