Zum Inhalt wechseln


Foto

Extrem unsicheres Ersatz-Passwort

Passwort Passwörter Sicherheit

  • Please log in to reply
2 Antworten in diesem Thema

#1 Enigma

Enigma

    Neu bei uns

  • Mitglieder
  • PIP
  • 2 Beiträge

Geschrieben 30 Dezember 2015 - 01:18

Hallo,

 

gerade habe ich eine Lizenz verlängert und vorher ein neues Passwort angefordert, da ich keines in meinem Passwort-Safe finden konnte.

 

Das zugesendete Passwort bestand aus fünf Zeichen (Groß- und Kleinbuchstaben sowie eine Ziffer). Nach der Anmeldung mit den zugesendeten Daten wurde ich nicht aufgefordert, das Passwort zu ändern (was ich natürlich trotzdem sofort getan habe); auch in der E-Mail stand kein Wort davon, obwohl in der Mail - die leicht mitgelesen werden kann - sogar zusätzlich noch die Kundennummer, die auch als Benutzername fungiert, genannt wurde.

 

"Passwort Depot" schätzt die Zeit, um das Passwort zu knacken, auf weniger als 1 Sekunde, und ich denke, das dürfte recht nah an der Wahrheit liegen. Für dieses Forum liegt das Minimum sogar bei nur drei Zeichen...

 

Ich denke, ein paar Sicherheitsaspekte sollten doch noch mal überdacht werden... ;)

 

Gruß,

Jan



#2 AStroebel (ASCOMP)

AStroebel (ASCOMP)

    Administrator

  • Admin
  • PIPPIPPIPPIPPIPPIP
  • 5.559 Beiträge
  • Gender:Male

Geschrieben 30 Dezember 2015 - 01:30

Hallo,

 

ein automatisiert zugesendetes Passwort sollte IMMER direkt geändert werden. Da viele Anwender das Passwort manuell eingeben, haben wir uns seinerzeit für ein kurzes Passwort entschieden.

 

Wir arbeiten derzeit auch an einer neuen Website, hier wird der Sicherheitsaspekt dann auch nochmals mehr im Vordergrund stehen. Es gilt aber unabhängig davon IMMER, dass man automatisch generierte Passwörter von Websites sofort ändern sollte.


Viele Gruesse / Best regards

Andreas Stroebel, ASCOMP Software GmbH

#3 Enigma

Enigma

    Neu bei uns

  • Mitglieder
  • PIP
  • 2 Beiträge

Geschrieben 30 Dezember 2015 - 05:28

Es ist gut, dass Sie und ich das wissen, aber meine langjährigen Erfahrungen als Webentwickler zeigen leider, dass trotz der vielen Meldungen über erfolgreiche Angriffe auf Server und auch private Rechner bei Benutzern leider kein wirklich tiefsitzendes Bewusstsein für diese Dinge vorliegt. Die Listen der meistgenutzten Passwörter (siehe z. B. http://www.passwordr...pular-passwords) bestätigen das eindrucksvoll.

 

Es wird daher auch im Jahr 2016 noch nötig sein, die Benutzer entsprechend auf solche Dinge hinzuweisen und am besten sogar automatisch zur korrekten Stelle zu geleiten (Login mit zurückgesetztem Passwort => Weiterleiitung zur Seite, auf der das Passwort geändert werden kann, inkl. deutlichem Hinweis darauf, dass das notwendig ist). Oder man ordnet gar nicht selbst ein Passwort zu, sondern ermöglicht dem Benutzer, dies beim Rücksetzungsprozess direkt selbst zu wählen. Zudem sollte das System zu kurze Passwörter gar nicht erst annehmen.

 

Ich verstehe das Bemühen, es dem Kunden leicht zu machen, durchaus, aber ein paar mehr Zeichen einzutippen ist da IMHO das kleinere Übel. Wenn ich bedenke, dass das Forum wie gesagt Passwörter mit einer Länge von drei Zeichen zulässt, dafür aber ein CAPTCHA eingesetzt wird, bei dem zumindest ich drei Anläufe gebraucht habe, bis der Code korrekt war (wobei ich sogar die am schlechtesten lesbaren direkt übersprungen habe), stimmt da etwas in der Setzung der Prioritäten nicht ganz - das war nämlich ganz und gar nicht bequem und an der Stelle nicht mal übermäßig sicherheitsrelevant.  ;)

 

Ich begrüße es sehr, dass der Sicherheitsaspekt bei der in der Entwicklung befindlichen Website stärker berücksichtigt wird. Das genügt mir als Antwort auch - ich wollte keine ellenlange Besserwisser-Diskussion vom Zaun brechen.  ;)

 

In dem Sinne: Ich wünsche Ihnen einen guten Rutsch ins neue Jahr!

 

Gruß,

Jan






Besucher die dieses Thema lesen: 0

Mitglieder: 0, Gäste: 0, unsichtbare Mitglieder: 0