PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Passwortrestriktionen


toerb
12.02.2015, 11:20
Heyho,

ich nutz als Passwörter in der Regel > 70 Zeichen mit allen möglichen darstellbaren Asciizeichen. Die Registrierung hier im Forum funktioniert problemlos - einloggen kann ich mich danach nicht.

Mit dem neuen Passwort von der "Passwort vergessen" Funktion funktioniert der Login wieder. Jetzt nochmal auf langes Passwort gewechselt - geht wieder nicht.

Könnten vielleicht die Eingabefelder auf unzulässige Zeichen gecheckt werden oder einfach keine Restriktionen auf Passwörter gesetzt werden?

Viele Grüße,
toerb

DerPiet
12.02.2015, 11:32
Heyho,

ich nutz als Passwörter in der Regel > 70 Zeichen mit allen möglichen darstellbaren Asciizeichen. .....


ist das vielleicht ein wenig übertrieben ?
Vor allen für so etwas sicherheitskritisches wie einen Forenaccount

toerb
12.02.2015, 11:39
Mir geht es dabei großteils um Bequemlichkeit.
Aus meinem Passwortmanager fallen nun mal so lange Passwörter raus. Das zu ändern bedeutet für mich Aufwand.
Technisch sollten lange Passwörter auch kein Problem sein. Auch das Verbieten von bestimmten Zeichen ist heutzutage unsinnig.

Bambully
12.02.2015, 12:45
Hi,

Aus meinem Passwortmanager fallen nun mal so lange Passwörter rausdann sag doch deinem Passwort Manager einfach dass du weniger Zeichen möchtest.

Gruß

sulka
12.02.2015, 13:59
... meinem Passwortmanager ....

Feuern den Mann, sofort feuern.
Nur was man selber tut weiß man wie's gemacht ist.

:-)

toerb
12.02.2015, 16:24
Feuern den Mann, sofort feuern.
Nur was man selber tut weiß man wie's gemacht ist.

:-)

Verdammt, ich hab ihn sogar selber geschrieben ;)

Alles was ich vorgeschlagen hab: Werft diese Restriktionen ueber Bord oder checkt die Eingabefelder. Es ist sehr aergerlich, wenn ein Passwort bei der Registrierung angenommen wird, beim Login dieses aber nicht funktioniert.

cyclingjudge
12.02.2015, 16:35
Irgendwie blick ich es nicht?:confused:
Einerseits schreibst du, daß du Passwörter mit über 70 Zeichen nutzt, beschwerst dich aber, daß der von dir genutzte Paßwortmanager solch lange Paßwörter nicht unterstützt.
Dann scheint aber doch das Problem eher auf deiner Seite zu liegen, oder hab ich da jetzt was mißverstanden?
Davon ab: Paßwörter mit über 70 Zeichen?:eek:

toerb
12.02.2015, 17:05
Einerseits schreibst du, daß du Passwörter mit über 70 Zeichen nutzt, beschwerst dich aber, daß der von dir genutzte Paßwortmanager solch lange Paßwörter nicht unterstützt.

Nein, ich schreibe, dass ich nicht verstehe, wieso Laenge und Komplexitaet eines Passwortes so eingeschraenkt werden. Meine Passwoerter generiere ich aus einem Masterpasswort und einer zweiten Information, die von dem speziellen Login abhaengig ist.

Bei diesem Prozess fallen jetzt lange Passwoerter raus. Bei vielen Webseiten und Services ist das kein Problem.


Dann scheint aber doch das Problem eher auf deiner Seite zu liegen, oder hab ich da jetzt was mißverstanden?

Ja, ich will hier darauf hinweisen, dass das Forensystem einen Fehler enthaelt. Wenn lange und komplexe Passwoerter nicht gewollt sind, sollte das bei der Registrierung abgefangen werden.


Davon ab: Paßwörter mit über 70 Zeichen?:eek:

Ja. Warum sollten es weniger sein? Unter 20 ist schon seit einiger Zeit ziemlich gefaehrlich. Wenn ich mir jetzt den Aufwand mache, mehr als 20 Zeichen zu nehmen, was hindert mich dann daran noch einen Sicherheitspuffer von 50 Zeichen einzubauen? Merken kann und will ich mir die Passwoerter eh nicht.

Jahresprogramm
12.02.2015, 17:15
Ja. Warum sollten es weniger sein?

Hmm, eine Problem waren bis jetzt weniger die Passwörter der einzelnen Nutzer als die Sicherheitslücken der Anbieter. Wenn Daten geklaut wurden, dann Massenweise direkt vom Provider. Die Restlichen Attaken auf einzelne (private) Rechner und Accounts sind eher mittel zum Zweck um irgendwelche größere Sachen zu hacken...

Grüße
Alex

toerb
12.02.2015, 17:35
Hmm, eine Problem waren bis jetzt weniger die Passwörter der einzelnen Nutzer als die Sicherheitslücken der Anbieter. Wenn Daten geklaut wurden, dann Massenweise direkt vom Provider. Die Restlichen Attaken auf einzelne (private) Rechner und Accounts sind eher mittel zum Zweck um irgendwelche größere Sachen zu hacken...

Das stimmt natuerlich. Der Hauptzweck an meinem System ist fuer jeden Login ein anderes Passwort zu haben, ohne sie irgendwo zu speichern (auch nicht verschluesselt) und sie mir nicht merken zu muessen.

Die Laenge liegt am Schluss an der Laenge der SHA512 Hashes in base91 (wie base64 nur mit 91 moeglichen Zeichen). Solltest du Interesse haben, das mal anzuschauen, findest du es unter http://toerb.github.io/batagur/.

Gruß

Jahresprogramm
12.02.2015, 17:43
Die Laenge liegt am Schluss an der Laenge der SHA512 Hashes in base91 (wie base64 nur mit 91 moeglichen Zeichen). Solltest du Interesse haben, das mal anzuschauen, findest du es unter http://toerb.github.io/batagur/.

Das System gefällt mir! Hast Du da weitere Infos...

Leider mögen viele Anbieter zu lane Passwörter nicht und beschränken die Passwortlänge auf z.B. 12 Zeichen :kotz:

Grüße
Alex

toerb
12.02.2015, 18:04
Leider mögen viele Anbieter zu lane Passwörter nicht und beschränken die Passwortlänge auf z.B. 12 Zeichen :kotz:

Vor allem bei solchen Plattformen wie Ebay oder Paypal (beide max. 20 Zeichen und Einschränkung bei den Sonderzeichen). :aufreg:

Das System gefällt mir! Hast Du da weitere Infos...

Klar, dafür mach ich aber lieber mal einen neuen Thread im Off-Topic auf.

Viele Grüße,
toerb

arno¹
12.02.2015, 22:53
Ja. Warum sollten es weniger sein? Unter 20 ist schon seit einiger Zeit ziemlich gefaehrlich.
ich wüsste jetzt nicht wirklich wie du ein nur sechsziffriges passwort hier in diesem hoch sicherheitsrelevanten forum irgendwie hacken könntest

buebo
13.02.2015, 16:54
ich wüsste jetzt nicht wirklich wie du ein nur sechsziffriges passwort hier in diesem hoch sicherheitsrelevanten forum irgendwie hacken könntest

Bruteforce.

Darum geht es dem OP aber gar nicht. Der valide Punkt ist doch eigentlich der Fehler in der Benutzerführung.

Abgesehen davon wäre es doch durchaus eine Idee den Manager um ein paar Optionen zur Generierung zu erweitern. Spontan würden mir da Host-Spezifische Settings z.B. keine Sonderzeichen, keine Umlaute, Keine Groß-Kleinschreibung, mindestens n Großbuchstaben, mindestens n Zahlen usw. usf. einfallen.

arno¹
13.02.2015, 16:55
bf bei ner website, die bei dreimaligem falschen eingeben sperrt

ok?

buebo
13.02.2015, 19:18
bf bei ner website, die bei dreimaligem falschen eingeben sperrt

ok?

Gut, du hast den größeren.

Darum geht's aber doch überhaupt nicht. Ok?

arno¹
13.02.2015, 19:24
nein mir (als admin) gings nur um beruhigung bzw dass hier in diesem kleinen grünen forum auch ein kurzes zb sechsziffriges passwort sicher ist