Passwortrichtlinien, was tun und was nicht?
Vor kurzem bin ich wieder auf das leidige Problem „Passwortrichtlinien“ gekommen.
Erster Punkt: Xing
Das Minimum für das Passwort bei Xing beträgt 4 Zeichen. Von einer Pflicht, doch mindestens eine Zahl oder ein Sonderzeichen oder Großbuchstaben zu verwenden weit entfernt. Ist das nicht eine Einladung für Hacker/Cracker?
Zweiter Punkt: NGZ
Bei NGZ habe ich einen Account, um den Rootserver eines Bekannten zu administrieren. Immerhin können dort zusätzliche Accounts eingerichtet werden, und der Besitzer muss nicht seinen Login weitergeben. Allerdings wurde mir bei Benutzung der „Passwort vergessen“ Funktion mein Original Passwort per Email zugesandt! Sprich, Passwörter stehen dort im Klartext in der Datenbank, und sie werden in unverschlüsselten E-Mails durch das Internet geschickt und wohlmöglich von einigen per unverschlüsseltem WLAN abgeholt. Dann nützt auch https nichts für die Webseite.
Dritter Punkt: Sparkasse
Ich weiß ja nicht wie es bei euch ist, aber bei meiner Sparkasse muss man ein exakt 5-stelliges Passwort angeben. Das schränkt die Möglichkeiten sehr stark ein und ein wirklich sicheres Passwort ist damit nicht möglich. Selbst die Sonderzeichen sind auf öäüÖÄÜß beschränkt, warum nicht die anderen Sonderzeichen wie ()$%#+ usw? Warum zum Teufel tut das eine Bank?
Wie lauten eure Passwortrichtlinien, privat oder beruflich? Welche Schranken haltet ihr für zu niedrig und welche sind evtl. auch zu hoch? Wie speichert ihr Passwörter in der Datenbank, im Klartext, MD5/SHA1 gehasht, mit Salt oder ohne, oder sogar mehrfach gehasht? Welche „Passwort-vergessen“ Funktionalität haltet ihr für sinnig und welche für sinnlos bzw. sogar gefährlich?
Echt jetzt?
bcrypt meinst Du?
Oliver
14 Sep 12 at 21:07
Ich nenne es immer Einweg Hash mit crypt (PHP) nach Blowfish Algorithmus.
Hmm bcrypt kann man auch sagen wie auch immer.
„bcrypt is a key derivation function for passwords designed by Niels Provos and David Mazières, based on the Blowfish cipher, and presented at USENIX in 1999“
http://php.net/manual/de/function.crypt.php
„CRYPT_BLOWFISH – Blowfish-Hash mit 22-Zeichen-Salt folgenden Aufbaus: „$2a$“, gefolgt von einem zweistelligen Kostenparameter, einem weiteren „$“, und 22 Zahlen des Alphabets „./0-9A-Za-z“. Bei Nutzung eines ungültigen Zeichens gibt crypt() einen leeren String zurück. Der zweistellige Kostenparameter ist der binäre Logarithmus der Iterationsanzahl und muss im Bereich von 04-31 liegen. Bei Nutzung von Werten außerhalb dieses Bereichs schlägt crypt() fehl.“
ECMA-262 3rd
20 Sep 12 at 21:57
„Mindestens 8, maximal 14 Zeichen lang.“
Bezieht sich eher auf Intranet Anwendungen.
ECMA-262 3rd
20 Sep 12 at 21:59
HeyHey,
Also bei mir in der Firma haben wir derzeit folgenden Standart:
min 8 Zeichen, Groß- und KleinBS pflicht, ebenso eine Zahl. Wahlweise Sonderzeichen, Länge beliebig.
Beim Registrieren wird ein ZufallsPW als Mail gesendet, welches beim ersten Anmelden geändert werden muss.
Nach 3x falsches PW muss sich ein neues ZufallsPW geschickt werden lassen. Ebenfalls zu ändern beim nächsten LogIn.
In der DB stehen die Daten mit crypt() gehasht, da liegt es also am Kunden, welchen Server er einsetzt.
Für gewöhnlich haben unsere Kunden auch SSL-Zertifikate, wenn nicht, aus welchen Gründen auch immer, wird jCryption eingesetzt, um ein mindestmaß an Sicherheit zu ermöglichen.
Das dafür JavaScript erfolderlich ist, spielt keine Rolle, da sie Software eh auf entsprechenden Frameworks basiert.
UU werden wir an dem Standart in Zukunft noch etwas feilen, mal sehen.
Ein paar gute Ideen waren ja hier schon zu lesen^^
SiMoeBoe
7 Jan 13 at 00:49