Entwicklertagebuch: Passwortsicherheit

admtech
Goto Top
Hallo Administrator User,

mit dem heutigen Release erhöhen wir die Passwortsicherheit auf unserer Seite. Dazu haben wir die Einstellungen 'Passwort und Loginverhalten' aktualisiert. Wenn man nun ein Passwort ändern möchte, muss man neben dem alten Passwort auch die Qualität seines Passworts berücksichtigen. Das neue Passwort muss aus mindestens 6 Zeichen, Buchstaben, Zahlen und mindestens einem Sonderzeichen bestehen. Auch die Groß- und Kleinschreibung wird berücksichtigt.

Wir haben dafür einen neuen Indikator, der die Qualität des Passworts live bewertet, hinzugefügt. Es werden ab sofort nur noch Passwörter mit der Stärke: 'Normal' (grauer Balken) und höher zugelassen (es gibt insgesamt 5 Stufen).

auswahl_056

User, die sich mit einem Passwort, dass unter der Passwort-Stärke 'Normal' liegt, anmelden, werden nach dem Login aufgefordert, ihr Passwort neu zu setzten. Ohne ein sicheres Passwort können sie sich im angemeldeten Zustand nicht mehr auf der Seite bewegen.

Ich weiß, dass das für einige User ärgerlich oder aufwändig ist, aber in der heutigen Zeit ist es für die Sicherheit aller User hier auf der Seite wichtig, dass keine einfachen Passwörter mehr verwendet werden.

Ich hoffe auf Euer Verständnis und freue mich auf Feedback.

Schönen Gruß
Frank

Content-Key: 304331

Url: https://administrator.de/contentid/304331

Ausgedruckt am: 08.08.2022 um 04:08 Uhr

Mitglied: 127132
127132 12.05.2016 aktualisiert um 15:02:24 Uhr
Goto Top
Ich hab ehrlich gesagt den Indikator anfangs nicht beachtet und hab mich gewundert, wieso das neue Passwort nicht genommen wurde, obwohl alle Anforderungen eigentlich erfüllt waren. Großbuchstabe, Kleinbuchstabe, Sonderzeichen, Zahl.
Ich hab auch nirgends gelesen, dass der Indikator mindestens "normal" anzeigen muss. Entweder ich hab das übersehen, oder aber man sollte das dann noch hinzufügen.

Interessant ist auch, dass das Passwort PasswortIst###e19 den Anforderungen des Indikators gerecht wird, das Passwort PasswortIst###e1950 hingegen nicht.
Klar, Jahreszahl. Aber trotzdem. Rein bruteforcemäßig sollten mehr Stellen länger dauern. Oder irre ich mich da?
Mitglied: Olfryygt
Olfryygt 12.05.2016 um 15:26:03 Uhr
Goto Top
Ich habe dazu eine Frage, warum wird man eigentlich dazu gezwungen?
Es ist ja effektiv immernoch der Benutzer selbst dafür verantwortlich.
Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?), Tipps für sichere Passwörter geben und den User trotzdem selbst entscheiden lassen?

Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)
Mitglied: Pjordorf
Pjordorf 12.05.2016 aktualisiert um 16:38:15 Uhr
Goto Top
Hallo,

Zitat von @admtech:
mit dem heutigen Release erhöhen wir die Passwortsicherheit auf unserer Seite

Und du meinst es hält dann alle ab die hier immer versuchen Konten anzulegen?

passwort

Gruß,
Peter
Mitglied: admtech
admtech 12.05.2016 aktualisiert um 16:37:26 Uhr
Goto Top
@127132,

Klar, Jahreszahl. Aber trotzdem. Rein bruteforcemäßig sollten mehr Stellen länger dauern. Oder irre ich mich da?

nein, Jahreszahlen wie auch einfache Wörter (egal wie lang) werden meist am Anfang einer Bruteforce geprüft. Die Länge eines Passworts ist nur dann von Bedeutung, wenn sie zufällig entsteht (z.B. per Hashfunktion).

Ich hab auch nirgends gelesen, dass der Indikator mindestens "normal" anzeigen muss.

Stimmt, beim reinen Passwort ändern, habe ich es nicht dazu geschrieben. Spätestens beim "Speichern" weißt er aber darauf hin. Evtl sollte ich es da noch hinzufügen.

@Olfryygt

Ich habe dazu eine Frage, warum wird man eigentlich dazu gezwungen?

Weil es immer noch User gibt, die "123456" als Passwort benutzen. Diese recht leicht zu übernehmenden Accounts ärgern dann die anderen User auf unserer Seite.

Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?)

Haben wir eine Zeit lang gemacht, hat nicht geholfen.

Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen?

Weil es nicht nur auf die Länge eines Passworts ankommt, sondern auf die Zufälligkeit der einzelnen Zeichen. Die besten Passwörter wären Hashs, die kann man sich aber nur schwer merken face-smile


Gute Passwörter tragen zur Sicherheit der Seite und der Accounts bei. Das sollte im Interesse aller User liegen. Der nächste Schritt ist eine Zwei-Faktor Authentifizierung. Diese wird es in Zukunft sicher auch noch optional geben.

Gruß
Frank
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.05.2016 um 18:11:23 Uhr
Goto Top
Zitat von @Olfryygt:

Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)


In dem xkcd-Comic steht es doch drin. Es ist die Entropie (=Informationsgehalt in Bit), die darüber entscheidet, ob das lange oder das kurze Paßwort sicherer ist. Leider wird hierzulande in den Schulen zu wenig Wert auf das vermitteln des Wissens, was Entropie ist gelegt.

In die Entropie geht wesenlich auch die Wahrscheinlichkeit mit ein, mit der ein zeichen oder gar eine Zeichenkombination erraten werden kann ein. Daher ist die Sicherheit eines Paßwortes auch wesetlich davon abhängig, welche Methoden zum "Erraten" gerade aktuell sind. Und Wörterbuchattacken können die Entropie eines langen Paßwortes ganz schnell schrumpfen lassen.

lks
Mitglied: C.R.S.
C.R.S. 12.05.2016 um 22:49:54 Uhr
Goto Top
Hi Frank,

das ist viel Admin-Thinking. Etwas Evil-Thinking:

Die Ausgangslage für Angriffe auf die Passwortsicherheit (gerade bei Foren) ist ganz überwiegend, dass der Angreifer kein Wissen über Passwortbildungsregeln zu dem jeweiligen Nutzernamen hat. Wenn doch, weil er ein ganz bestimmtes Konto kapern will, ist ohnehin die nötige Entropie äußerst hoch, und dem Nutzer mit einer praktikablen Passwortrichtlinie kaum zu helfen. Im Sinne einer effizienten Maßnahme sollte man daher m.E. die Passwortlänge überproportional gewichten.

Dann gäbe eine noch sehr simple Maßnahme, die in Relation zum Aufwand wesentlich mehr nützen würde: Authentifizierung mit E-Mail-Adresse statt Nutzername.
Dienste, deren Nutzernamen bekannt sind, leiden immer unter wahllos gehackten Konten. Denn die Nutzer, die "123456" als Passwort verwenden, verwenden generell das einfachste denkbare Passwort. Wie das aussieht, verrät die Passwortrichtlinie. Aus "123456" ist jetzt "Abc123." geworden. Zwanzig bis vierzig einfache Passwörter gegen rund 100k Nutzer getestet ergeben erfahrungsgemäß wahrscheinlich ein gutes Kosten-Nutzen-Verhältnis.

Grüße
Richard
Mitglied: admtech
admtech 13.05.2016 um 00:34:25 Uhr
Goto Top
Hallo Richard,

Authentifizierung mit E-Mail-Adresse statt Nutzername.

Mit dem Gedanken habe ich auch schon gespielt und hier stimme ich dir voll und ganz zu.

Gruß
Frank
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.05.2016 um 08:12:27 Uhr
Goto Top
Naja,

Email-adresse mit Paßwort birgt wieder andere Risiken, da die Mailadresse bei vielen unveränderlich ist und damit die vielen geleakten Mail/Paßwortlisten durchprobiert werden - oft erfolgreich, weil die Paßworte selten oder nur wenig variert werden.

Letztendlich ist es aber wie immer die Entscheidung von Dir, Frank.

lks
Mitglied: admtech
admtech 13.05.2016 aktualisiert um 10:35:56 Uhr
Goto Top
Hi,

was mich dann aber zu der Idee bringt: Warum sollte man beim Login nur zwei Felder eingeben? Mit der Zwei-Faktor Authentifizierung muss man auch insgesamt drei Eingaben machen (und in der Regel noch auf ein weiteres Gerät schauen).

Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen. Die Passwort-Manager in den Browsern helfen dabei, die Eingabe weiterhin leicht und schnell zu gestalten, alternativ kann man das "Angemeldet bleiben" Token aktivieren. Was denkt ihr?

Gruß
Frank
Mitglied: keine-ahnung
keine-ahnung 13.05.2016 um 11:01:48 Uhr
Goto Top
Moin Frank,
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort.
bereitet Ihr Euch auf eine Aufgabe als Ersatz-Fort-Knox vor face-smile??

Als nächstes kommen dann noch Sicherheitsabfragen a la "Wie hiess der erste Deutschlehrer Deiner Grosstante mütterlicherseits?" ...

LG, Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.05.2016 um 12:11:59 Uhr
Goto Top
Zitat von @admtech:

Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen. Die Passwort-Manager in den Browsern helfen dabei, die Eingabe weiterhin leicht und schnell zu gestalten, alternativ kann man das "Angemeldet bleiben" Token aktivieren. Was denkt ihr?

Die Frage ist doch: brauchen wir das alles bei Administrator.de überhaupt? Zumindest ich habe bisher nciht allzuviel SPAM oder übernommene Accounts im Forum bemerkt, wenn auch das ein oder ander Mal die Ausnahme die Regel bestätigt. Und ist das mit den schachen Paßworten hier wirklich ein Problem? Was sagen Diene Logs, wie oft hier druchprobiert wird?

lks

PS. Bei meinem Account dürften die Kollegen recht schnell merken, wenn er übernommen wird. Dann würden die ganzen typischen Tippfehler plötzlich nicht mehr stimmen.face-smile
Mitglied: admtech
admtech 13.05.2016 aktualisiert um 14:16:55 Uhr
Goto Top
Hi,

bereitet Ihr Euch auf eine Aufgabe als Ersatz-Fort-Knox vor

Wenn wir diesen Status hätten, wäre das echt prima. Warum auch nicht, in Zukunft sollen hier noch verschlüsselte Nachrichten (ohne dass die Schlüssel bei uns gespeichert werden) hinzukommen und dafür würde ich gerne alle Möglichkeiten für eine hohe Sicherheit ausschöpfen. Man kann es niemals sicher genug gestalten.

Als nächstes kommen dann noch Sicherheitsabfragen a la "Wie hiess der erste Deutschlehrer Deiner Grosstante mütterlicherseits?"

Nein, davon halte ich nichts.

Die Frage ist doch: brauchen wir das alles bei Administrator.de überhaupt?

Ein klares: Ja

Das die User bisher kaum etwas vom Spam etc. mitbekommen hat natürlich auch seinen Grund: Im Hintergrund wird sehr viel dagegen getan um das wirkungsvoll zu verhindern. Für ein besseres Verständnis: Es gibt ca. 30-40 Spamanmeldungen, ca. 8.000 Angriffe auf Usernamen und ca. 60.000 Angriffe pro Tag auf die Infrastruktur unserer Server - und das sind die optimistischen Zahlen face-smile

Außerdem möchte ich in Zukunft mit Administrator.eu auch noch eine englische Version unserer Seite anbieten. Dafür brauchen wir ein gutes und grundsolides Sicherheitskonzept, gute Passwörter und evtl. auch neue Ideen, um die Webseite wirkungsvoll zu schützen. Die Zwei-Faktor Authentifizierung ist sicher eine Möglichkeit, sie ist aber auch sehr umständlich.

Was haltet ihr denn von der Idee, den Nutzername, die E-Mail und das Passwort beim Login einzugeben. Zu aufwendig oder für die gegebene Sicherheit vertretbar?

Gruß
Frank
Mitglied: C.R.S.
C.R.S. 14.05.2016 um 00:01:41 Uhr
Goto Top
Zitat von @admtech:

Was haltet ihr denn von der Idee, den Nutzername, die E-Mail und das Passwort beim Login einzugeben. Zu aufwendig oder für die gegebene Sicherheit vertretbar?

Würde mich nicht stören. Grundsätzlich eine positive Entwicklung, sich durch Sicherheitsmerkmale abzuheben. Das ist auch bei Fach-Foren sonst eher mau.

Grüße
Richard
Mitglied: 129148
129148 14.05.2016 aktualisiert um 09:30:40 Uhr
Goto Top
Finde ich ein bisschen übertrieben das ganze. Das sind ja immer noch Forenaccounts und keine Online-Banking Konten. Für wen würde es sich lohnen da großartig Accounts zu hacken wenn er darin sowieso nichts verwertbares findet was er zu Geld machen kann.
Und wenn ein Account gehackt würde, dann kann sich der Inhaber ja melden und das Password wird wieder geändert, viel Anfangen lässt sich mit so einem Account hier ja sowieso nicht, wenn sich sowieso jeder einen kostenlosen Account erstellen kann, wieso also der Aufwand?

Viel Lärm um nichts, und 2-Faktor Auth nur für einem simplen Forenaccount??, maßlos übertrieben.

Frohe Pfingsten
Mitglied: admtech
admtech 14.05.2016 aktualisiert um 11:00:44 Uhr
Goto Top
Hallo @129148,

Viel Lärm um nichts, und 2-Faktor Auth nur für einem simplen Forenaccount??, maßlos übertrieben.

Das sehe ich natürlich anders. Wir sind neben einem Forum auch ein sehr großes Wissensportal und eine Jobbörse. Manche User haben hier hunderte von Anleitungen in ihrem Account. Wenn ich oder einer dieser User z.B. unsere Wissensbeiträge wegen eines Hacks des Accounts verlieren würden, wäre das mehr als nur ärgerlich. Wir alle würden dabei wichtige Informationen, Tips, Anleitungen oder Erfahrungsberichte verlieren.

Außerdem sind Dienste wie verschlüsselte Nachrichten und persönliche Blogs etc. geplant. Administrator ist damit eine Knowledgebase, eine Platform, wo man neben unwichtigen auch wichtige Informationen austauscht und genau diese Informationen und Inhalte müssen vor Missbrauch geschützt werden.

Du willst ein einfaches Forum? Dann bist du hier falsch.

Gruß
Frank
Mitglied: 129148
129148 14.05.2016 aktualisiert um 13:20:12 Uhr
Goto Top
Wenn ich oder einer dieser User z.B. unsere Wissensbeiträge wegen eines Hacks des Accounts verlieren würden, wäre das mehr als nur ärgerlich. Wir alle würden dabei wichtige Informationen, Tips, Anleitungen oder Erfahrungsberichte verlieren.

Wofür gibt's Backups face-wink
Wenn mir diese Anleitungen wichtig wären würde ich natürlich Sicherungen davon anfertigen. Wenn das ein User nicht tut ist er ....
Und ich hoffe ihr tut das in eurem eigenen Interesse natürlich auch face-smile

Ich suche kein "einfaches" Forum, ich denke nur die Verhältnismässigkeit sollte stimmen.
Mitglied: kontext
kontext 14.05.2016 aktualisiert um 14:07:02 Uhr
Goto Top
Hallo @Frank,

eine Art zwei Faktor Authentifizierung würde ich sehr begrüßen. Bei Paypal, den Email Konten, etc. Setzt man ja das auch ein. Und außerdem bin ich ein großer Fan von zwei Faktor Authentifizierung. face-smile Und wenn du darüber nachdenkst und es für dich kein rießen Aufwand ist, würde ich mich über das Feature freuen und natürlich bedanken. face-wink

Aber nicht dass die anderen "wichtigen" Punkte auf der ToDo Liste darunter leiden. Gibt ja das eine oder andere auf die wir schon lange warten. face-wink

Zitat von @129148:
Ich suche kein "einfaches" Forum, ich denke nur die Verhältnismässigkeit sollte stimmen.
Naja - wir alten Hasen haben schon eine lange Reise hinteruns. Administrator.de gibt es ja nicht erst seit 2015 ... Ich bin jetzt über 10 Jahre dabei ...

Ich will dir nicht zu nahe treten, aber du bist knapp 10 Tage hier aktiv und willst von Verhältnismäßigkeit reden - sorry das passt nicht ganz. face-smile

Gruß
@kontext
Mitglied: Dani
Dani 14.05.2016 aktualisiert um 14:20:13 Uhr
Goto Top
Moin Frank,
ich seh das ähnlich wie Kollege @keine-ahnung und @lochkartenstanzer. Wobei natürlich Accounts von Moderatoren, Editoren und Webmaster ein größeres Ziel darstellen als ein Standardaccount.

Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort
Ich halte sowohl von der Zusatzangabe der E-Mailadresse noch von 2FA recht wenig. Letztes könnte ich mir jedoch optional vorstellen. Grundsätzlich würde ich die genannten Features auf der ToDo-Liste eher im Mittelfeld sehen. Meine Meinung dazu kennst du bereits.

Administrator ist damit eine Knowledgebase, eine Platform, wo man neben unwichtigen auch wichtige Informationen austauscht und genau diese Informationen und Inhalte müssen vor Missbrauch geschützt werden.
Für wichtige Informationen nutze ich kein Forum bzw. private Nachricht. Dafür gibt es andere Wege...


Gruß,
Dani

P.S. Fehlt nur noch dass ich alle 90 Tage mein Passwort ändern muss... face-wink
Mitglied: wiesi200
wiesi200 14.05.2016 um 14:18:19 Uhr
Goto Top
Hallo,

ich würde jetzt auch grundsätzlich mal sagen 2-Faktor Auth ist schon etwas übervorsichtig.

Aber gut wird sind hier in einem Fachforum das auch den Punkt IT Sicherheit abdeckt und das man da schon mal mit Guten Beispiel vorangehen sollte kann ich's verstehen.
Und du das Funktionell auch noch so ausbauen willst, dann hast du auch gründe dafür.

Ich sag mal man wird sich daran gewöhnen.

Bin mal gespannt was hier die nächsten Jahre bringen und hoffte das die Funktionen die du Umsetzten willst dann auch gut angenommen werden.

Mal rein aus Neugier, weil du schon ein paar mal von einer englischen Version gesprochen hast.
Wird das ne kpl. Abspaltung oder einfach nur eine Übersetzung der Oberfläche und alles landet in einem Pool.
Mitglied: 129148
129148 14.05.2016 aktualisiert um 14:29:12 Uhr
Goto Top
Zitat von @kontext:
Naja - wir alten Hasen haben schon eine lange Reise hinteruns. Administrator.de gibt es ja nicht erst seit 2015 ... Ich bin jetzt über 10 Jahre dabei ...
Und was soll mir das jetzt sagen?
Ich will dir nicht zu nahe treten, aber du bist knapp 10 Tage hier aktiv und willst von Verhältnismäßigkeit reden - sorry das passt nicht ganz. face-smile
Du meinst also nur wenn man hier 10 Jahre dabei ist darf man seine Meinung vertreten? Was ist das denn für ein Kindergarten.

Aber so scheinen hier alle langjährigen Mitglieder Neulinge von Oben herab zu behandeln. Durfte ich schon ausgiebig in den Threads hier feststellen. Hier kommen so viele Threads vom Thema mit nutzlosen Kommentaren ab und wenn man dann selber etwas zur Lösung effektiv beiträgt, kommt so ein "langjähriger" daher und beleidigt oder schreibt provozierende Kommentare.

Das ist definitiv einem Admin-Forum nicht würdig, sorry aber so ist der erste Eindruck wenn man hier als "Neuling" (der schon etliche Jahre Admin-Berufserfahrung hinter sich hat) produktiv helfen will.

Vielleicht solltet ihr eher daran mal was tun.

Trotzdem schöne Pfingsten
icybox
Mitglied: kontext
kontext 14.05.2016 aktualisiert um 14:40:01 Uhr
Goto Top
Ganz ruhig, kleiner oder großer.
Mann oder Frau. face-smile

Hab ich dich provoziert? Ich wüsste nicht wo, aber falls doch entschuldige ich mich. Hab ich gesagt du darfst keine eigene Meinung haben - glaube ich kaum. Und von oben behandle ich generell niemanden. Jeder hat mal Klein angefangen (wie auch ich) und mit der Zeit bekommt man auch eine gewisse "dicke" Haut und legt nicht jedes Wort auf die Waagschale. face-smile

Ich habe mich doch an der Diskussion beteiligt und gesagt, dass ich eine zwei Faktor Authentifizierung begrüßen würde. Wie diese geschieht ist @Frank überlassen. face-smile

Aber hey - ich werde mich mal auf die stille Treppe setzten und über deine Worte nachdenken. Wie du schon sagst - ist ja alles ein Kindergarten hier, vielleicht ist meine Zeit hier auch vorüber - wie heißt es so schön - früher war alles besser ...

PS: ich habe keine Sicherungen von meinen Tips / Erfahrungswerten oder Links. Würde mich interessieren was ich in deinen Augen bin - bezogen auf dein ...
Aber bitter per PM - denn das ist OT.

Just my 2 cents
@kontext
Mitglied: 129148
129148 14.05.2016 aktualisiert um 14:44:32 Uhr
Goto Top
Ich meinte damit eher einen anderen Thread, das war nicht direkt auf dich bezogen, sorry wenn das so rüber gekommen ist.

Aber machen wir kein Faß auf und belassen es einfach dabei, war halt nur mein erster Eindruck hier im Forum.

Und Feedback ist ja eigentlich ab und zu ganz nützlich face-smile. In der passenden Kategorie sind wir hier ja schon.

Als denn, schönes Wochende.
Mitglied: wiesi200
wiesi200 14.05.2016 um 14:46:04 Uhr
Goto Top
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort
Ich halte sowohl von der Zusatzangabe der E-Mailadresse noch von 2FA recht wenig. Letztes könnte ich mir jedoch optional vorstellen. Grundsätzlich würde ich die genannten Features auf der ToDo-Liste eher im Mittelfeld sehen. Meine Meinung dazu kennst du bereits.

Wie währ's mit einer Gerätebindung?
Sprich man bekommt ne E-Mail wenn man sich von "unbekannten" Geräten anmeldet. Ähnlich wie bei Onedrive oder google.
Für Admin Account's und wenn man Franks kommende Dienste nutzen will verpflichtend aktiv. Für den Rest Optional?
Mitglied: admtech
admtech 15.05.2016 aktualisiert um 12:30:39 Uhr
Goto Top
Hi,

hmm, jetzt hat er sich abgemeldet. Die User sind ja kaum noch kritikfähig. Melden sich bei den kleinsten Dinge gleich ab.

Hier ein paar Antworten zu Euren Fragen:

Wofür gibt's Backups

Natürlich haben wir Backups. Nur muss man es auch mitbekommen, wenn ein Missbrauch erfolgt und das ist keine leichte Aufgabe und passiert selten in Echtzeit.

Wie auch immer, ich halte an den hohen Sicherheit-Standards unserer Seite fest, immerhin sind wir Administrator.de und müssen mit guten Beispiel vorangehen.

Aber nicht dass die anderen "wichtigen" Punkte auf der ToDo Liste darunter leiden.

Nein, ich arbeite erst mal unsere Roadmap, wie angekündigt, ab.

Für wichtige Informationen nutze ich kein Forum bzw. private Nachricht. Dafür gibt es andere Wege...

Wenn ich die Verschlüsselung für interne Nachrichten fertig haben, kann sich das schnell ändern. Ich nutze schon jetzt die Seite zum Austausch von wichtigen Informationen mit anderen Kollegen oder Freunden. Daher ist es mein Ziel, Informationen absolut sicher von A nach B zu senden, ohne das jemals eine Dritte Partei das mitlesen kann. Mail oder Messenger sind mir immer noch zu unsicher.

Fehlt nur noch dass ich alle 90 Tage mein Passwort ändern muss..

Nein, davon halte ich auch nichts face-smile

Mal rein aus Neugier, weil du schon ein paar mal von einer englischen Version gesprochen hast. Wird das ne kpl. Abspaltung oder einfach nur eine Übersetzung der Oberfläche und alles landet in einem Pool.

Man kann die Sprache der Oberfläche über die Endung auswählen und die Sprache der Inhalte über die Einstellungen. Auf der internationalen Seite wird englisch und deutsch der Standard sein. Auf der deutschen Seite nur deutsch. Man kann aber über die Einstellungen auch in nur englisch oder in nur deutsch oder halt beides ändern. Jeder wie er möchte. Später, wenn es genug englische Inhalte gibt, werde ich den Standard der internationalen Seite evtl. wieder auf reines englisch setzten. Intern merke ich mir für jeden Beitrag oder Kommentar die Sprache.

Ein Abspaltung gibt es aber nicht, ich möchte die Sprachen und Inhalte miteinander verzahnen. Wer aber nur englisch oder nur deutsch will, kann das machen.

Hier kommen so viele Threads vom Thema mit nutzlosen Kommentaren ab und wenn man dann selber etwas zur Lösung effektiv beiträgt, kommt so ein "langjähriger" daher und beleidigt oder schreibt provozierende Kommentare.

Dafür gibt es die Melde-Funktion. Wer sie nicht benutzt und sich lieber beleidigt abmeldet, ist selbst Schuld. Nur wenn die User Kommentare auch melden, können wir reagieren. Was glauben denn die meisten neuen User von mir, dass ich alles mitlese, was reinkommt?

Auch ist es es absolut falsch, wird man von einem User beleidigt, gleich die Schuld auf die Seite zu schieben. Wir habe über 90.000 registrierte User, da spricht das Handeln eines oder auch mehrerer User nicht gleich für die ganze Seite. Wie oft habe ich jetzt schon gelesen, das ein User sich über einen einzigen anderen User geärgert hat und gleich die gesamte Administrator.de Seite für schlecht empfunden wird. Siehe auch unserem "Abmelder" hier im Beitrag.

Wie wär's mit einer Gerätebindung?

Ist schwer umzusetzen, wäre aber eine Möglichkeit.

Ich wünsche Euch einen schönen Feiertag face-smile

Gruß
Frank
Mitglied: Olfryygt
Olfryygt 17.05.2016 aktualisiert um 11:07:24 Uhr
Goto Top
Zitat von @admtech:
@Olfryygt

Ich habe dazu eine Frage, warum wird man eigentlich dazu gezwungen?

Weil es immer noch User gibt, die "123456" als Passwort benutzen. Diese recht leicht zu übernehmenden Accounts ärgern dann die anderen User auf unserer Seite.

Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?)

Haben wir eine Zeit lang gemacht, hat nicht geholfen.

Zusammenlassen, was zusammen war, ich schrieb: "Warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt, Tipps für sichere Passwörter geben und den User trotzdem selbst entscheiden lassen?"

Gemeint war, ist ja eh sein Bier, wenn er seinen Account verliert. Aber, dass gekaperte Accounts natürlich auch dazu benutzt werden können, andere Benutzer zu nerven, ärgern oder diffamieren, hatte ich nicht bedacht. Eben auch, dass dann wertvolle Wissensbeiträge verschwinden könnten.

Wieder ein paar Sichtweisen dazugewonnen, danke dafür face-smile

Und Danke an Lochkartenstanzer für die Erklärung, ich versuche zeitweise auch die xkcd-Erklärungen zu lesen, hilft zwar viel, aber nicht immer :p

@neulinge
Also, ich könnte mich hier nicht beschweren. Wenn man ungenau oder unkonkret fragt, wird man darauf hingewiesen. Vollkommen OK so.
Mir kommt vor, dass immer mehr Leute immer, äh, zarter sind. Man muss ja schon immer mehr aufpassen, bloß niemandem auf den Schlips treten.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.05.2016 um 15:27:10 Uhr
Goto Top
Moin,

passend zu diesem Thema ist gerade wieder ein Verkauf von linkedin-Paßwörtern aktuell.

Das wirft natürlich die fage auf, wie hier die Paßwörter/hashes abgelegt werden. Ein zwei Worte darüber wären nett, sofern du magst.

lks
Mitglied: KMUlife
KMUlife 20.05.2016 um 10:18:02 Uhr
Goto Top
Hallo allerseits

Zitat von @admtech:

Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen.

Fände ich voll in Ordnung... oder allenfalls gar nicht ein Nutzername bzw. E-Mail sondern eine zusätzliche 4 stellige Zeichenfolge die man wählen kann?

Also so alla= Benutzername: KMUlife Passwort: XXXXXXXXX Zeichenfolge: XXXX
Problematik hierbei... Nutzer mit Zeichenfolge ASDF würden wahrscheinlich überwiegen :P

Würde das nicht die meisten "Standart-Scripts" schon aushebeln?

Zusätzlich noch n Code aufs Handy oder so fände ich aber übertrieben....

Grüsse
KMUlife
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.05.2016 aktualisiert um 10:07:14 Uhr
Goto Top
Wie sich gerade wieder bei linkedin zeigt, verwenden die Leute wirklich kaum Gehirnschmalz, für Paßwörter. Aber bei linkedin war das unerheblich, weil die einfach kein Salz genommen haben.Ich hoffe, hier ist das anders.

lks
Mitglied: admtech
admtech 24.05.2016 um 01:41:56 Uhr
Goto Top
Hi lks,

ja, bei uns ist es anders und wir benutzen natürlich auch Salz und Pfeffer. Genau möchte ich das hier jetzt nicht aufschlüsseln, aber wir machen es bedeutend sicherer als LinkedIn.

Gruß
Frank
Mitglied: 94330
94330 21.11.2016 um 11:35:11 Uhr
Goto Top
Das merkt man, ich habe gerade ein 20 Zeichen Passwort erfinden müssen nur um mich darüber aufzuregen, ein 20 Zeichen Passwort zu haben. Im ernst sobald das aktuelle Jahr als Zahl angegeben wird *buuuz* nein, eine Ausrufezeichen als Sonderzeichen *buuuz* vergisses. Ja das werd ich dann wohl auch machen. Nichts gegen Sicherheit um jeden Preis, aber ich denke wer kein gutes Passwort wählt ist selber schuld wenn was passiert dafür müssen nicht andere Leiden, bald kann ich noch mein Lieblingsgedicht in voller Länge als Passwort nehmen und komm selbst dann nicht durch ^^ nee das geht mir echt zu weit


Mal schauen wie viele Tage es dauert bis ich das vergessen habe aber ich sag schonmal *winkewinke*