KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter + Have-I-Been-Pwned

https://community.keyhelp.de/viewtopic.php?t=7904

Page 1 of 1

Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter + Have-I-Been-Pwned

Posted: Tue 5. Mar 2019, 17:06
by Jolinar
Diese Option in den Paßwortrichtlinien finde ich grundsätzlich erstmal sehr gut. So werden die Leute motiviert, vernünftige Paßwörter zu verwenden.

Nun könnte ich mir allerdings vorstellen, dieses Sicherheitsfeature noch weiter "aufzumotzen", indem man eingegebene Paßwörter nicht nur gegen eine statische Liste prüft, sondern direkt gegen die Datenbank der gestohlenen Paßwörter von Have I Been Pwned.
So würde zum Einen die statische Liste obsolet werden, weil die 100.000 Paßwörter mit Sicherheit alle in der HIBP-DB drin sein dürften. Zum Anderen würde man so noch eher der Mehrsprachigkeit von Keyhelp gerecht werden, da die besagte DB ja Daten (und damit auch Paßwörter) aus der ganzen Welt enthält.
Die bieten bei HIBP übrigens eine nette API für die Paßwortüberprüfung an.

Diese Idee ist aber nur ein "nice to have" für Sicherheits-Paranoiker wie mich. Ob es aus Sicht der Dev's sinnvoll ist, müssen diese entscheiden. ;) 8-)

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Posted: Fri 15. Mar 2019, 02:27
by Joedaswiesel
Super Idee :)

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter  [GELÖST]

Posted: Fri 15. Mar 2019, 11:12
by Alexander
Ist eine schöne Freitagsaufgabe ;), bin auch fast fertig.
(Das Feature ist natürlich optional zu/abschaltbar, wie bei den anderen Richtlinien zur Passwort-Wahl auch)

Eine Frage habe ich allerdings noch:

Wenn das Passwort gemäß haveibeenpwned.com als unsicher eingestuft wurde, sollte lediglich ein Hinweis erscheinen (Daten des Formulars werden trotzdem gespeichert), oder das Speichern des Formulars mit einer Fehlermeldung quitiert werden?

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Posted: Fri 15. Mar 2019, 11:34
by Jolinar
Alexander wrote: Fri 15. Mar 2019, 11:12 Ist eine schöne Freitagsaufgabe ;), bin auch fast fertig.
(Das Feature ist natürlich optional zu/abschaltbar, wie bei den anderen Richtlinien zur Passwort-Wahl auch)
Ihr seid echt klasse!

Alexander wrote: Fri 15. Mar 2019, 11:12 Wenn das Passwort gemäß haveibeenpwned.com als unsicher eingestuft wurde, sollte lediglich ein Hinweis erscheinen (Daten des Formulars werden trotzdem gespeichert), oder das Speichern des Formulars mit einer Fehlermeldung quitiert werden?
Wenn ich es zu entscheiden hätte, würde ich es bei einem Hinweis belassen.
Ein klein wenig Verantwortung sollte schon noch bei den Usern/Admins bleiben. ;)

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Posted: Fri 15. Mar 2019, 11:42
by Alexander
Es bei einem Hinweis zu belassen, wäre auch meine präferierte Wahl.
Brauchte nur nochmal deine Rückendeckung als Initiator des Vorschlags ;) - Danke!

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Posted: Fri 15. Mar 2019, 12:56
by mhagge
Ich fände auch einen Hinweis besser (ruhig deutlich). Aber ganz verbieten eher nicht

Re: Paßwortrichtlinien: Verbietet die 100.000 häufigsten Passwörter

Posted: Sat 16. Mar 2019, 09:42
by marco
Vielen Dank für die tolle Arbeit, die hier für uns geleistet wird. Der Support hier ist einfach unglaublich gut.
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited