admtech
Goto Top

Entwicklertagebuch: Passwortsicherheit (Update)

Hallo Administrator User,

Mit dem aktuellen Release haben wir die Bedingungen für ein besseres Passwort beim 'Passwort ändern' aktualisiert. Wie gut ein Passwort ist, zeigt der neue Live-Indikator im Formular. Wir haben dazu die 150 schlimmsten/dümmsten/einfachsten Passwörter der letzten 5 Jahre als Blacklist hinzugefügt. Zusätzlich wurde die Mindestlänge des Passworts auf 8 Zeichen gesetzt (vorher 6 Zeichen).

Beinhaltet ein Passwort jetzt z.B. 'test123' teilt der Live-Indikator dem User unmissverständlich mit, was er davon hält face-smile
Passwörter wie z.B. '111111' oder 'Password1!' etc. sind ab sofort nicht mehr möglich.

Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen.

Ich persönlich bin der Meinung, das ein gutes Passwort auch ein guter Schutz für die Daten unserer Users ist. Zusätzlich verschlüsseln wir natürlich die Passwörter und weitere Daten intern mit den aktuell höchsten Standards.

P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist face-smile

Gruß
Frank

Content-ID: 307383

Url: https://administrator.de/contentid/307383

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

tomolpi
tomolpi 16.06.2016 um 18:31:41 Uhr
Goto Top
Was lustig ist: "ichbineinadmin" ist schlecht, aber "ichbineinadmi" schon niedrig face-big-smile
admtech
admtech 16.06.2016, aktualisiert am 17.06.2016 um 03:33:30 Uhr
Goto Top
Hi,

"ichbineinadmin" ist auf der Blacklist und daher direkt "schlecht", bei "ichbineinadmi" rechnet er es nach den gesetzten Bedingungen aus. Daher gibt es einen Unterschiede in der Bewertung. Aber du hast schon recht, dass sieht unschön aus und wird korrigiert.

Gruß
Frank
129413
129413 16.06.2016, aktualisiert am 17.06.2016 um 00:02:16 Uhr
Goto Top
Und
###eichhabmeinpasswortvergessen
läuft unter sehr gut face-big-smile

Ich glaube jeder sollte selber entscheiden wie wichtig ihm sein Account hier ist, dementsprechend kann er sein Passwort wählen. So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.

Gruß Skybird
admtech
admtech 17.06.2016 aktualisiert um 14:42:23 Uhr
Goto Top
Hi abgemeldeter Skybird,

bis auf die Blacklist prüfen wir die einzelnen Wörter im Passwort nicht. Bei "###eichhabmeinpasswortvergessen" ist das "ß" ein Sonderzeichen und die Länge des Passwort ist recht gut. Allerdings gab es tatsächlich noch einen Fehler in unserem Algorithmus, der nun behoben ist. Warum du dich jetzt abgemeldet hast, ist mir allerdings ein Rätsel. Auch ist die Anpassung an einen Algorithmus für ein gutes Passwort ein fließender Prozess, niemand ist da fehlerfrei. Der Algorithmus wird auch in Zukunft immer weiter verbessert werden.

Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen. Mit dem aktuellen Release habe ich zusätzlich die Mindestlänge des Passworts auf 8 Zeichen gesetzt.

So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.

Natürlich ist die Anzeige des Indikators lediglich ein Hilfsmittel um unsere Passwortrichtlinien so einfach wie möglich zu visualisieren. Dahinter steckt ein Algorithmus und ein Punktesystem. Was sonst?

@tomolpi Der Fehler mit "ichbineinadmi" und "ichbineinadmin" wurde behoben.

Gruß
Frank
Penny.Cilin
Penny.Cilin 17.06.2016 um 07:37:52 Uhr
Goto Top
Hallo Frank,

mal ein Frage:
Ist es möglich die Passwortsicherhet anzuzein, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.

Ja, ich gehe mal davon aus, daß mein Passwort sicher ist. Es wäre zumindest vorteilhaft, wenn man dies auf der Einstellungsseite angezeigt bekommt, damit man danach entscheiden kann, JA ich ändere mein Passwort.


Gruss Penny.
tomolpi
tomolpi 17.06.2016 um 09:31:45 Uhr
Goto Top
Hmm ich bekomme das angezeigt, meine Stärke ist "hoch"...
KMUlife
KMUlife 17.06.2016 um 10:28:04 Uhr
Goto Top
Hi Frank

Find ich gut! Weiter so! face-smile


Zitat von @admtech:
P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist face-smile

Gruß
Frank

Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch? face-big-smile
colinardo
colinardo 17.06.2016 aktualisiert um 11:10:29 Uhr
Goto Top
Zitat von @KMUlife:
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch? face-big-smile
Dann solltest du dir unbedingt mal das berühmte War Games anschauen face-smile
https://de.wikipedia.org/wiki/WarGames_%E2%80%93_Kriegsspiele

Nachdem die AMIs anscheinend heutzutage wirklich noch 8 Zoll Disketten in dem Bereich verwenden, könnte man den Film tatsächlich noch für aktuell halten face-big-smile face-big-smile

Grüße Uwe
admtech
admtech 17.06.2016 um 14:52:40 Uhr
Goto Top
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?

uhh, daran merke ich mal wieder, dass ich alt geworden bin. In meiner Jugend war "Wargames" der Film zum Thema Computer, Hacker und Sicherheit. "Joshua" war das Passwort womit der jugendliche Hacker David L. Lightman (gespielt von Matthew Broderick) ins Norad-System kam. Es verschaffte sich Zugriff auf das W.O.P.R. System (War Operation Plan Response) und startete spielerisch beinahe den 3 Weltkrieg. So schnell kann es gehen ...

Schaut ihn Euch mal an, er ist immer noch sehenswert (wenn auch ein wenig veraltet) und hat eine ganze Genreration beeinflusst.

Gruß
Frank
KMUlife
KMUlife 17.06.2016 um 16:00:56 Uhr
Goto Top
Haha sorry Frank face-wink

face-smile Danke euch für die Filmempfehlung, werde mir den mal anschauen.^^

Eigentlich komisch das wir den nicht während unserer Ausbildung geschaut haben, TRON (1982) sowie "Warriors of the Net" haben wir auch 3mal geschaut face-wink.
admtech
admtech 17.06.2016 um 16:44:55 Uhr
Goto Top
Zitat von @Penny.Cilin:
Ist es möglich die Passwortsicherhet anzusehen, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.

Hi Penny,

klar, in der Übersicht für die Einstellungen (Mitgliedermenü -> Einstellungen) steht im Bereich "Passwort und Loginverhalten ändern" die aktuelle Passwortstärke. Ich habe aber mit dem aktuellen Release die bisherige Passwortstärke zusätzlich noch zur Seite "Passwort ändern" hinzugefügt. Sie erscheint neben der Aufforderung fürs altes Passwort.

Gruß
Frank
pelzfrucht
pelzfrucht 17.06.2016 um 18:03:30 Uhr
Goto Top
Hi,

unbenannt

Speichert der auch eine "Passwort Historie"?

Bei mir wird für das aktuell vergebene Passwort "Hoch" angezeigt,
wenn ich aber exakt das gleiche Passwort nochmal in das 'Neu' Feld eingebe mag er es nur noch als
Normal ansehen.

Warum?

Viele Grüße
pelzfrucht
117471
117471 17.06.2016 um 18:51:00 Uhr
Goto Top
Hallo,

wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist? face-smile

Freitag!

Gruß,
Jörg
tomolpi
tomolpi 17.06.2016 um 22:35:43 Uhr
Goto Top
Zitat von @117471:

Hallo,

wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist? face-smile

Du musst mehr trinken, noch heißt es da "sehr niedrig" face-wink
pelzfrucht
pelzfrucht 17.06.2016 um 23:09:33 Uhr
Goto Top
Zitat von @tomolpi:

Zitat von @117471:

Hallo,

wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist? face-smile

Du musst mehr trinken, noch heißt es da "sehr niedrig" face-wink

Och, ich denke.. Wenn man da am kleinen Teil sehr stark rüttelt, gibts plötzlich keine Grenze mehr nach oben face-smile
admtech
admtech 17.06.2016 um 23:39:04 Uhr
Goto Top
Hallo @pelzfrucht,

Speichert der auch eine "Passwort Historie"?

Das Passwort selbst natürlich nicht, aber die Passwortstärke wurde gespeichert. Der Wert "hoch" wurde noch mit den alten Passwortregeln bewertet (und befindet sich in der DB), die neuen Regeln sind deutlich strenger und daher bekommt dein Passwort wahrscheinlich nicht mehr den gleichen Wert zugeordnet. Sorry, für die Verwirrung. Aktuell ist es wohl noch keine gute Idee, dort den alten Wert mit anzuzeigen. Ich nehme daher die Anzeige des alten Werts hier wieder raus.

Gruß
Frank
Frank
Frank 27.06.2016 um 15:26:09 Uhr
Goto Top
Hi,

hier ein Grund warum man sein Passwort öffters mal ändern sollte:
http://www.heise.de/newsticker/meldung/Nutzerdaten-zum-Verkauf-Telekom- ...


Gruß
Frank
117471
117471 27.06.2016 um 17:23:53 Uhr
Goto Top
Hallo,

die Frage ist allerdings, ob sich *hier* jemand die Mühe macht.

Für mich ist das Forum natürlich die tollste Sache der Welt. Aber was das Mißbrauchspotential angeht, gibt es m.Ea. Millionen lohnenderer Ziele...

Gruß,
Jörg
Frank
Frank 27.06.2016 um 17:54:01 Uhr
Goto Top
Hi,

die Frage ist allerdings, ob sich *hier* jemand die Mühe macht

ich hatte es zwar schon mal in einem anderen Beitrag zum Thema geschrieben, aber ich liste es gerne noch einmal auf.

Du siehst das aus einer falschen Perspektive:

  • Denk mal an die User (und auch Admins) die das gleiche Passwort auch auf anderen Seiten verwenden. Sollten sie natürlich nicht machen, die Realität sieht aber anders aus
  • Wenn internen Nachricht, d.h. der Austausche mehrere IT-Pros veröffentlicht würden, wären das, je nach dem was ausgetauscht wurde, auch sehr brisant. Da kann alles drinstehen
  • Die E-Mail Adresse in Kombination mit dem Usernamen wird auch sehr oft auf mehreren Seiten benutzt. Ich denke weder dieser Zusammenhang, noch die E-Mail Adresse sollte frei verfügbar sein
  • Die Spammer, die Konten karpern nur um andere User hier auf der Seite zu ärgern
  • Die Wissensbeiträge, die verloren oder manipuliert werden, wenn jemand Fremdes sie übernehmen könnte. Wir haben Beiträge, die millionenfach aufgerufen wurden. IT-Wissen, dass dann verloren gehen würde. Wir sind nicht nur ein Forum.
  • Wir werden in Zukunft die internen Nachrichten weiter ausbauen und eine Verschlüsselung hinzufügen, wo wir selbst keinen Schlüssel speichern. Dann wird es noch interessanter für den Missbrauch
  • und, und, und ...

Gruß
Frank
Henere
Henere 02.07.2016 um 03:54:23 Uhr
Goto Top
Hmmm, mal ne Frage dazu.... wie kann ein Algorhitmus ein bestehendes PW bewerten ? Werden diese nicht verschlüsselt in der DB abgelegt ?
Und einen Hash zu bewerten kann m.E. nach nicht sinnvoll sein.

Grüße, Henere
admtech
admtech 02.07.2016 aktualisiert um 14:13:14 Uhr
Goto Top
Hi @Henere

wie kann ein Algorhitmus ein bestehendes PW bewerten

kann er nicht, die Bewertung erfolgt bei der Eingabe des Passworts und diese Bewertungszahl speichern wir in einem extra Feld. Das Passwort wird natürlich verschlüsselt gespeichert und kann von uns nicht eingesehen werden.

Gruß
Frank
Augenadler
Augenadler 14.10.2016 um 11:32:52 Uhr
Goto Top
@fa-jka

gerade hier macht ein Angriff Sinn. Viele der User sind in der Administration tätig, haben Zugriff auf teils SEHR grosse Systeme bei KMUs und teils auch grossen Unternehmen. Infos von hier kann man dann wunderbar zum "weiterkommen" bei Social Engineering in genau den Unternehmen benutzen. Oder halt Systeme kapern und mit aggregierten mehreren GBit/s Spam rausschleudern.

zum Verkauf lohnen die paar 100k Adressen aber auch face-wink