Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Entwicklertagebuch: Passwortsicherheit (Update)

Information Off Topic Administrator.de Feedback

Mitglied: admtech

admtech (Level 2) - Jetzt verbinden

16.06.2016, aktualisiert 17.06.2016, 2219 Aufrufe, 22 Kommentare, 2 Danke

Hallo Administrator User,

Mit dem aktuellen Release haben wir die Bedingungen für ein besseres Passwort beim 'Passwort ändern' aktualisiert. Wie gut ein Passwort ist, zeigt der neue Live-Indikator im Formular. Wir haben dazu die 150 schlimmsten/dümmsten/einfachsten Passwörter der letzten 5 Jahre als Blacklist hinzugefügt. Zusätzlich wurde die Mindestlänge des Passworts auf 8 Zeichen gesetzt (vorher 6 Zeichen).

Beinhaltet ein Passwort jetzt z.B. 'test123' teilt der Live-Indikator dem User unmissverständlich mit, was er davon hält
Passwörter wie z.B. '111111' oder 'Password1!' etc. sind ab sofort nicht mehr möglich.

Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen.

Ich persönlich bin der Meinung, das ein gutes Passwort auch ein guter Schutz für die Daten unserer Users ist. Zusätzlich verschlüsseln wir natürlich die Passwörter und weitere Daten intern mit den aktuell höchsten Standards.

P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist

Gruß
Frank
Mitglied: tomolpi
16.06.2016 um 18:31 Uhr
Was lustig ist: "ichbineinadmin" ist schlecht, aber "ichbineinadmi" schon niedrig
Bitte warten ..
Mitglied: admtech
16.06.2016, aktualisiert 17.06.2016
Hi,

"ichbineinadmin" ist auf der Blacklist und daher direkt "schlecht", bei "ichbineinadmi" rechnet er es nach den gesetzten Bedingungen aus. Daher gibt es einen Unterschiede in der Bewertung. Aber du hast schon recht, dass sieht unschön aus und wird korrigiert.

Gruß
Frank
Bitte warten ..
Mitglied: 129413
16.06.2016, aktualisiert 17.06.2016
Und
scheißeichhabmeinpasswortvergessen
läuft unter sehr gut

Ich glaube jeder sollte selber entscheiden wie wichtig ihm sein Account hier ist, dementsprechend kann er sein Passwort wählen. So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.

Gruß Skybird
Bitte warten ..
Mitglied: admtech
17.06.2016, aktualisiert um 14:42 Uhr
Hi abgemeldeter Skybird,

bis auf die Blacklist prüfen wir die einzelnen Wörter im Passwort nicht. Bei "scheißeichhabmeinpasswortvergessen" ist das "ß" ein Sonderzeichen und die Länge des Passwort ist recht gut. Allerdings gab es tatsächlich noch einen Fehler in unserem Algorithmus, der nun behoben ist. Warum du dich jetzt abgemeldet hast, ist mir allerdings ein Rätsel. Auch ist die Anpassung an einen Algorithmus für ein gutes Passwort ein fließender Prozess, niemand ist da fehlerfrei. Der Algorithmus wird auch in Zukunft immer weiter verbessert werden.

Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen. Mit dem aktuellen Release habe ich zusätzlich die Mindestlänge des Passworts auf 8 Zeichen gesetzt.

So eine Anzeige ist meines Erachtens dann nur für absolute DAUs eine Hilfe mehr aber auch nicht.

Natürlich ist die Anzeige des Indikators lediglich ein Hilfsmittel um unsere Passwortrichtlinien so einfach wie möglich zu visualisieren. Dahinter steckt ein Algorithmus und ein Punktesystem. Was sonst?

@tomolpi Der Fehler mit "ichbineinadmi" und "ichbineinadmin" wurde behoben.

Gruß
Frank
Bitte warten ..
Mitglied: Penny.Cilin
17.06.2016 um 07:37 Uhr
Hallo Frank,

mal ein Frage:
Ist es möglich die Passwortsicherhet anzuzein, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.

Ja, ich gehe mal davon aus, daß mein Passwort sicher ist. Es wäre zumindest vorteilhaft, wenn man dies auf der Einstellungsseite angezeigt bekommt, damit man danach entscheiden kann, JA ich ändere mein Passwort.


Gruss Penny.
Bitte warten ..
Mitglied: tomolpi
17.06.2016 um 09:31 Uhr
Hmm ich bekomme das angezeigt, meine Stärke ist "hoch"...
Bitte warten ..
Mitglied: KMUlife
17.06.2016 um 10:28 Uhr
Hi Frank

Find ich gut! Weiter so!


Zitat von admtech:
P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist

Gruß
Frank

Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Bitte warten ..
Mitglied: colinardo
17.06.2016, aktualisiert um 11:10 Uhr
Zitat von KMUlife:
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?
Dann solltest du dir unbedingt mal das berühmte War Games anschauen
https://de.wikipedia.org/wiki/WarGames_%E2%80%93_Kriegsspiele

Nachdem die AMIs anscheinend heutzutage wirklich noch 8 Zoll Disketten in dem Bereich verwenden, könnte man den Film tatsächlich noch für aktuell halten

Grüße Uwe
Bitte warten ..
Mitglied: admtech
17.06.2016 um 14:52 Uhr
Joshua... warum das? Ist das ein Oft gebrauchtes PW?^^ Noch nie davon gehört, oder steh ich jetzt auf dem Schlauch?

uhh, daran merke ich mal wieder, dass ich alt geworden bin. In meiner Jugend war "Wargames" der Film zum Thema Computer, Hacker und Sicherheit. "Joshua" war das Passwort womit der jugendliche Hacker David L. Lightman (gespielt von Matthew Broderick) ins Norad-System kam. Es verschaffte sich Zugriff auf das W.O.P.R. System (War Operation Plan Response) und startete spielerisch beinahe den 3 Weltkrieg. So schnell kann es gehen ...

Schaut ihn Euch mal an, er ist immer noch sehenswert (wenn auch ein wenig veraltet) und hat eine ganze Genreration beeinflusst.

Gruß
Frank
Bitte warten ..
Mitglied: KMUlife
17.06.2016 um 16:00 Uhr
Haha sorry Frank

Danke euch für die Filmempfehlung, werde mir den mal anschauen.^^

Eigentlich komisch das wir den nicht während unserer Ausbildung geschaut haben, TRON (1982) sowie "Warriors of the Net" haben wir auch 3mal geschaut .
Bitte warten ..
Mitglied: admtech
17.06.2016 um 16:44 Uhr
Zitat von Penny.Cilin:
Ist es möglich die Passwortsicherhet anzusehen, OHNE daß an das Passwort ändert
Somit bekommt der Nutzer einen Hinweis, wie sicher sein Passwort ist.

Hi Penny,

klar, in der Übersicht für die Einstellungen (Mitgliedermenü -> Einstellungen) steht im Bereich "Passwort und Loginverhalten ändern" die aktuelle Passwortstärke. Ich habe aber mit dem aktuellen Release die bisherige Passwortstärke zusätzlich noch zur Seite "Passwort ändern" hinzugefügt. Sie erscheint neben der Aufforderung fürs altes Passwort.

Gruß
Frank
Bitte warten ..
Mitglied: pelzfrucht
17.06.2016 um 18:03 Uhr
Hi,

unbenannt - Klicke auf das Bild, um es zu vergrößern

Speichert der auch eine "Passwort Historie"?

Bei mir wird für das aktuell vergebene Passwort "Hoch" angezeigt,
wenn ich aber exakt das gleiche Passwort nochmal in das 'Neu' Feld eingebe mag er es nur noch als
Normal ansehen.

Warum?

Viele Grüße
pelzfrucht
Bitte warten ..
Mitglied: FA-jka
17.06.2016 um 18:51 Uhr
Hallo,

wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?

Freitag!

Gruß,
Jörg
Bitte warten ..
Mitglied: tomolpi
17.06.2016 um 22:35 Uhr
Zitat von FA-jka:

Hallo,

wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?

Du musst mehr trinken, noch heißt es da "sehr niedrig"
Bitte warten ..
Mitglied: pelzfrucht
17.06.2016 um 23:09 Uhr
Zitat von tomolpi:

Zitat von FA-jka:

Hallo,

wenn ich jetzt "Penis" als Passwort festlege - sagt der dann, dass mein Passwort zu kurz ist?

Du musst mehr trinken, noch heißt es da "sehr niedrig"

Och, ich denke.. Wenn man da am kleinen Teil sehr stark rüttelt, gibts plötzlich keine Grenze mehr nach oben
Bitte warten ..
Mitglied: admtech
17.06.2016 um 23:39 Uhr
Hallo @pelzfrucht,

Speichert der auch eine "Passwort Historie"?

Das Passwort selbst natürlich nicht, aber die Passwortstärke wurde gespeichert. Der Wert "hoch" wurde noch mit den alten Passwortregeln bewertet (und befindet sich in der DB), die neuen Regeln sind deutlich strenger und daher bekommt dein Passwort wahrscheinlich nicht mehr den gleichen Wert zugeordnet. Sorry, für die Verwirrung. Aktuell ist es wohl noch keine gute Idee, dort den alten Wert mit anzuzeigen. Ich nehme daher die Anzeige des alten Werts hier wieder raus.

Gruß
Frank
Bitte warten ..
Mitglied: Frank
27.06.2016 um 15:26 Uhr
Hi,

hier ein Grund warum man sein Passwort öffters mal ändern sollte:
http://www.heise.de/newsticker/meldung/Nutzerdaten-zum-Verkauf-Telekom- ...


Gruß
Frank
Bitte warten ..
Mitglied: FA-jka
27.06.2016 um 17:23 Uhr
Hallo,

die Frage ist allerdings, ob sich *hier* jemand die Mühe macht.

Für mich ist das Forum natürlich die tollste Sache der Welt. Aber was das Mißbrauchspotential angeht, gibt es m.Ea. Millionen lohnenderer Ziele...

Gruß,
Jörg
Bitte warten ..
Mitglied: Frank
27.06.2016 um 17:54 Uhr
Hi,

die Frage ist allerdings, ob sich *hier* jemand die Mühe macht

ich hatte es zwar schon mal in einem anderen Beitrag zum Thema geschrieben, aber ich liste es gerne noch einmal auf.

Du siehst das aus einer falschen Perspektive:

  • Denk mal an die User (und auch Admins) die das gleiche Passwort auch auf anderen Seiten verwenden. Sollten sie natürlich nicht machen, die Realität sieht aber anders aus
  • Wenn internen Nachricht, d.h. der Austausche mehrere IT-Pros veröffentlicht würden, wären das, je nach dem was ausgetauscht wurde, auch sehr brisant. Da kann alles drinstehen
  • Die E-Mail Adresse in Kombination mit dem Usernamen wird auch sehr oft auf mehreren Seiten benutzt. Ich denke weder dieser Zusammenhang, noch die E-Mail Adresse sollte frei verfügbar sein
  • Die Spammer, die Konten karpern nur um andere User hier auf der Seite zu ärgern
  • Die Wissensbeiträge, die verloren oder manipuliert werden, wenn jemand Fremdes sie übernehmen könnte. Wir haben Beiträge, die millionenfach aufgerufen wurden. IT-Wissen, dass dann verloren gehen würde. Wir sind nicht nur ein Forum.
  • Wir werden in Zukunft die internen Nachrichten weiter ausbauen und eine Verschlüsselung hinzufügen, wo wir selbst keinen Schlüssel speichern. Dann wird es noch interessanter für den Missbrauch
  • und, und, und ...

Gruß
Frank
Bitte warten ..
Mitglied: Henere
02.07.2016 um 03:54 Uhr
Hmmm, mal ne Frage dazu.... wie kann ein Algorhitmus ein bestehendes PW bewerten ? Werden diese nicht verschlüsselt in der DB abgelegt ?
Und einen Hash zu bewerten kann m.E. nach nicht sinnvoll sein.

Grüße, Henere
Bitte warten ..
Mitglied: admtech
02.07.2016, aktualisiert um 14:13 Uhr
Hi @Henere

wie kann ein Algorhitmus ein bestehendes PW bewerten

kann er nicht, die Bewertung erfolgt bei der Eingabe des Passworts und diese Bewertungszahl speichern wir in einem extra Feld. Das Passwort wird natürlich verschlüsselt gespeichert und kann von uns nicht eingesehen werden.

Gruß
Frank
Bitte warten ..
Mitglied: Augenadler
14.10.2016 um 11:32 Uhr
@FA-jka

gerade hier macht ein Angriff Sinn. Viele der User sind in der Administration tätig, haben Zugriff auf teils SEHR grosse Systeme bei KMUs und teils auch grossen Unternehmen. Infos von hier kann man dann wunderbar zum "weiterkommen" bei Social Engineering in genau den Unternehmen benutzen. Oder halt Systeme kapern und mit aggregierten mehreren GBit/s Spam rausschleudern.

zum Verkauf lohnen die paar 100k Adressen aber auch
Bitte warten ..
Ähnliche Inhalte
Administrator.de Feedback
Entwicklertagebuch: Passwortsicherheit
Information von admtechAdministrator.de Feedback30 Kommentare

Hallo Administrator User, mit dem heutigen Release erhöhen wir die Passwortsicherheit auf unserer Seite. Dazu haben wir die Einstellungen ...

Administrator.de Feedback
Entwicklertagebuch: Zitate, Text- und Codeblöcke
Information von admtechAdministrator.de Feedback8 Kommentare

Hi, heute habe ich ein paar sehr, sehr alte Fehler auf Administrator.de behoben. Sie stammen noch aus den Anfangszeiten ...

Administrator.de Feedback
Entwicklertagebuch: Unsere neue Suche
Information von admtechAdministrator.de Feedback2 Kommentare

Hallo Administrator User, mit dem Release 5.5 stellen wir eine komplett neue Suche online. Wir haben das Design und ...

Administrator.de Feedback
Entwicklertagebuch: Jobbörse überarbeitet
Information von admtechAdministrator.de Feedback4 Kommentare

Hallo Administrator User, mit Release 5.2 - haben wir unsere Jobbörse nicht nur optisch sondern auch intern komplett überarbeitet. ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 1 StundeVerschlüsselung & Zertifikate

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 12 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 14 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...