Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Entwicklertagebuch: Passwortsicherheit (Update)

Mitglied: admtech

admtech (Level 2) - Jetzt verbinden

16.06.2016, aktualisiert 17.06.2016, 2320 Aufrufe, 22 Kommentare, 2 Danke

Hallo Administrator User,

Mit dem aktuellen Release haben wir die Bedingungen für ein besseres Passwort beim 'Passwort ändern' aktualisiert. Wie gut ein Passwort ist, zeigt der neue Live-Indikator im Formular. Wir haben dazu die 150 schlimmsten/dümmsten/einfachsten Passwörter der letzten 5 Jahre als Blacklist hinzugefügt. Zusätzlich wurde die Mindestlänge des Passworts auf 8 Zeichen gesetzt (vorher 6 Zeichen).

Beinhaltet ein Passwort jetzt z.B. 'test123' teilt der Live-Indikator dem User unmissverständlich mit, was er davon hält
Passwörter wie z.B. '111111' oder 'Password1!' etc. sind ab sofort nicht mehr möglich.

Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen.

Ich persönlich bin der Meinung, das ein gutes Passwort auch ein guter Schutz für die Daten unserer Users ist. Zusätzlich verschlüsseln wir natürlich die Passwörter und weitere Daten intern mit den aktuell höchsten Standards.

P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist

Gruß
Frank
Mitglied: tomolpi
16.06.2016 um 18:31 Uhr
Was lustig ist: "ichbineinadmin" ist schlecht, aber "ichbineinadmi" schon niedrig
Bitte warten ..
Mitglied: admtech
16.06.2016, aktualisiert 17.06.2016
Hi,

"ichbineinadmin" ist auf der Blacklist und daher direkt "schlecht", bei "ichbineinadmi" rechnet er es nach den gesetzten Bedingungen aus. Daher gibt es einen Unterschiede in der Bewertung. Aber du hast schon recht, dass sieht unschön aus und wird korrigiert.

Gruß
Frank
Bitte warten ..
Mitglied: 129413
16.06.2016, aktualisiert 17.06.2016
Und
scheißeichhabmeinpasswortvergessen
läuft unter sehr gut

Ich glaube jeder sollte selber entscheiden wie wichtig ihm sein Account hier ist, dementsprechend kann er sein Passwort wählen. So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.

Gruß Skybird
Bitte warten ..
Mitglied: admtech
17.06.2016, aktualisiert um 14:42 Uhr
Hi abgemeldeter Skybird,

bis auf die Blacklist prüfen wir die einzelnen Wörter im Passwort nicht. Bei "scheißeichhabmeinpasswortvergessen" ist das "ß" ein Sonderzeichen und die Länge des Passwort ist recht gut. Allerdings gab es tatsächlich noch einen Fehler in unserem Algorithmus, der nun behoben ist. Warum du dich jetzt abgemeldet hast, ist mir allerdings ein Rätsel. Auch ist die Anpassung an einen Algorithmus für ein gutes Passwort ein fließender Prozess, niemand ist da fehlerfrei. Der Algorithmus wird auch in Zukunft immer weiter verbessert werden.

Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen. Mit dem aktuellen Release habe ich zusätzlich die Mindestlänge des Passworts auf 8 Zeichen gesetzt.

So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.

Natürlich ist die Anzeige des Indikators lediglich ein Hilfsmittel um unsere Passwortrichtlinien so einfach wie möglich zu visualisieren. Dahinter steckt ein Algorithmus und ein Punktesystem. Was sonst?

@tomolpi Der Fehler mit "ichbineinadmi" und "ichbineinadmin" wurde behoben.

Gruß
Frank
Bitte warten ..
Mitglied: Penny.Cilin
17.06.2016 um 07:37 Uhr
Hallo Frank,

mal ein Frage:
Ist es möglich die Passwortsicherhet anzuzein, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.

Ja, ich gehe mal davon aus, daß mein Passwort sicher ist. Es wäre zumindest vorteilhaft, wenn man dies auf der Einstellungsseite angezeigt bekommt, damit man danach entscheiden kann, JA ich ändere mein Passwort.


Gruss Penny.
Bitte warten ..
Mitglied: tomolpi
17.06.2016 um 09:31 Uhr
Hmm ich bekomme das angezeigt, meine Stärke ist "hoch"...
Bitte warten ..
Mitglied: KMUlife
17.06.2016 um 10:28 Uhr
Hi Frank

Find ich gut! Weiter so!


Zitat von admtech:
P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist

Gruß
Frank

Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Bitte warten ..
Mitglied: colinardo
17.06.2016, aktualisiert um 11:10 Uhr
Zitat von KMUlife:
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Dann solltest du dir unbedingt mal das berühmte War Games anschauen
https://de.wikipedia.org/wiki/WarGames_%E2%80%93_Kriegsspiele

Nachdem die AMIs anscheinend heutzutage wirklich noch 8 Zoll Disketten in dem Bereich verwenden, könnte man den Film tatsächlich noch für aktuell halten

Grüße Uwe
Bitte warten ..
Mitglied: admtech
17.06.2016 um 14:52 Uhr
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?

uhh, daran merke ich mal wieder, dass ich alt geworden bin. In meiner Jugend war "Wargames" der Film zum Thema Computer, Hacker und Sicherheit. "Joshua" war das Passwort womit der jugendliche Hacker David L. Lightman (gespielt von Matthew Broderick) ins Norad-System kam. Es verschaffte sich Zugriff auf das W.O.P.R. System (War Operation Plan Response) und startete spielerisch beinahe den 3 Weltkrieg. So schnell kann es gehen ...

Schaut ihn Euch mal an, er ist immer noch sehenswert (wenn auch ein wenig veraltet) und hat eine ganze Genreration beeinflusst.

Gruß
Frank
Bitte warten ..
Mitglied: KMUlife
17.06.2016 um 16:00 Uhr
Haha sorry Frank

Danke euch für die Filmempfehlung, werde mir den mal anschauen.^^

Eigentlich komisch das wir den nicht während unserer Ausbildung geschaut haben, TRON (1982) sowie "Warriors of the Net" haben wir auch 3mal geschaut .
Bitte warten ..
Mitglied: admtech
17.06.2016 um 16:44 Uhr
Zitat von Penny.Cilin:
Ist es möglich die Passwortsicherhet anzusehen, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.

Hi Penny,

klar, in der Übersicht für die Einstellungen (Mitgliedermenü -> Einstellungen) steht im Bereich "Passwort und Loginverhalten ändern" die aktuelle Passwortstärke. Ich habe aber mit dem aktuellen Release die bisherige Passwortstärke zusätzlich noch zur Seite "Passwort ändern" hinzugefügt. Sie erscheint neben der Aufforderung fürs altes Passwort.

Gruß
Frank
Bitte warten ..
Mitglied: pelzfrucht
17.06.2016 um 18:03 Uhr
Hi,

unbenannt - Klicke auf das Bild, um es zu vergrößern

Speichert der auch eine "Passwort Historie"?

Bei mir wird für das aktuell vergebene Passwort "Hoch" angezeigt,
wenn ich aber exakt das gleiche Passwort nochmal in das 'Neu' Feld eingebe mag er es nur noch als
Normal ansehen.

Warum?

Viele Grüße
pelzfrucht
Bitte warten ..
Mitglied: FA-jka
17.06.2016 um 18:51 Uhr
Hallo,

wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?

Freitag!

Gruß,
Jörg
Bitte warten ..
Mitglied: tomolpi
17.06.2016 um 22:35 Uhr
Zitat von FA-jka:

Hallo,

wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?

Du musst mehr trinken, noch heißt es da "sehr niedrig"
Bitte warten ..
Mitglied: pelzfrucht
17.06.2016 um 23:09 Uhr
Zitat von tomolpi:

Zitat von FA-jka:

Hallo,

wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?

Du musst mehr trinken, noch heißt es da "sehr niedrig"

Och, ich denke.. Wenn man da am kleinen Teil sehr stark rüttelt, gibts plötzlich keine Grenze mehr nach oben
Bitte warten ..
Mitglied: admtech
17.06.2016 um 23:39 Uhr
Hallo @pelzfrucht,

Speichert der auch eine "Passwort Historie"?

Das Passwort selbst natürlich nicht, aber die Passwortstärke wurde gespeichert. Der Wert "hoch" wurde noch mit den alten Passwortregeln bewertet (und befindet sich in der DB), die neuen Regeln sind deutlich strenger und daher bekommt dein Passwort wahrscheinlich nicht mehr den gleichen Wert zugeordnet. Sorry, für die Verwirrung. Aktuell ist es wohl noch keine gute Idee, dort den alten Wert mit anzuzeigen. Ich nehme daher die Anzeige des alten Werts hier wieder raus.

Gruß
Frank
Bitte warten ..
Mitglied: Frank
27.06.2016 um 15:26 Uhr
Hi,

hier ein Grund warum man sein Passwort öffters mal ändern sollte:
http://www.heise.de/newsticker/meldung/Nutzerdaten-zum-Verkauf-Telekom- ...


Gruß
Frank
Bitte warten ..
Mitglied: FA-jka
27.06.2016 um 17:23 Uhr
Hallo,

die Frage ist allerdings, ob sich *hier* jemand die Mühe macht.

Für mich ist das Forum natürlich die tollste Sache der Welt. Aber was das Mißbrauchspotential angeht, gibt es m.Ea. Millionen lohnenderer Ziele...

Gruß,
Jörg
Bitte warten ..
Mitglied: Frank
27.06.2016 um 17:54 Uhr
Hi,

die Frage ist allerdings, ob sich *hier* jemand die Mühe macht

ich hatte es zwar schon mal in einem anderen Beitrag zum Thema geschrieben, aber ich liste es gerne noch einmal auf.

Du siehst das aus einer falschen Perspektive:

  • Denk mal an die User (und auch Admins) die das gleiche Passwort auch auf anderen Seiten verwenden. Sollten sie natürlich nicht machen, die Realität sieht aber anders aus
  • Wenn internen Nachricht, d.h. der Austausche mehrere IT-Pros veröffentlicht würden, wären das, je nach dem was ausgetauscht wurde, auch sehr brisant. Da kann alles drinstehen
  • Die E-Mail Adresse in Kombination mit dem Usernamen wird auch sehr oft auf mehreren Seiten benutzt. Ich denke weder dieser Zusammenhang, noch die E-Mail Adresse sollte frei verfügbar sein
  • Die Spammer, die Konten karpern nur um andere User hier auf der Seite zu ärgern
  • Die Wissensbeiträge, die verloren oder manipuliert werden, wenn jemand Fremdes sie übernehmen könnte. Wir haben Beiträge, die millionenfach aufgerufen wurden. IT-Wissen, dass dann verloren gehen würde. Wir sind nicht nur ein Forum.
  • Wir werden in Zukunft die internen Nachrichten weiter ausbauen und eine Verschlüsselung hinzufügen, wo wir selbst keinen Schlüssel speichern. Dann wird es noch interessanter für den Missbrauch
  • und, und, und ...

Gruß
Frank
Bitte warten ..
Mitglied: Henere
02.07.2016 um 03:54 Uhr
Hmmm, mal ne Frage dazu.... wie kann ein Algorhitmus ein bestehendes PW bewerten ? Werden diese nicht verschlüsselt in der DB abgelegt ?
Und einen Hash zu bewerten kann m.E. nach nicht sinnvoll sein.

Grüße, Henere
Bitte warten ..
Mitglied: admtech
02.07.2016, aktualisiert um 14:13 Uhr
Hi @Henere

wie kann ein Algorhitmus ein bestehendes PW bewerten

kann er nicht, die Bewertung erfolgt bei der Eingabe des Passworts und diese Bewertungszahl speichern wir in einem extra Feld. Das Passwort wird natürlich verschlüsselt gespeichert und kann von uns nicht eingesehen werden.

Gruß
Frank
Bitte warten ..
Mitglied: Augenadler
14.10.2016 um 11:32 Uhr
@FA-jka

gerade hier macht ein Angriff Sinn. Viele der User sind in der Administration tätig, haben Zugriff auf teils SEHR grosse Systeme bei KMUs und teils auch grossen Unternehmen. Infos von hier kann man dann wunderbar zum "weiterkommen" bei Social Engineering in genau den Unternehmen benutzen. Oder halt Systeme kapern und mit aggregierten mehreren GBit/s Spam rausschleudern.

zum Verkauf lohnen die paar 100k Adressen aber auch
Bitte warten ..
Ähnliche Inhalte
Administrator.de Feedback
Entwicklertagebuch: Passwortsicherheit
Information von admtechAdministrator.de Feedback30 Kommentare

Hallo Administrator User, mit dem heutigen Release erhöhen wir die Passwortsicherheit auf unserer Seite. Dazu haben wir die Einstellungen ...

Administrator.de Feedback
Entwicklertagebuch: Alles zentriert
Information von admtechAdministrator.de Feedback19 Kommentare

Hallo Administrator User, die größte Änderung im Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein ...

Administrator.de Feedback

Entwicklertagebuch: Zitate, Text- und Codeblöcke

Information von admtechAdministrator.de Feedback8 Kommentare

Hi, heute habe ich ein paar sehr, sehr alte Fehler auf Administrator.de behoben. Sie stammen noch aus den Anfangszeiten ...

Administrator.de Feedback

Entwicklertagebuch: Unsere neue Suche

Information von admtechAdministrator.de Feedback2 Kommentare

Hallo Administrator User, mit dem Release 5.5 stellen wir eine komplett neue Suche online. Wir haben das Design und ...

Neue Wissensbeiträge
Windows Server
DP mit Benutzerdatenträger und VDS-SAN-policy
Tipp von lcer00 vor 3 StundenWindows Server

Hallo zusammen, ich habe gerade einen halben Tag mit Recherche zu dem Thema hinter mir und endlich ein Ergebnis. ...

Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 3 TagenInternet9 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 5 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 6 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Sophos UTM 110 120 in Betrieb nehmen und IP Adresse am Cisco Switch herausfinden
Frage von KabuntelLAN, WAN, Wireless11 Kommentare

Hallo, ich mache in Rahmen meiner Umschulung zum Fachinformatiker - Systemintegration ein Praktikum. Gestern hat mir mein Chef gleich ...

DSL, VDSL
886VA und VDSL 50
Frage von agent00nixDSL, VDSL9 Kommentare

Ich bekomme nicht die vertraglich vereinbarten 50 Mbit/s US sondern nur 15 Mbit/s Was mache ich falsch ? Hier ...

Switche und Hubs
VPN Router empfehlung
Frage von mstSwitche und Hubs9 Kommentare

Moin Leute ich hab mal eine Frage an die VPN und Netzwerkprofis unter euch. Folgendes Szenario, ich habe einen ...

Firewall
Firewall Vorteil und Nachteil
gelöst Frage von vegeta500Firewall7 Kommentare

Hallo , ich habe eine Fragen (Theoretische), Welches Sicherheitsproblem kann eine gewöhnliche Firewall nicht lösen