22
Entwicklertagebuch: Passwortsicherheit (Update)
Hallo Administrator User,
Mit dem aktuellen Release haben wir die Bedingungen für ein besseres Passwort beim 'Passwort ändern' aktualisiert. Wie gut ein Passwort ist, zeigt der neue Live-Indikator im Formular. Wir haben dazu die 150 schlimmsten/dümmsten/einfachsten Passwörter der letzten 5 Jahre als Blacklist hinzugefügt. Zusätzlich wurde die Mindestlänge des Passworts auf 8 Zeichen gesetzt (vorher 6 Zeichen).
Beinhaltet ein Passwort jetzt z.B. 'test123' teilt der Live-Indikator dem User unmissverständlich mit, was er davon hält
Passwörter wie z.B. '111111' oder 'Password1!' etc. sind ab sofort nicht mehr möglich.
Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen.
Ich persönlich bin der Meinung, das ein gutes Passwort auch ein guter Schutz für die Daten unserer Users ist. Zusätzlich verschlüsseln wir natürlich die Passwörter und weitere Daten intern mit den aktuell höchsten Standards.
P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist
Gruß
Frank
Mit dem aktuellen Release haben wir die Bedingungen für ein besseres Passwort beim 'Passwort ändern' aktualisiert. Wie gut ein Passwort ist, zeigt der neue Live-Indikator im Formular. Wir haben dazu die 150 schlimmsten/dümmsten/einfachsten Passwörter der letzten 5 Jahre als Blacklist hinzugefügt. Zusätzlich wurde die Mindestlänge des Passworts auf 8 Zeichen gesetzt (vorher 6 Zeichen).
Beinhaltet ein Passwort jetzt z.B. 'test123' teilt der Live-Indikator dem User unmissverständlich mit, was er davon hält
Passwörter wie z.B. '111111' oder 'Password1!' etc. sind ab sofort nicht mehr möglich.
Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen.
Ich persönlich bin der Meinung, das ein gutes Passwort auch ein guter Schutz für die Daten unserer Users ist. Zusätzlich verschlüsseln wir natürlich die Passwörter und weitere Daten intern mit den aktuell höchsten Standards.
P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist
Gruß
Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307383
Url: https://administrator.de/contentid/307383
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
22 Kommentare
Neuester Kommentar
Was lustig ist: "ichbineinadmin" ist schlecht, aber "ichbineinadmi" schon niedrig 
Hi,
"ichbineinadmin" ist auf der Blacklist und daher direkt "schlecht", bei "ichbineinadmi" rechnet er es nach den gesetzten Bedingungen aus. Daher gibt es einen Unterschiede in der Bewertung. Aber du hast schon recht, dass sieht unschön aus und wird korrigiert.
Gruß
Frank
"ichbineinadmin" ist auf der Blacklist und daher direkt "schlecht", bei "ichbineinadmi" rechnet er es nach den gesetzten Bedingungen aus. Daher gibt es einen Unterschiede in der Bewertung. Aber du hast schon recht, dass sieht unschön aus und wird korrigiert.
Gruß
Frank
Und
läuft unter sehr gut
Ich glaube jeder sollte selber entscheiden wie wichtig ihm sein Account hier ist, dementsprechend kann er sein Passwort wählen. So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.
Gruß Skybird
###eichhabmeinpasswortvergessen
Ich glaube jeder sollte selber entscheiden wie wichtig ihm sein Account hier ist, dementsprechend kann er sein Passwort wählen. So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.
Gruß Skybird
Hi abgemeldeter Skybird,
bis auf die Blacklist prüfen wir die einzelnen Wörter im Passwort nicht. Bei "###eichhabmeinpasswortvergessen" ist das "ß" ein Sonderzeichen und die Länge des Passwort ist recht gut. Allerdings gab es tatsächlich noch einen Fehler in unserem Algorithmus, der nun behoben ist. Warum du dich jetzt abgemeldet hast, ist mir allerdings ein Rätsel. Auch ist die Anpassung an einen Algorithmus für ein gutes Passwort ein fließender Prozess, niemand ist da fehlerfrei. Der Algorithmus wird auch in Zukunft immer weiter verbessert werden.
Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen. Mit dem aktuellen Release habe ich zusätzlich die Mindestlänge des Passworts auf 8 Zeichen gesetzt.
Natürlich ist die Anzeige des Indikators lediglich ein Hilfsmittel um unsere Passwortrichtlinien so einfach wie möglich zu visualisieren. Dahinter steckt ein Algorithmus und ein Punktesystem. Was sonst?
@tomolpi Der Fehler mit "ichbineinadmi" und "ichbineinadmin" wurde behoben.
Gruß
Frank
bis auf die Blacklist prüfen wir die einzelnen Wörter im Passwort nicht. Bei "###eichhabmeinpasswortvergessen" ist das "ß" ein Sonderzeichen und die Länge des Passwort ist recht gut. Allerdings gab es tatsächlich noch einen Fehler in unserem Algorithmus, der nun behoben ist. Warum du dich jetzt abgemeldet hast, ist mir allerdings ein Rätsel. Auch ist die Anpassung an einen Algorithmus für ein gutes Passwort ein fließender Prozess, niemand ist da fehlerfrei. Der Algorithmus wird auch in Zukunft immer weiter verbessert werden.
Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen. Mit dem aktuellen Release habe ich zusätzlich die Mindestlänge des Passworts auf 8 Zeichen gesetzt.
So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.
Natürlich ist die Anzeige des Indikators lediglich ein Hilfsmittel um unsere Passwortrichtlinien so einfach wie möglich zu visualisieren. Dahinter steckt ein Algorithmus und ein Punktesystem. Was sonst?
@tomolpi Der Fehler mit "ichbineinadmi" und "ichbineinadmin" wurde behoben.
Gruß
Frank
Hallo Frank,
mal ein Frage:
Ist es möglich die Passwortsicherhet anzuzein, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.
Ja, ich gehe mal davon aus, daß mein Passwort sicher ist. Es wäre zumindest vorteilhaft, wenn man dies auf der Einstellungsseite angezeigt bekommt, damit man danach entscheiden kann, JA ich ändere mein Passwort.
Gruss Penny.
mal ein Frage:
Ist es möglich die Passwortsicherhet anzuzein, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.
Ja, ich gehe mal davon aus, daß mein Passwort sicher ist. Es wäre zumindest vorteilhaft, wenn man dies auf der Einstellungsseite angezeigt bekommt, damit man danach entscheiden kann, JA ich ändere mein Passwort.
Gruss Penny.
Hmm ich bekomme das angezeigt, meine Stärke ist "hoch"...
Hi Frank
Find ich gut! Weiter so!
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Find ich gut! Weiter so!
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Zitat von @KMUlife:
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Dann solltest du dir unbedingt mal das berühmte War Games anschauen Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
https://de.wikipedia.org/wiki/WarGames_%E2%80%93_Kriegsspiele
Nachdem die AMIs anscheinend heutzutage wirklich noch 8 Zoll Disketten in dem Bereich verwenden, könnte man den Film tatsächlich noch für aktuell halten
Grüße Uwe
1Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
uhh, daran merke ich mal wieder, dass ich alt geworden bin. In meiner Jugend war "Wargames" der Film zum Thema Computer, Hacker und Sicherheit. "Joshua" war das Passwort womit der jugendliche Hacker David L. Lightman (gespielt von Matthew Broderick) ins Norad-System kam. Es verschaffte sich Zugriff auf das W.O.P.R. System (War Operation Plan Response) und startete spielerisch beinahe den 3 Weltkrieg. So schnell kann es gehen ...
Schaut ihn Euch mal an, er ist immer noch sehenswert (wenn auch ein wenig veraltet) und hat eine ganze Genreration beeinflusst.
Gruß
Frank
Haha sorry Frank 
Danke euch für die Filmempfehlung, werde mir den mal anschauen.^^
Eigentlich komisch das wir den nicht während unserer Ausbildung geschaut haben, TRON (1982) sowie "Warriors of the Net" haben wir auch 3mal geschaut.
Danke euch für die Filmempfehlung, werde mir den mal anschauen.^^Eigentlich komisch das wir den nicht während unserer Ausbildung geschaut haben, TRON (1982) sowie "Warriors of the Net" haben wir auch 3mal geschaut
.Zitat von @Penny.Cilin:
Ist es möglich die Passwortsicherhet anzusehen, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.
Ist es möglich die Passwortsicherhet anzusehen, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.
Hi Penny,
klar, in der Übersicht für die Einstellungen (Mitgliedermenü -> Einstellungen) steht im Bereich "Passwort und Loginverhalten ändern" die aktuelle Passwortstärke. Ich habe aber mit dem aktuellen Release die bisherige Passwortstärke zusätzlich noch zur Seite "Passwort ändern" hinzugefügt. Sie erscheint neben der Aufforderung fürs altes Passwort.
Gruß
Frank
Hi,
Speichert der auch eine "Passwort Historie"?
Bei mir wird für das aktuell vergebene Passwort "Hoch" angezeigt,
wenn ich aber exakt das gleiche Passwort nochmal in das 'Neu' Feld eingebe mag er es nur noch als
Normal ansehen.
Warum?
Viele Grüße
pelzfrucht
Speichert der auch eine "Passwort Historie"?
Bei mir wird für das aktuell vergebene Passwort "Hoch" angezeigt,
wenn ich aber exakt das gleiche Passwort nochmal in das 'Neu' Feld eingebe mag er es nur noch als
Normal ansehen.
Warum?
Viele Grüße
pelzfrucht
Hallo,
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Freitag!
Gruß,
Jörg
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Freitag!
Gruß,
Jörg
3Zitat von @117471:
Hallo,
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Hallo,
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Du musst mehr trinken, noch heißt es da "sehr niedrig"
Zitat von @tomolpi:
Du musst mehr trinken, noch heißt es da "sehr niedrig"
Zitat von @117471:
Hallo,
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Hallo,
wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?
Du musst mehr trinken, noch heißt es da "sehr niedrig"
Och, ich denke.. Wenn man da am kleinen Teil sehr stark rüttelt, gibts plötzlich keine Grenze mehr nach oben
Hallo @pelzfrucht,
Das Passwort selbst natürlich nicht, aber die Passwortstärke wurde gespeichert. Der Wert "hoch" wurde noch mit den alten Passwortregeln bewertet (und befindet sich in der DB), die neuen Regeln sind deutlich strenger und daher bekommt dein Passwort wahrscheinlich nicht mehr den gleichen Wert zugeordnet. Sorry, für die Verwirrung. Aktuell ist es wohl noch keine gute Idee, dort den alten Wert mit anzuzeigen. Ich nehme daher die Anzeige des alten Werts hier wieder raus.
Gruß
Frank
Speichert der auch eine "Passwort Historie"?
Das Passwort selbst natürlich nicht, aber die Passwortstärke wurde gespeichert. Der Wert "hoch" wurde noch mit den alten Passwortregeln bewertet (und befindet sich in der DB), die neuen Regeln sind deutlich strenger und daher bekommt dein Passwort wahrscheinlich nicht mehr den gleichen Wert zugeordnet. Sorry, für die Verwirrung. Aktuell ist es wohl noch keine gute Idee, dort den alten Wert mit anzuzeigen. Ich nehme daher die Anzeige des alten Werts hier wieder raus.
Gruß
Frank
Hi,
hier ein Grund warum man sein Passwort öffters mal ändern sollte:
http://www.heise.de/newsticker/meldung/Nutzerdaten-zum-Verkauf-Telekom- ...
Gruß
Frank
hier ein Grund warum man sein Passwort öffters mal ändern sollte:
http://www.heise.de/newsticker/meldung/Nutzerdaten-zum-Verkauf-Telekom- ...
Gruß
Frank
Hallo,
die Frage ist allerdings, ob sich *hier* jemand die Mühe macht.
Für mich ist das Forum natürlich die tollste Sache der Welt. Aber was das Mißbrauchspotential angeht, gibt es m.Ea. Millionen lohnenderer Ziele...
Gruß,
Jörg
die Frage ist allerdings, ob sich *hier* jemand die Mühe macht.
Für mich ist das Forum natürlich die tollste Sache der Welt. Aber was das Mißbrauchspotential angeht, gibt es m.Ea. Millionen lohnenderer Ziele...
Gruß,
Jörg
Hi,
ich hatte es zwar schon mal in einem anderen Beitrag zum Thema geschrieben, aber ich liste es gerne noch einmal auf.
Du siehst das aus einer falschen Perspektive:
Gruß
Frank
die Frage ist allerdings, ob sich *hier* jemand die Mühe macht
ich hatte es zwar schon mal in einem anderen Beitrag zum Thema geschrieben, aber ich liste es gerne noch einmal auf.
Du siehst das aus einer falschen Perspektive:
- Denk mal an die User (und auch Admins) die das gleiche Passwort auch auf anderen Seiten verwenden. Sollten sie natürlich nicht machen, die Realität sieht aber anders aus
- Wenn internen Nachricht, d.h. der Austausche mehrere IT-Pros veröffentlicht würden, wären das, je nach dem was ausgetauscht wurde, auch sehr brisant. Da kann alles drinstehen
- Die E-Mail Adresse in Kombination mit dem Usernamen wird auch sehr oft auf mehreren Seiten benutzt. Ich denke weder dieser Zusammenhang, noch die E-Mail Adresse sollte frei verfügbar sein
- Die Spammer, die Konten karpern nur um andere User hier auf der Seite zu ärgern
- Die Wissensbeiträge, die verloren oder manipuliert werden, wenn jemand Fremdes sie übernehmen könnte. Wir haben Beiträge, die millionenfach aufgerufen wurden. IT-Wissen, dass dann verloren gehen würde. Wir sind nicht nur ein Forum.
- Wir werden in Zukunft die internen Nachrichten weiter ausbauen und eine Verschlüsselung hinzufügen, wo wir selbst keinen Schlüssel speichern. Dann wird es noch interessanter für den Missbrauch
- und, und, und ...
Gruß
Frank
Hmmm, mal ne Frage dazu.... wie kann ein Algorhitmus ein bestehendes PW bewerten ? Werden diese nicht verschlüsselt in der DB abgelegt ?
Und einen Hash zu bewerten kann m.E. nach nicht sinnvoll sein.
Grüße, Henere
Und einen Hash zu bewerten kann m.E. nach nicht sinnvoll sein.
Grüße, Henere
Hi @Henere
kann er nicht, die Bewertung erfolgt bei der Eingabe des Passworts und diese Bewertungszahl speichern wir in einem extra Feld. Das Passwort wird natürlich verschlüsselt gespeichert und kann von uns nicht eingesehen werden.
Gruß
Frank
wie kann ein Algorhitmus ein bestehendes PW bewerten
kann er nicht, die Bewertung erfolgt bei der Eingabe des Passworts und diese Bewertungszahl speichern wir in einem extra Feld. Das Passwort wird natürlich verschlüsselt gespeichert und kann von uns nicht eingesehen werden.
Gruß
Frank
@fa-jka
gerade hier macht ein Angriff Sinn. Viele der User sind in der Administration tätig, haben Zugriff auf teils SEHR grosse Systeme bei KMUs und teils auch grossen Unternehmen. Infos von hier kann man dann wunderbar zum "weiterkommen" bei Social Engineering in genau den Unternehmen benutzen. Oder halt Systeme kapern und mit aggregierten mehreren GBit/s Spam rausschleudern.
zum Verkauf lohnen die paar 100k Adressen aber auch
gerade hier macht ein Angriff Sinn. Viele der User sind in der Administration tätig, haben Zugriff auf teils SEHR grosse Systeme bei KMUs und teils auch grossen Unternehmen. Infos von hier kann man dann wunderbar zum "weiterkommen" bei Social Engineering in genau den Unternehmen benutzen. Oder halt Systeme kapern und mit aggregierten mehreren GBit/s Spam rausschleudern.
zum Verkauf lohnen die paar 100k Adressen aber auch
