Entwicklertagebuch: Passwortsicherheit
Hallo Administrator User,
mit dem heutigen Release erhöhen wir die Passwortsicherheit auf unserer Seite. Dazu haben wir die Einstellungen 'Passwort und Loginverhalten' aktualisiert. Wenn man nun ein Passwort ändern möchte, muss man neben dem alten Passwort auch die Qualität seines Passworts berücksichtigen. Das neue Passwort muss aus mindestens 6 Zeichen, Buchstaben, Zahlen und mindestens einem Sonderzeichen bestehen. Auch die Groß- und Kleinschreibung wird berücksichtigt.
Wir haben dafür einen neuen Indikator, der die Qualität des Passworts live bewertet, hinzugefügt. Es werden ab sofort nur noch Passwörter mit der Stärke: 'Normal' (grauer Balken) und höher zugelassen (es gibt insgesamt 5 Stufen).
User, die sich mit einem Passwort, dass unter der Passwort-Stärke 'Normal' liegt, anmelden, werden nach dem Login aufgefordert, ihr Passwort neu zu setzten. Ohne ein sicheres Passwort können sie sich im angemeldeten Zustand nicht mehr auf der Seite bewegen.
Ich weiß, dass das für einige User ärgerlich oder aufwändig ist, aber in der heutigen Zeit ist es für die Sicherheit aller User hier auf der Seite wichtig, dass keine einfachen Passwörter mehr verwendet werden.
Ich hoffe auf Euer Verständnis und freue mich auf Feedback.
Schönen Gruß
Frank
mit dem heutigen Release erhöhen wir die Passwortsicherheit auf unserer Seite. Dazu haben wir die Einstellungen 'Passwort und Loginverhalten' aktualisiert. Wenn man nun ein Passwort ändern möchte, muss man neben dem alten Passwort auch die Qualität seines Passworts berücksichtigen. Das neue Passwort muss aus mindestens 6 Zeichen, Buchstaben, Zahlen und mindestens einem Sonderzeichen bestehen. Auch die Groß- und Kleinschreibung wird berücksichtigt.
Wir haben dafür einen neuen Indikator, der die Qualität des Passworts live bewertet, hinzugefügt. Es werden ab sofort nur noch Passwörter mit der Stärke: 'Normal' (grauer Balken) und höher zugelassen (es gibt insgesamt 5 Stufen).
User, die sich mit einem Passwort, dass unter der Passwort-Stärke 'Normal' liegt, anmelden, werden nach dem Login aufgefordert, ihr Passwort neu zu setzten. Ohne ein sicheres Passwort können sie sich im angemeldeten Zustand nicht mehr auf der Seite bewegen.
Ich weiß, dass das für einige User ärgerlich oder aufwändig ist, aber in der heutigen Zeit ist es für die Sicherheit aller User hier auf der Seite wichtig, dass keine einfachen Passwörter mehr verwendet werden.
Ich hoffe auf Euer Verständnis und freue mich auf Feedback.
Schönen Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304331
Url: https://administrator.de/knowledge/entwicklertagebuch-passwortsicherheit-304331.html
Ausgedruckt am: 03.04.2025 um 03:04 Uhr
30 Kommentare
Neuester Kommentar

Ich hab ehrlich gesagt den Indikator anfangs nicht beachtet und hab mich gewundert, wieso das neue Passwort nicht genommen wurde, obwohl alle Anforderungen eigentlich erfüllt waren. Großbuchstabe, Kleinbuchstabe, Sonderzeichen, Zahl.
Ich hab auch nirgends gelesen, dass der Indikator mindestens "normal" anzeigen muss. Entweder ich hab das übersehen, oder aber man sollte das dann noch hinzufügen.
Interessant ist auch, dass das Passwort PasswortIstScheiße19 den Anforderungen des Indikators gerecht wird, das Passwort PasswortIstScheiße1950 hingegen nicht.
Klar, Jahreszahl. Aber trotzdem. Rein bruteforcemäßig sollten mehr Stellen länger dauern. Oder irre ich mich da?
Ich hab auch nirgends gelesen, dass der Indikator mindestens "normal" anzeigen muss. Entweder ich hab das übersehen, oder aber man sollte das dann noch hinzufügen.
Interessant ist auch, dass das Passwort PasswortIstScheiße19 den Anforderungen des Indikators gerecht wird, das Passwort PasswortIstScheiße1950 hingegen nicht.
Klar, Jahreszahl. Aber trotzdem. Rein bruteforcemäßig sollten mehr Stellen länger dauern. Oder irre ich mich da?
Ich habe dazu eine Frage, warum wird man eigentlich dazu gezwungen?
Es ist ja effektiv immernoch der Benutzer selbst dafür verantwortlich.
Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?), Tipps für sichere Passwörter geben und den User trotzdem selbst entscheiden lassen?
Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)
Es ist ja effektiv immernoch der Benutzer selbst dafür verantwortlich.
Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?), Tipps für sichere Passwörter geben und den User trotzdem selbst entscheiden lassen?
Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)
Hallo,
Und du meinst es hält dann alle ab die hier immer versuchen Konten anzulegen?

Gruß,
Peter
Und du meinst es hält dann alle ab die hier immer versuchen Konten anzulegen?

Gruß,
Peter
Zitat von @Olfryygt:
Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)
Und wieso ist ein 30 Zeichen Passwort mit Groß- und Kleinschreibung unsicherer als ein 6 Zeichen mit den genannten Anforderungen? Ich muss immer an das hier denken https://xkcd.com/936/ (und bin mir bewusst, dass der Comic nicht ganz korrekt ist!)
In dem xkcd-Comic steht es doch drin. Es ist die Entropie (=Informationsgehalt in Bit), die darüber entscheidet, ob das lange oder das kurze Paßwort sicherer ist. Leider wird hierzulande in den Schulen zu wenig Wert auf das vermitteln des Wissens, was Entropie ist gelegt.
In die Entropie geht wesenlich auch die Wahrscheinlichkeit mit ein, mit der ein zeichen oder gar eine Zeichenkombination erraten werden kann ein. Daher ist die Sicherheit eines Paßwortes auch wesetlich davon abhängig, welche Methoden zum "Erraten" gerade aktuell sind. Und Wörterbuchattacken können die Entropie eines langen Paßwortes ganz schnell schrumpfen lassen.
lks
Hi Frank,
das ist viel Admin-Thinking. Etwas Evil-Thinking:
Die Ausgangslage für Angriffe auf die Passwortsicherheit (gerade bei Foren) ist ganz überwiegend, dass der Angreifer kein Wissen über Passwortbildungsregeln zu dem jeweiligen Nutzernamen hat. Wenn doch, weil er ein ganz bestimmtes Konto kapern will, ist ohnehin die nötige Entropie äußerst hoch, und dem Nutzer mit einer praktikablen Passwortrichtlinie kaum zu helfen. Im Sinne einer effizienten Maßnahme sollte man daher m.E. die Passwortlänge überproportional gewichten.
Dann gäbe eine noch sehr simple Maßnahme, die in Relation zum Aufwand wesentlich mehr nützen würde: Authentifizierung mit E-Mail-Adresse statt Nutzername.
Dienste, deren Nutzernamen bekannt sind, leiden immer unter wahllos gehackten Konten. Denn die Nutzer, die "123456" als Passwort verwenden, verwenden generell das einfachste denkbare Passwort. Wie das aussieht, verrät die Passwortrichtlinie. Aus "123456" ist jetzt "Abc123." geworden. Zwanzig bis vierzig einfache Passwörter gegen rund 100k Nutzer getestet ergeben erfahrungsgemäß wahrscheinlich ein gutes Kosten-Nutzen-Verhältnis.
Grüße
Richard
das ist viel Admin-Thinking. Etwas Evil-Thinking:
Die Ausgangslage für Angriffe auf die Passwortsicherheit (gerade bei Foren) ist ganz überwiegend, dass der Angreifer kein Wissen über Passwortbildungsregeln zu dem jeweiligen Nutzernamen hat. Wenn doch, weil er ein ganz bestimmtes Konto kapern will, ist ohnehin die nötige Entropie äußerst hoch, und dem Nutzer mit einer praktikablen Passwortrichtlinie kaum zu helfen. Im Sinne einer effizienten Maßnahme sollte man daher m.E. die Passwortlänge überproportional gewichten.
Dann gäbe eine noch sehr simple Maßnahme, die in Relation zum Aufwand wesentlich mehr nützen würde: Authentifizierung mit E-Mail-Adresse statt Nutzername.
Dienste, deren Nutzernamen bekannt sind, leiden immer unter wahllos gehackten Konten. Denn die Nutzer, die "123456" als Passwort verwenden, verwenden generell das einfachste denkbare Passwort. Wie das aussieht, verrät die Passwortrichtlinie. Aus "123456" ist jetzt "Abc123." geworden. Zwanzig bis vierzig einfache Passwörter gegen rund 100k Nutzer getestet ergeben
Grüße
Richard
Naja,
Email-adresse mit Paßwort birgt wieder andere Risiken, da die Mailadresse bei vielen unveränderlich ist und damit die vielen geleakten Mail/Paßwortlisten durchprobiert werden - oft erfolgreich, weil die Paßworte selten oder nur wenig variert werden.
Letztendlich ist es aber wie immer die Entscheidung von Dir, Frank.
lks
Email-adresse mit Paßwort birgt wieder andere Risiken, da die Mailadresse bei vielen unveränderlich ist und damit die vielen geleakten Mail/Paßwortlisten durchprobiert werden - oft erfolgreich, weil die Paßworte selten oder nur wenig variert werden.
Letztendlich ist es aber wie immer die Entscheidung von Dir, Frank.
lks
Zitat von @admtech:
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen. Die Passwort-Manager in den Browsern helfen dabei, die Eingabe weiterhin leicht und schnell zu gestalten, alternativ kann man das "Angemeldet bleiben" Token aktivieren. Was denkt ihr?
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen. Die Passwort-Manager in den Browsern helfen dabei, die Eingabe weiterhin leicht und schnell zu gestalten, alternativ kann man das "Angemeldet bleiben" Token aktivieren. Was denkt ihr?
Die Frage ist doch: brauchen wir das alles bei Administrator.de überhaupt? Zumindest ich habe bisher nciht allzuviel SPAM oder übernommene Accounts im Forum bemerkt, wenn auch das ein oder ander Mal die Ausnahme die Regel bestätigt. Und ist das mit den schachen Paßworten hier wirklich ein Problem? Was sagen Diene Logs, wie oft hier druchprobiert wird?
lks
PS. Bei meinem Account dürften die Kollegen recht schnell merken, wenn er übernommen wird. Dann würden die ganzen typischen Tippfehler plötzlich nicht mehr stimmen.
Zitat von @admtech:
Was haltet ihr denn von der Idee, den Nutzername, die E-Mail und das Passwort beim Login einzugeben. Zu aufwendig oder für die gegebene Sicherheit vertretbar?
Was haltet ihr denn von der Idee, den Nutzername, die E-Mail und das Passwort beim Login einzugeben. Zu aufwendig oder für die gegebene Sicherheit vertretbar?
Würde mich nicht stören. Grundsätzlich eine positive Entwicklung, sich durch Sicherheitsmerkmale abzuheben. Das ist auch bei Fach-Foren sonst eher mau.
Grüße
Richard

Finde ich ein bisschen übertrieben das ganze. Das sind ja immer noch Forenaccounts und keine Online-Banking Konten. Für wen würde es sich lohnen da großartig Accounts zu hacken wenn er darin sowieso nichts verwertbares findet was er zu Geld machen kann.
Und wenn ein Account gehackt würde, dann kann sich der Inhaber ja melden und das Password wird wieder geändert, viel Anfangen lässt sich mit so einem Account hier ja sowieso nicht, wenn sich sowieso jeder einen kostenlosen Account erstellen kann, wieso also der Aufwand?
Viel Lärm um nichts, und 2-Faktor Auth nur für einem simplen Forenaccount??, maßlos übertrieben.
Frohe Pfingsten
Und wenn ein Account gehackt würde, dann kann sich der Inhaber ja melden und das Password wird wieder geändert, viel Anfangen lässt sich mit so einem Account hier ja sowieso nicht, wenn sich sowieso jeder einen kostenlosen Account erstellen kann, wieso also der Aufwand?
Viel Lärm um nichts, und 2-Faktor Auth nur für einem simplen Forenaccount??, maßlos übertrieben.
Frohe Pfingsten

Wenn ich oder einer dieser User z.B. unsere Wissensbeiträge wegen eines Hacks des Accounts verlieren würden, wäre das mehr als nur ärgerlich. Wir alle würden dabei wichtige Informationen, Tips, Anleitungen oder Erfahrungsberichte verlieren.
Wofür gibt's Backups
Wenn mir diese Anleitungen wichtig wären würde ich natürlich Sicherungen davon anfertigen. Wenn das ein User nicht tut ist er ....
Und ich hoffe ihr tut das in eurem eigenen Interesse natürlich auch
Ich suche kein "einfaches" Forum, ich denke nur die Verhältnismässigkeit sollte stimmen.
Hallo @Frank,
eine Art zwei Faktor Authentifizierung würde ich sehr begrüßen. Bei Paypal, den Email Konten, etc. Setzt man ja das auch ein. Und außerdem bin ich ein großer Fan von zwei Faktor Authentifizierung.
Und wenn du darüber nachdenkst und es für dich kein rießen Aufwand ist, würde ich mich über das Feature freuen und natürlich bedanken. 
Aber nicht dass die anderen "wichtigen" Punkte auf der ToDo Liste darunter leiden. Gibt ja das eine oder andere auf die wir schon lange warten.
Ich will dir nicht zu nahe treten, aber du bist knapp 10 Tage hier aktiv und willst von Verhältnismäßigkeit reden - sorry das passt nicht ganz.
Gruß
@kontext
eine Art zwei Faktor Authentifizierung würde ich sehr begrüßen. Bei Paypal, den Email Konten, etc. Setzt man ja das auch ein. Und außerdem bin ich ein großer Fan von zwei Faktor Authentifizierung.
Aber nicht dass die anderen "wichtigen" Punkte auf der ToDo Liste darunter leiden. Gibt ja das eine oder andere auf die wir schon lange warten.
Zitat von @129148:
Ich suche kein "einfaches" Forum, ich denke nur die Verhältnismässigkeit sollte stimmen.
Naja - wir alten Hasen haben schon eine lange Reise hinteruns. Administrator.de gibt es ja nicht erst seit 2015 ... Ich bin jetzt über 10 Jahre dabei ...Ich suche kein "einfaches" Forum, ich denke nur die Verhältnismässigkeit sollte stimmen.
Ich will dir nicht zu nahe treten, aber du bist knapp 10 Tage hier aktiv und willst von Verhältnismäßigkeit reden - sorry das passt nicht ganz.
Gruß
@kontext
Moin Frank,
ich seh das ähnlich wie Kollege @keine-ahnung und @Lochkartenstanzer. Wobei natürlich Accounts von Moderatoren, Editoren und Webmaster ein größeres Ziel darstellen als ein Standardaccount.
Gruß,
Dani
P.S. Fehlt nur noch dass ich alle 90 Tage mein Passwort ändern muss...
ich seh das ähnlich wie Kollege @keine-ahnung und @Lochkartenstanzer. Wobei natürlich Accounts von Moderatoren, Editoren und Webmaster ein größeres Ziel darstellen als ein Standardaccount.
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort
Ich halte sowohl von der Zusatzangabe der E-Mailadresse noch von 2FA recht wenig. Letztes könnte ich mir jedoch optional vorstellen. Grundsätzlich würde ich die genannten Features auf der ToDo-Liste eher im Mittelfeld sehen. Meine Meinung dazu kennst du bereits. Administrator ist damit eine Knowledgebase, eine Platform, wo man neben unwichtigen auch wichtige Informationen austauscht und genau diese Informationen und Inhalte müssen vor Missbrauch geschützt werden.
Für wichtige Informationen nutze ich kein Forum bzw. private Nachricht. Dafür gibt es andere Wege...Gruß,
Dani
P.S. Fehlt nur noch dass ich alle 90 Tage mein Passwort ändern muss...
Hallo,
ich würde jetzt auch grundsätzlich mal sagen 2-Faktor Auth ist schon etwas übervorsichtig.
Aber gut wird sind hier in einem Fachforum das auch den Punkt IT Sicherheit abdeckt und das man da schon mal mit Guten Beispiel vorangehen sollte kann ich's verstehen.
Und du das Funktionell auch noch so ausbauen willst, dann hast du auch gründe dafür.
Ich sag mal man wird sich daran gewöhnen.
Bin mal gespannt was hier die nächsten Jahre bringen und hoffte das die Funktionen die du Umsetzten willst dann auch gut angenommen werden.
Mal rein aus Neugier, weil du schon ein paar mal von einer englischen Version gesprochen hast.
Wird das ne kpl. Abspaltung oder einfach nur eine Übersetzung der Oberfläche und alles landet in einem Pool.
ich würde jetzt auch grundsätzlich mal sagen 2-Faktor Auth ist schon etwas übervorsichtig.
Aber gut wird sind hier in einem Fachforum das auch den Punkt IT Sicherheit abdeckt und das man da schon mal mit Guten Beispiel vorangehen sollte kann ich's verstehen.
Und du das Funktionell auch noch so ausbauen willst, dann hast du auch gründe dafür.
Ich sag mal man wird sich daran gewöhnen.
Bin mal gespannt was hier die nächsten Jahre bringen und hoffte das die Funktionen die du Umsetzten willst dann auch gut angenommen werden.
Mal rein aus Neugier, weil du schon ein paar mal von einer englischen Version gesprochen hast.
Wird das ne kpl. Abspaltung oder einfach nur eine Übersetzung der Oberfläche und alles landet in einem Pool.

Zitat von @kontext:
Naja - wir alten Hasen haben schon eine lange Reise hinteruns. Administrator.de gibt es ja nicht erst seit 2015 ... Ich bin jetzt über 10 Jahre dabei ...
Und was soll mir das jetzt sagen?Naja - wir alten Hasen haben schon eine lange Reise hinteruns. Administrator.de gibt es ja nicht erst seit 2015 ... Ich bin jetzt über 10 Jahre dabei ...
Ich will dir nicht zu nahe treten, aber du bist knapp 10 Tage hier aktiv und willst von Verhältnismäßigkeit reden - sorry das passt nicht ganz. 
Du meinst also nur wenn man hier 10 Jahre dabei ist darf man seine Meinung vertreten? Was ist das denn für ein Kindergarten.Aber so scheinen hier alle langjährigen Mitglieder Neulinge von Oben herab zu behandeln. Durfte ich schon ausgiebig in den Threads hier feststellen. Hier kommen so viele Threads vom Thema mit nutzlosen Kommentaren ab und wenn man dann selber etwas zur Lösung effektiv beiträgt, kommt so ein "langjähriger" daher und beleidigt oder schreibt provozierende Kommentare.
Das ist definitiv einem Admin-Forum nicht würdig, sorry aber so ist der erste Eindruck wenn man hier als "Neuling" (der schon etliche Jahre Admin-Berufserfahrung hinter sich hat) produktiv helfen will.
Vielleicht solltet ihr eher daran mal was tun.
Trotzdem schöne Pfingsten
icybox
Ganz ruhig, kleiner oder großer.
Mann oder Frau.
Hab ich dich provoziert? Ich wüsste nicht wo, aber falls doch entschuldige ich mich. Hab ich gesagt du darfst keine eigene Meinung haben - glaube ich kaum. Und von oben behandle ich generell niemanden. Jeder hat mal Klein angefangen (wie auch ich) und mit der Zeit bekommt man auch eine gewisse "dicke" Haut und legt nicht jedes Wort auf die Waagschale.
Ich habe mich doch an der Diskussion beteiligt und gesagt, dass ich eine zwei Faktor Authentifizierung begrüßen würde. Wie diese geschieht ist @Frank überlassen.
Aber hey - ich werde mich mal auf die stille Treppe setzten und über deine Worte nachdenken. Wie du schon sagst - ist ja alles ein Kindergarten hier, vielleicht ist meine Zeit hier auch vorüber - wie heißt es so schön - früher war alles besser ...
PS: ich habe keine Sicherungen von meinen Tips / Erfahrungswerten oder Links. Würde mich interessieren was ich in deinen Augen bin - bezogen auf dein ...
Aber bitter per PM - denn das ist OT.
Just my 2 cents
@kontext
Mann oder Frau.
Hab ich dich provoziert? Ich wüsste nicht wo, aber falls doch entschuldige ich mich. Hab ich gesagt du darfst keine eigene Meinung haben - glaube ich kaum. Und von oben behandle ich generell niemanden. Jeder hat mal Klein angefangen (wie auch ich) und mit der Zeit bekommt man auch eine gewisse "dicke" Haut und legt nicht jedes Wort auf die Waagschale.
Ich habe mich doch an der Diskussion beteiligt und gesagt, dass ich eine zwei Faktor Authentifizierung begrüßen würde. Wie diese geschieht ist @Frank überlassen.
Aber hey - ich werde mich mal auf die stille Treppe setzten und über deine Worte nachdenken. Wie du schon sagst - ist ja alles ein Kindergarten hier, vielleicht ist meine Zeit hier auch vorüber - wie heißt es so schön - früher war alles besser ...
PS: ich habe keine Sicherungen von meinen Tips / Erfahrungswerten oder Links. Würde mich interessieren was ich in deinen Augen bin - bezogen auf dein ...
Aber bitter per PM - denn das ist OT.
Just my 2 cents
@kontext

Ich meinte damit eher einen anderen Thread, das war nicht direkt auf dich bezogen, sorry wenn das so rüber gekommen ist.
Aber machen wir kein Faß auf und belassen es einfach dabei, war halt nur mein erster Eindruck hier im Forum.
Und Feedback ist ja eigentlich ab und zu ganz nützlich
. In der passenden Kategorie sind wir hier ja schon.
Als denn, schönes Wochende.
Aber machen wir kein Faß auf und belassen es einfach dabei, war halt nur mein erster Eindruck hier im Forum.
Und Feedback ist ja eigentlich ab und zu ganz nützlich
Als denn, schönes Wochende.
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort
Ich halte sowohl von der Zusatzangabe der E-Mailadresse noch von 2FA recht wenig. Letztes könnte ich mir jedoch optional vorstellen. Grundsätzlich würde ich die genannten Features auf der ToDo-Liste eher im Mittelfeld sehen. Meine Meinung dazu kennst du bereits.Sprich man bekommt ne E-Mail wenn man sich von "unbekannten" Geräten anmeldet. Ähnlich wie bei Onedrive oder google.
Für Admin Account's und wenn man Franks kommende Dienste nutzen will verpflichtend aktiv. Für den Rest Optional?
Zitat von @admtech:
@Olfryygt
Weil es immer noch User gibt, die "123456" als Passwort benutzen. Diese recht leicht zu übernehmenden Accounts ärgern dann die anderen User auf unserer Seite.
Haben wir eine Zeit lang gemacht, hat nicht geholfen.
@Olfryygt
Ich habe dazu eine Frage, warum wird man eigentlich dazu gezwungen?
Weil es immer noch User gibt, die "123456" als Passwort benutzen. Diese recht leicht zu übernehmenden Accounts ärgern dann die anderen User auf unserer Seite.
Entsprechend, warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt (Wer bestimmt das eigentlich?)
Haben wir eine Zeit lang gemacht, hat nicht geholfen.
Zusammenlassen, was zusammen war, ich schrieb: "Warum nicht einfach zeigen, ab wann ein Passwort als sicher gilt, Tipps für sichere Passwörter geben und den User trotzdem selbst entscheiden lassen?"
Gemeint war, ist ja eh sein Bier, wenn er seinen Account verliert. Aber, dass gekaperte Accounts natürlich auch dazu benutzt werden können, andere Benutzer zu nerven, ärgern oder diffamieren, hatte ich nicht bedacht. Eben auch, dass dann wertvolle Wissensbeiträge verschwinden könnten.
Wieder ein paar Sichtweisen dazugewonnen, danke dafür
Und Danke an Lochkartenstanzer für die Erklärung, ich versuche zeitweise auch die xkcd-Erklärungen zu lesen, hilft zwar viel, aber nicht immer :p
@neulinge
Also, ich könnte mich hier nicht beschweren. Wenn man ungenau oder unkonkret fragt, wird man darauf hingewiesen. Vollkommen OK so.
Mir kommt vor, dass immer mehr Leute immer, äh, zarter sind. Man muss ja schon immer mehr aufpassen, bloß niemandem auf den Schlips treten.
Moin,
passend zu diesem Thema ist gerade wieder ein Verkauf von linkedin-Paßwörtern aktuell.
Das wirft natürlich die fage auf, wie hier die Paßwörter/hashes abgelegt werden. Ein zwei Worte darüber wären nett, sofern du magst.
lks
passend zu diesem Thema ist gerade wieder ein Verkauf von linkedin-Paßwörtern aktuell.
Das wirft natürlich die fage auf, wie hier die Paßwörter/hashes abgelegt werden. Ein zwei Worte darüber wären nett, sofern du magst.
lks
Hallo allerseits
Fände ich voll in Ordnung... oder allenfalls gar nicht ein Nutzername bzw. E-Mail sondern eine zusätzliche 4 stellige Zeichenfolge die man wählen kann?
Also so alla= Benutzername: KMUlife Passwort: XXXXXXXXX Zeichenfolge: XXXX
Problematik hierbei... Nutzer mit Zeichenfolge ASDF würden wahrscheinlich überwiegen :P
Würde das nicht die meisten "Standart-Scripts" schon aushebeln?
Zusätzlich noch n Code aufs Handy oder so fände ich aber übertrieben....
Grüsse
KMUlife
Zitat von @admtech:
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen.
Ideal wäre dann doch eine Eingabe aus: Nutzername, E-Mail und Passwort. Damit würden wir es den Hackern deutliche schwerer machen.
Fände ich voll in Ordnung... oder allenfalls gar nicht ein Nutzername bzw. E-Mail sondern eine zusätzliche 4 stellige Zeichenfolge die man wählen kann?
Also so alla= Benutzername: KMUlife Passwort: XXXXXXXXX Zeichenfolge: XXXX
Problematik hierbei... Nutzer mit Zeichenfolge ASDF würden wahrscheinlich überwiegen :P
Würde das nicht die meisten "Standart-Scripts" schon aushebeln?
Zusätzlich noch n Code aufs Handy oder so fände ich aber übertrieben....
Grüsse
KMUlife
Wie sich gerade wieder bei linkedin zeigt, verwenden die Leute wirklich kaum Gehirnschmalz, für Paßwörter. Aber bei linkedin war das unerheblich, weil die einfach kein Salz genommen haben.Ich hoffe, hier ist das anders.
lks
lks

Das merkt man, ich habe gerade ein 20 Zeichen Passwort erfinden müssen nur um mich darüber aufzuregen, ein 20 Zeichen Passwort zu haben. Im ernst sobald das aktuelle Jahr als Zahl angegeben wird *buuuz* nein, eine Ausrufezeichen als Sonderzeichen *buuuz* vergisses. Ja das werd ich dann wohl auch machen. Nichts gegen Sicherheit um jeden Preis, aber ich denke wer kein gutes Passwort wählt ist selber schuld wenn was passiert dafür müssen nicht andere Leiden, bald kann ich noch mein Lieblingsgedicht in voller Länge als Passwort nehmen und komm selbst dann nicht durch ^^ nee das geht mir echt zu weit
Mal schauen wie viele Tage es dauert bis ich das vergessen habe aber ich sag schonmal *winkewinke*
Mal schauen wie viele Tage es dauert bis ich das vergessen habe aber ich sag schonmal *winkewinke*