Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter + Have-I-Been-Pwned  [GELÖST]

Locked
User avatar
Jolinar
Community Moderator
Posts: 4004
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:
Contact Jolinar

Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter + Have-I-Been-Pwned

Post by Jolinar »

Diese Option in den Paßwortrichtlinien finde ich grundsätzlich erstmal sehr gut. So werden die Leute motiviert, vernünftige Paßwörter zu verwenden.

Nun könnte ich mir allerdings vorstellen, dieses Sicherheitsfeature noch weiter "aufzumotzen", indem man eingegebene Paßwörter nicht nur gegen eine statische Liste prüft, sondern direkt gegen die Datenbank der gestohlenen Paßwörter von Have I Been Pwned.
So würde zum Einen die statische Liste obsolet werden, weil die 100.000 Paßwörter mit Sicherheit alle in der HIBP-DB drin sein dürften. Zum Anderen würde man so noch eher der Mehrsprachigkeit von Keyhelp gerecht werden, da die besagte DB ja Daten (und damit auch Paßwörter) aus der ganzen Welt enthält.
Die bieten bei HIBP übrigens eine nette API für die Paßwortüberprüfung an.

Diese Idee ist aber nur ein "nice to have" für Sicherheits-Paranoiker wie mich. Ob es aus Sicht der Dev's sinnvoll ist, müssen diese entscheiden. ;) 8-)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
Top
Joedaswiesel
Posts: 20
Joined: Tue 26. Feb 2019, 16:51

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Post by Joedaswiesel »

Super Idee :)
Top
User avatar
Alexander
Keyweb AG
Posts: 4448
Joined: Wed 20. Jan 2016, 02:23

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter  [GELÖST]

Post by Alexander »

Ist eine schöne Freitagsaufgabe ;), bin auch fast fertig.
(Das Feature ist natürlich optional zu/abschaltbar, wie bei den anderen Richtlinien zur Passwort-Wahl auch)

Eine Frage habe ich allerdings noch:

Wenn das Passwort gemäß haveibeenpwned.com als unsicher eingestuft wurde, sollte lediglich ein Hinweis erscheinen (Daten des Formulars werden trotzdem gespeichert), oder das Speichern des Formulars mit einer Fehlermeldung quitiert werden?
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Top
User avatar
Jolinar
Community Moderator
Posts: 4004
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:
Contact Jolinar

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Post by Jolinar »

Alexander wrote: Fri 15. Mar 2019, 11:12 Ist eine schöne Freitagsaufgabe ;), bin auch fast fertig.
(Das Feature ist natürlich optional zu/abschaltbar, wie bei den anderen Richtlinien zur Passwort-Wahl auch)
Ihr seid echt klasse!

Alexander wrote: Fri 15. Mar 2019, 11:12 Wenn das Passwort gemäß haveibeenpwned.com als unsicher eingestuft wurde, sollte lediglich ein Hinweis erscheinen (Daten des Formulars werden trotzdem gespeichert), oder das Speichern des Formulars mit einer Fehlermeldung quitiert werden?
Wenn ich es zu entscheiden hätte, würde ich es bei einem Hinweis belassen.
Ein klein wenig Verantwortung sollte schon noch bei den Usern/Admins bleiben. ;)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
Top
User avatar
Alexander
Keyweb AG
Posts: 4448
Joined: Wed 20. Jan 2016, 02:23

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Post by Alexander »

Es bei einem Hinweis zu belassen, wäre auch meine präferierte Wahl.
Brauchte nur nochmal deine Rückendeckung als Initiator des Vorschlags ;) - Danke!
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Top
User avatar
mhagge
Community Moderator
Posts: 563
Joined: Wed 8. Aug 2018, 15:19

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Post by mhagge »

Ich fände auch einen Hinweis besser (ruhig deutlich). Aber ganz verbieten eher nicht
Top
marco
Posts: 211
Joined: Thu 26. Oct 2017, 18:23

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Post by marco »

Vielen Dank für die tolle Arbeit, die hier für uns geleistet wird. Der Support hier ist einfach unglaublich gut.
Top
Locked

Return to “Archiv”