Entwicklertagebuch: Passwortsicherheit (Update)
Hallo Administrator User,
Mit dem aktuellen Release haben wir die Bedingungen für ein besseres Passwort beim 'Passwort ändern' aktualisiert. Wie gut ein Passwort ist, zeigt der neue Live-Indikator im Formular. Wir haben dazu die 150 schlimmsten/dümmsten/einfachsten Passwörter der letzten 5 Jahre als Blacklist hinzugefügt. Zusätzlich wurde die Mindestlänge des Passworts auf 8 Zeichen gesetzt (vorher 6 Zeichen).
Beinhaltet ein Passwort jetzt z.B. 'test123' teilt der Live-Indikator dem User unmissverständlich mit, was er davon hält
Passwörter wie z.B. '111111' oder 'Password1!' etc. sind ab sofort nicht mehr möglich.
Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen.
Ich persönlich bin der Meinung, das ein gutes Passwort auch ein guter Schutz für die Daten unserer Users ist. Zusätzlich verschlüsseln wir natürlich die Passwörter und weitere Daten intern mit den aktuell höchsten Standards.
P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist
Gruß
Frank
Mit dem aktuellen Release haben wir die Bedingungen für ein besseres Passwort beim 'Passwort ändern' aktualisiert. Wie gut ein Passwort ist, zeigt der neue Live-Indikator im Formular. Wir haben dazu die 150 schlimmsten/dümmsten/einfachsten Passwörter der letzten 5 Jahre als Blacklist hinzugefügt. Zusätzlich wurde die Mindestlänge des Passworts auf 8 Zeichen gesetzt (vorher 6 Zeichen).
Beinhaltet ein Passwort jetzt z.B. 'test123' teilt der Live-Indikator dem User unmissverständlich mit, was er davon hält
Passwörter wie z.B. '111111' oder 'Password1!' etc. sind ab sofort nicht mehr möglich.
Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen.
Ich persönlich bin der Meinung, das ein gutes Passwort auch ein guter Schutz für die Daten unserer Users ist. Zusätzlich verschlüsseln wir natürlich die Passwörter und weitere Daten intern mit den aktuell höchsten Standards.
P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist
Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307383
Url: https://administrator.de/contentid/307383
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
22 Kommentare
Neuester Kommentar
Und
läuft unter sehr gut
Ich glaube jeder sollte selber entscheiden wie wichtig ihm sein Account hier ist, dementsprechend kann er sein Passwort wählen. So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.
Gruß Skybird
###eichhabmeinpasswortvergessen
Ich glaube jeder sollte selber entscheiden wie wichtig ihm sein Account hier ist, dementsprechend kann er sein Passwort wählen. So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.
Gruß Skybird
Hallo Frank,
mal ein Frage:
Ist es möglich die Passwortsicherhet anzuzein, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.
Ja, ich gehe mal davon aus, daß mein Passwort sicher ist. Es wäre zumindest vorteilhaft, wenn man dies auf der Einstellungsseite angezeigt bekommt, damit man danach entscheiden kann, JA ich ändere mein Passwort.
Gruss Penny.
mal ein Frage:
Ist es möglich die Passwortsicherhet anzuzein, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.
Ja, ich gehe mal davon aus, daß mein Passwort sicher ist. Es wäre zumindest vorteilhaft, wenn man dies auf der Einstellungsseite angezeigt bekommt, damit man danach entscheiden kann, JA ich ändere mein Passwort.
Gruss Penny.
Hi Frank
Find ich gut! Weiter so!
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Find ich gut! Weiter so!
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Zitat von @KMUlife:
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Dann solltest du dir unbedingt mal das berühmte War Games anschauen Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
https://de.wikipedia.org/wiki/WarGames_%E2%80%93_Kriegsspiele
Nachdem die AMIs anscheinend heutzutage wirklich noch 8 Zoll Disketten in dem Bereich verwenden, könnte man den Film tatsächlich noch für aktuell halten
Grüße Uwe
Haha sorry Frank
Danke euch für die Filmempfehlung, werde mir den mal anschauen.^^
Eigentlich komisch das wir den nicht während unserer Ausbildung geschaut haben, TRON (1982) sowie "Warriors of the Net" haben wir auch 3mal geschaut .
Danke euch für die Filmempfehlung, werde mir den mal anschauen.^^
Eigentlich komisch das wir den nicht während unserer Ausbildung geschaut haben, TRON (1982) sowie "Warriors of the Net" haben wir auch 3mal geschaut .
Hallo,
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Freitag!
Gruß,
Jörg
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Freitag!
Gruß,
Jörg
Zitat von @tomolpi:
Du musst mehr trinken, noch heißt es da "sehr niedrig"
Zitat von @117471:
Hallo,
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Hallo,
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Du musst mehr trinken, noch heißt es da "sehr niedrig"
Och, ich denke.. Wenn man da am kleinen Teil sehr stark rüttelt, gibts plötzlich keine Grenze mehr nach oben
Hi,
hier ein Grund warum man sein Passwort öffters mal ändern sollte:
http://www.heise.de/newsticker/meldung/Nutzerdaten-zum-Verkauf-Telekom- ...
Gruß
Frank
hier ein Grund warum man sein Passwort öffters mal ändern sollte:
http://www.heise.de/newsticker/meldung/Nutzerdaten-zum-Verkauf-Telekom- ...
Gruß
Frank
Hallo,
die Frage ist allerdings, ob sich *hier* jemand die Mühe macht.
Für mich ist das Forum natürlich die tollste Sache der Welt. Aber was das Mißbrauchspotential angeht, gibt es m.Ea. Millionen lohnenderer Ziele...
Gruß,
Jörg
die Frage ist allerdings, ob sich *hier* jemand die Mühe macht.
Für mich ist das Forum natürlich die tollste Sache der Welt. Aber was das Mißbrauchspotential angeht, gibt es m.Ea. Millionen lohnenderer Ziele...
Gruß,
Jörg
Hi,
ich hatte es zwar schon mal in einem anderen Beitrag zum Thema geschrieben, aber ich liste es gerne noch einmal auf.
Du siehst das aus einer falschen Perspektive:
Gruß
Frank
die Frage ist allerdings, ob sich *hier* jemand die Mühe macht
ich hatte es zwar schon mal in einem anderen Beitrag zum Thema geschrieben, aber ich liste es gerne noch einmal auf.
Du siehst das aus einer falschen Perspektive:
- Denk mal an die User (und auch Admins) die das gleiche Passwort auch auf anderen Seiten verwenden. Sollten sie natürlich nicht machen, die Realität sieht aber anders aus
- Wenn internen Nachricht, d.h. der Austausche mehrere IT-Pros veröffentlicht würden, wären das, je nach dem was ausgetauscht wurde, auch sehr brisant. Da kann alles drinstehen
- Die E-Mail Adresse in Kombination mit dem Usernamen wird auch sehr oft auf mehreren Seiten benutzt. Ich denke weder dieser Zusammenhang, noch die E-Mail Adresse sollte frei verfügbar sein
- Die Spammer, die Konten karpern nur um andere User hier auf der Seite zu ärgern
- Die Wissensbeiträge, die verloren oder manipuliert werden, wenn jemand Fremdes sie übernehmen könnte. Wir haben Beiträge, die millionenfach aufgerufen wurden. IT-Wissen, dass dann verloren gehen würde. Wir sind nicht nur ein Forum.
- Wir werden in Zukunft die internen Nachrichten weiter ausbauen und eine Verschlüsselung hinzufügen, wo wir selbst keinen Schlüssel speichern. Dann wird es noch interessanter für den Missbrauch
- und, und, und ...
Gruß
Frank
@fa-jka
gerade hier macht ein Angriff Sinn. Viele der User sind in der Administration tätig, haben Zugriff auf teils SEHR grosse Systeme bei KMUs und teils auch grossen Unternehmen. Infos von hier kann man dann wunderbar zum "weiterkommen" bei Social Engineering in genau den Unternehmen benutzen. Oder halt Systeme kapern und mit aggregierten mehreren GBit/s Spam rausschleudern.
zum Verkauf lohnen die paar 100k Adressen aber auch
gerade hier macht ein Angriff Sinn. Viele der User sind in der Administration tätig, haben Zugriff auf teils SEHR grosse Systeme bei KMUs und teils auch grossen Unternehmen. Infos von hier kann man dann wunderbar zum "weiterkommen" bei Social Engineering in genau den Unternehmen benutzen. Oder halt Systeme kapern und mit aggregierten mehreren GBit/s Spam rausschleudern.
zum Verkauf lohnen die paar 100k Adressen aber auch