Swordfish
17.08.2020, 21:57

Editiert von
Swordfish
17.08.2020, 22:06

Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

Liebe Betreiber. Ich bin zwar neu hier aber ... Echt jetzt? Euer toter Ernst? 6 Stellen mit einem Alphabet aus 40 Zeichen für ein Passwort? Echt jetzt? Selber bitte nachdenken, Rainbowtables und Wörterbuchangriffe beachten, mitdenken und selbstständig ändern. Danke.
Es gibt auch - oder ich bin blind? - keine Rubrik für die Diskussion solcher Missstände.

// nebenbei werden Beiträge eines Benutzers Namens "swordfish" auch unter meinen Beiträgen und Themen angezeigt. Case sensitivity wäre ein Hit. Link zum nachvollziehen: https://www.1000steine.de...=81303&forum_all=y



jpsonics
17.08.2020, 22:10

Als Antwort auf den Beitrag von Swordfish

Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

Servus,

Swordfish hat geschrieben:

Es gibt auch - oder ich bin blind? - keine Rubrik für die Diskussion solcher Misstände.


Forum: Kritik/Fragen/Ideen zu Forum und 1000steine.de passt nicht?

Bzgl. Passwort kann man gerne streiten. Ein sicheres Passwort gibt es nicht. Hierzu wurden auf einschlägigen Seiten vermutlich schon mehr als genug Abhandlungen geschrieben. Ich sehe es auf reinen Hobby-Seiten wie z.B. dieser hier absolut unkritisch, da ich a) hier sicher nicht das gleiche Passwort nutze wie auf anderen Seiten und b) hier keine Daten hinterlegt sind, die man nicht auch auf anderem Wege von mir finden könnte.

LG. Chris.



AdmiralStein
18.08.2020, 00:28

Als Antwort auf den Beitrag von jpsonics

+1Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

jpsonics hat geschrieben:

Bzgl. Passwort kann man gerne streiten. Ein sicheres Passwort gibt es nicht. Hierzu wurden auf einschlägigen Seiten vermutlich schon mehr als genug Abhandlungen geschrieben. Ich sehe es auf reinen Hobby-Seiten wie z.B. dieser hier absolut unkritisch, da ich a) hier sicher nicht das gleiche Passwort nutze wie auf anderen Seiten und b) hier keine Daten hinterlegt sind, die man nicht auch auf anderem Wege von mir finden könnte.

Diese Sichtweise ist tatsächlich etwas - nun ja - kurzsichtig.

Das Problem ist weniger, dass ein böswilliger Angreifer *dein* Passwort knackt, um an Daten von *dir* zu kommen.

Das Problem ist vielmehr, wenn jemand aufgrund einfach knackbarer Passwörter, die hier lasche Komplexitäts-Vorgaben haben und teilweise viele Jahre alt sein dürften, eine Vielzahl von Accounts hackt. "Hackt" nicht in dem Sinne, weil er hier unter gekaperten Benutzernamen posten möchte, sondern "hackt" in dem Sinne, dass er die in den Accounts hinterlegten persönlichen Daten ausliest: E-Mail-Adressen, teilweise Realnamen und Adressen. Solche Akkumulationen persönlicher Daten (Nickname, Passwort, Realname, Adresse, E-Mail-Adresse) können dann verwendet werden, um Accounts bei anderen Diensten zu hacken oder Passwort-Reset-Mechanismen erfolgreich zu bestehen.

Grüße

Matthias



Swordfish gefällt das


1000steine
18.08.2020, 11:04

Als Antwort auf den Beitrag von Swordfish

Editiert von
Navigation
18.08.2020, 21:37

Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

Swordfish hat geschrieben:

Liebe Betreiber. Ich bin zwar neu hier aber ... Echt jetzt? Euer toter Ernst? 6 Stellen mit einem Alphabet aus 40 Zeichen für ein Passwort? Echt jetzt? Selber bitte nachdenken, Rainbowtables und Wörterbuchangriffe beachten, mitdenken und selbstständig ändern. Danke.
Es gibt auch - oder ich bin blind? - keine Rubrik für die Diskussion solcher Missstände.


[EDIT unnötige Aufregung entfernt]

Thread ist in die korrekte Kategorie verschoben, Mindest-Passwortlänge zunächst mal auf 8 Zeichen erhöht.



p1ddly
18.08.2020, 13:13

Als Antwort auf den Beitrag von Swordfish

+2Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

Swordfish hat geschrieben:

Liebe Betreiber. Ich bin zwar neu hier aber ... Echt jetzt? Euer toter Ernst? 6 Stellen mit einem Alphabet aus 40 Zeichen für ein Passwort? Echt jetzt? Selber bitte nachdenken, Rainbowtables und Wörterbuchangriffe beachten, mitdenken und selbstständig ändern. Danke.
Es gibt auch - oder ich bin blind? - keine Rubrik für die Diskussion solcher Missstände.

// nebenbei werden Beiträge eines Benutzers Namens "swordfish" auch unter meinen Beiträgen und Themen angezeigt. Case sensitivity wäre ein Hit. Link zum nachvollziehen: https://www.1000steine.de...=81303&forum_all=y


Solange die Passwörter mit einem vernünftigen Hash und gesalzen in der DB liegen zählen nach minimal geforderten Richtlinien ausgewählte Passwörter unter persönliche Dummheit und nicht unter Bedarf für die Administration



riepichiep , husky734 gefällt das


NordJedi
18.08.2020, 15:53

Als Antwort auf den Beitrag von Swordfish

+3Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

Swordfish hat geschrieben:

... Echt jetzt? 6 Stellen für ein Passwort?



Wieso, reicht doch für mein Passwort "1234" !
"123456" hätte ich mir ja gleich wieder notieren müssen!

Passwortlänge zunächst mal auf 8 Zeichen erhöht.



SUPER! Dann kann ich ja jetzt mein Passwort auf "Passwort" ändern!



Daniel



mcjw-s , Technix , SirJoghurt gefällt das


Dorothea Williams
18.08.2020, 16:25

Als Antwort auf den Beitrag von NordJedi

+4Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

Wenn man die Vokale streicht, genügen auch die vormals verfügbaren sechs Stellen: ”psswrt”.


Nur wenige finden den Weg. Manche erkennen ihn nicht, manche wollen das gar nicht.


NordJedi , Technix , sachsi , SirJoghurt gefällt das (4 Mitglieder)


riepichiep
18.08.2020, 17:36

Als Antwort auf den Beitrag von Swordfish

Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

Swordfish hat geschrieben:

Liebe Betreiber. Ich bin zwar neu hier aber ... Echt jetzt? Euer toter Ernst? 6 Stellen mit einem Alphabet aus 40 Zeichen für ein Passwort? Echt jetzt? Selber bitte nachdenken, Rainbowtables und Wörterbuchangriffe beachten, mitdenken und selbstständig ändern. Danke.
Es gibt auch - oder ich bin blind? - keine Rubrik für die Diskussion solcher Missstände.

// nebenbei werden Beiträge eines Benutzers Namens "swordfish" auch unter meinen Beiträgen und Themen angezeigt. Case sensitivity wäre ein Hit. Link zum nachvollziehen: https://www.1000steine.de...=81303&forum_all=y


Bei der Bank reichen 4 Stellen bei nur 10 möglichen Zeichen ...


Moderationstool "Das Team entscheidet"


Seeteddy
18.08.2020, 17:38

Als Antwort auf den Beitrag von riepichiep

+3Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

riepichiep hat geschrieben:


Bei der Bank reichen 4 Stellen bei nur 10 möglichen Zeichen ...

... da geht's ja auch nur um Geld!


In Internetforen wimmelt es nur so von fehlerhaften Zitaten.

Johann Wolfgang von Goethe


Thekla , sachsi , SirJoghurt gefällt das


stephanderheld
18.08.2020, 18:52

Als Antwort auf den Beitrag von riepichiep

+2Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

riepichiep hat geschrieben:


Bei der Bank reichen 4 Stellen bei nur 10 möglichen Zeichen ...


Tatsächlich gehen bei paypal auch nur maximal 20 Zeichen, da war ich doch ein wenig erschrocken.


Allerdings ist zu sicher auch nicht so toll. Ich hab es mal mit 256 Stellen versucht, aber allein die Eingabe hat jedesmal 15-20 Minuten gedauert, das kann es doch auch nicht sein.


Am sichersten ist aber immer noch, sich nicht auf Trolle einzulassen. Ich bin mir sicher daß "Swordfish" ein Deckname ist, jedenfalls klingelt das was bei mir im Hinterstübchen.
So unhöflich wie der Urspungspost daherkommt, kann das doch auch unmöglich ein richtiger User sein? Und dann diese verdeckten Hinweise. Wer ist denn dieser "tote Ernst" von dem das gesprochen wird? Mysteriös, mylenniumös, um nicht zu sagen ENIGMAtisch......


Gruß
Stephan

Evolution ist gnadenlos. Wenn wir unser Gehirn nicht gebrauchen, nimmt es uns die Natur wieder weg


Thekla , sachsi gefällt das


p1ddly
19.08.2020, 12:39

Als Antwort auf den Beitrag von stephanderheld

Re: Passwortkomplexität und keine Rubrik für Anmerkungen zur Web-Application.

stephanderheld hat geschrieben:

riepichiep hat geschrieben:

Bei der Bank reichen 4 Stellen bei nur 10 möglichen Zeichen ...


Tatsächlich gehen bei paypal auch nur maximal 20 Zeichen, da war ich doch ein wenig erschrocken.


Allerdings ist zu sicher auch nicht so toll. Ich hab es mal mit 256 Stellen versucht, aber allein die Eingabe hat jedesmal 15-20 Minuten gedauert, das kann es doch auch nicht sein.


Am sichersten ist aber immer noch, sich nicht auf Trolle einzulassen. Ich bin mir sicher daß "Swordfish" ein Deckname ist, jedenfalls klingelt das was bei mir im Hinterstübchen.
So unhöflich wie der Urspungspost daherkommt, kann das doch auch unmöglich ein richtiger User sein? Und dann diese verdeckten Hinweise. Wer ist denn dieser "tote Ernst" von dem das gesprochen wird? Mysteriös, mylenniumös, um nicht zu sagen ENIGMAtisch......


Bei einer maximalen Passwortlänge würde ich auch skeptisch werden, eben weil sie gehasht werden und was da am Ende rauskommt hat immer die gleiche Länge. Wodurch die Limitierung eigentlich keinen Sinn macht. Es sei denn man hasht eben nicht...