heinetz: Passwort vergessen?

0 59

Passwort vergessen?

heinetz
  • programmiertechnik
  1. 0
    unknown
  2. 1
    1UnitedPower
  3. 2
    molily
    1. 1
      Whouzuo
      1. 1
        molily
        1. 1
          Texter mit x
          1. 1
            M.
            1. 0
              Texter mit x
            2. 0
              Gunnar Bittersmann
              • menschelei
              1. 0
                M.
                1. 0
                  Gunnar Bittersmann
          2. 1
            molily
        2. 0
          Whouzuo
          1. 1
            molily
            1. 0
              Texter mit x
            2. 0
              Whouzuo
              1. 0
                molily
                1. 0
                  Whouzuo
            3. 0
              1UnitedPower
              • menschelei
              1. 0
                Felix Riesterer
                1. 0
                  1UnitedPower
          2. 0
            1UnitedPower
    2. 0
      Texter mit x
      1. 3
        molily
        1. 0
          Texter mit x
          1. 0
            molily
            1. 0
              Texter mit x
        2. 1
          Gunnar Bittersmann
          1. 0
            molily
            1. 0
              Whouzuo
              1. 0
                molily
                1. 0
                  Whouzuo
                  1. 0
                    molily
                    1. 0
                      Whouzuo
                      1. 3
                        Christian Kruse
                        1. 0
                          Whouzuo
                          1. 0
                            Christian Kruse
                          2. 0
                            Texter mit x
                            1. 0

                              falschen Beitrag zitiert

                              Texter mit x
                              1. 0
                                Texter mit x
                                • zu diesem forum
                                1. 0
                                  Matthias Apsel
                            2. 0
                              Christian Kruse
                              1. 0
                                Texter mit x
                                1. 0
                                  Christian Kruse
                                  1. 0
                                    Texter mit x
                2. 0
                  Texter mit x
                  1. 0
                    molily
                    1. 0
                      Texter mit x
                      1. 0
                        tami
              2. 0
                TSO
                1. 0
                  Texter mit x
                  1. 0
                    TSO
                    1. 0
                      Texter mit x
                2. 0
                  Whouzuo
            2. 0
              tami
    3. 2

      Sicherheit von Passwörtern

      Felix Riesterer
    4. 1
      Christian Kruse
  4. 3
    ChrisB

Hallo Forum,

ich habe vor Jahren mal ein CMS für einen Kunden gebaut, das von ca. 50 Redakteuren verwendet wird. Damals wurde mir vom Kunden eine Liste mit sämtlichen Benutzerdaten zugeschickt, die dann in die DB geschrieben wurden. Die Passwörter sind nicht sonderlich kryptisch und m.E. recht leicht zu entschlüsseln. Neben Passwörtern bestehen die Datensätze aus Bentzernamen und Email-Adressen und ich  habe folgende einfache Lösung vorgeschlagen, die aus meiner Sich mit relativ geringem Aufwand das System zum Einen sicherer und zum Anderen komfortabler macht:

  • Ich ersetze die einfachen Passwörter durch kryptische.
  • Ich schaffe den Benutzernamen ab und lass die Redakteure stattdessen ihre Email-Adresse eingeben.
  • Ich schaffe einen "Passwort vergessen"-Link, über den sich das Passwort an die Email-Adresse schicken lässt.

Was daran ist unsicher bzw. anders gefragt:

Wenn ich bei Ebay auf "Passwort vergessen" klicke, wird auch nur meine Email-Adresse benötigt, aber das Passwort wird mir nicht zugeschickt, sondern statt dessen ein Link, mit dem ich dann das Passwort zurücksetzen und neu vergeben kann.

Warum wird das so gemacht? Weil dann das Passwort nicht im Klartext verschickt wird bzw. wenn sie angekommen ist in einer Mail steht oder weil man mit der Mail nur 24 Stunden etwas anfangen kann?

gruss,
heinetz

  1. Warum wird das so gemacht? Weil dann das Passwort nicht im Klartext verschickt wird bzw. wenn sie angekommen ist in einer Mail steht oder weil man mit der Mail nur 24 Stunden etwas anfangen kann?

    Sicher auch letzteres, aber ebay kann dir dein Passwort nicht schicken, weil ebay es nicht kennt.

  2. Meine Herren!

    Man speichert in aller Regel keine verschlüsselte Passworte, sondern gehashte Passworte! Der Unterschied ist folgender: Verschlüsselungen lassen sich zurückrechnen, den Vorgang nennt man Entschlüsseln. Mit Hashes ist das nicht möglich. Eine ganz einfache Verschlüsselung ist zum Beispiel ist zum Beispiel die Addition mit 1.

    1337 => 1338
    11 => 12

    Das können wir relativ einfach zurück rechnen, indem wir die Subtraktion mit 1 bilden:

    1338 => 1337
    12 => 11

    Eine einfache Hash-Funktion ist zum Beispiel modulo:

    1337 % 2 => 1
    11 % 2 => 1

    Eine Entschlüsselung ist dann nicht mehr möglich, wir können nicht sagen, ob eine "1" vor dem Hashing mal eine "1337" oder eine "11" war.

    Das ist ___ganz___ grundlegende Theorie. Bist du dir sicher, dass du die Datensicherheit deines Kunden in deine Verantwortung nehmen willst? Vielleicht suchst du dir besser einen erfahrenen Dienstleister für diese Aufgabe.

    --
    “All right, then, I'll go to hell.” – Huck Finn
  3. Hallo,

    Warum wird das so gemacht? Weil dann das Passwort nicht im Klartext verschickt wird bzw. wenn sie angekommen ist in einer Mail steht oder weil man mit der Mail nur 24 Stunden etwas anfangen kann?

    Es ist eine wichtiges Sicherheitsfeature, dass Webanwendungen niemals Passwörter im Klartext abspeichern. Passwörter werde oftmalsn wiederverwendet und können weitere private Informationen enthalten. Wenn die Datenbank kompromittiert wird, sollten die Passwörter nicht im Klartext lesbar sein.

    Passwörter sollten mit einem Hash-Algorithmus, ergänzt durch einen zufälligen Salt, behandelt werden, bevor sie in der Datenbank gespeichert werden. Es ist dann praktisch unmöglich, das verwendete Passwort aus diesem Hash/Salt zurückzurechnen. Bei jeder Anmeldung wird das übermittelte Passwort erneut durch die Hashfunktion geschickt und das Ergebnis wird verglichen.

    Aus dem Grund können Dienste wie eBay einem gar nicht vergessene Passwörter zuschicken. Sie haben nur einen Hashwert gespeichert, nicht das ursprüngliche Passwort. Sie können nur einen Passwort-zurücksetzen-Link verschicken. Dann kann der User ein neues Passwort angeben und es wird ein neuer Hash/Salt in der Datenbank gespeichert.

    Dienste wie eBay werden Passwörter ferne niemals unverschlüsselt übertragen. Für die Website wird zwangsweise SSL verwendet und auf das Verschicken des Passworts in unverschlüsselten E-Mails wird wie gesagt verzichtet. Genau so solltest du es auch machen.

    • Ich ersetze die einfachen Passwörter durch kryptische.

    Das wird das Problem nicht beheben. Leute werden sich diese Passwörter nicht merken können und sie abändern. User müssen sich ihre Passwörter merken können, daher sind von dir generierte Passwörter nur eine Übergangslösung.

    Baue lieber eine Logik, die die Komplexität des Passworts beim Anlegen misst und gute Vorschläge gibt, wie User sichere Passwörter/Passphrases erstellen. Dann setze alle Passwörter zurück, d.h. sende allen Usern einen Reset-Link und bitte sie, ihre Passwörter zu ändern. Schwache Passwörter werden vom Formular dann nicht mehr akzeptiert.

    • Ich schaffe den Benutzernamen ab und lass die Redakteure stattdessen ihre Email-Adresse eingeben.

    Warum? Das verbessert die Sicherheit und den Komfort nicht. Ich würde ruhig beides erlauben.

    • Ich schaffe einen "Passwort vergessen"-Link, über den sich das Passwort an die Email-Adresse schicken lässt.

    Das bitte auf keinen Fall, siehe oben. Nutze eine fertige, sichere Authentifizierungslösung. Die gängigen implementieren das oben beschriebene Verfahren (Hashes in der Datenbank, Password-Reset per E-Mail mit einem Token, der nur kurze Zeit gültig ist).

    Grüße
    Mathias

    1. Baue lieber eine Logik, die die Komplexität des Passworts beim Anlegen misst und gute Vorschläge gibt, wie User sichere Passwörter/Passphrases erstellen. Dann setze alle Passwörter zurück, d.h. sende allen Usern einen Reset-Link und bitte sie, ihre Passwörter zu ändern. Schwache Passwörter werden vom Formular dann nicht mehr akzeptiert.

      Omg nein! Bloß nicht. Nichts ist schlimmer als diese Bewertungsmechanismen, am besten noch mit so Vorgaben wie "mindestens 8 Zeichen, ein Sonderzeichen (aber nicht am Anfang!) mindestens eine Ziffer, keine zwei hinterneinanderfolgenden gleichen Zeichen, mindestens ein Buchstabe...".
      Ich hasse es. Ich will mein Passwort selbst festlegen. Und wenn ich entscheide, dass abcde reicht - dann reicht es. Das einzige Problem ist, wenn tatsächlich jemand Zugriff auf die Passwort Hashes kriegt, kann her abcde mit brute force relativ schnell knacken. Dann bin ich aber selbst schuld und fertig.

      Vorschläge kann man ja machen "Warnung, das Passwort ist sehr unsicher! (...)", aber keine Akzeptanzkriterien bitte.

      1. Hallo,

        Ich hasse es. Ich will mein Passwort selbst festlegen.

        Dass du etwas willst, ist erst einmal kein Argument hinsichtlich der Sicherheit eines Passworts und der allgemeinen Sicherheit einer Webanwendung. Wie wäre es mit sachlichen Argumenten?

        Und wenn ich entscheide, dass abcde reicht - dann reicht es.

        Nein. Es gibt objektive Kriterien, was die Sicherheit von Passwörtern angeht.

        Das einzige Problem ist, wenn tatsächlich jemand Zugriff auf die Passwort Hashes kriegt, kann her abcde mit brute force relativ schnell knacken. Dann bin ich aber selbst schuld und fertig.

        Einfache Passwörter lassen sich knacken, ohne dass die Hashes aus der Datenbank nötig sind – einfach durch Anmeldeversuche. Das ist eben *nicht alleine dein Problem*, sondern ein Sicherheitsproblem der Website! Wenn dein Account kompromittiert wird, ist bei den üblichen Webanwendungen die Sicherheit anderer Accounts und damit die Stabilität des gesamten Systems in Gefahr. Es besteht im Interesse des Seitenbetreibers, dass User ihre Accounts mit sicheren Passwörtern versehen, sodass sie nicht einfach knackbar sind. Alles andere führt letztlich zu Datendiebstahl, Spam/Abuse und weiteren Sicherheitsproblemen, z.b. durch Social Engineering.

        Vorschläge kann man ja machen "Warnung, das Passwort ist sehr unsicher! (...)", aber keine Akzeptanzkriterien bitte.

        Das ist eine Implementierungsfrage. Es gibt gute Bibliotheken, die die Sicherheit von Passwörtern messen und entsprechende Hinweise geben. Die arbeiten nicht notwendig mit stumpfen Kriterien wie »mindestens eine Ziffer, mindestens ein Buchstabe« usw., sondern berechnen die allgemeine Entropie und können bspw. eine Blacklist mit einbeziehen. Solche Mechanismen sind bei allen großen Sites im Einsatz.

        Mathias

        1. Ich hasse es. Ich will mein Passwort selbst festlegen.

          Dass du etwas willst, ist erst einmal kein Argument hinsichtlich der Sicherheit eines Passworts und der allgemeinen Sicherheit einer Webanwendung.

          Hat auch niemand behauptet.

          Wie wäre es mit sachlichen Argumenten?

          Ein Paßwort, welches mir nicht paßt notiere ich irgendwo.

          Und wenn ich entscheide, dass abcde reicht - dann reicht es.

          Nein. Es gibt objektive Kriterien, was die Sicherheit von Passwörtern angeht.

          Wurden die dem Fragesteller mitgeteilt? Wollen wir sammeln? Wollen wir auch die Kriterien sammeln, die keine sind?

          Einfache Passwörter lassen sich knacken, ohne dass die Hashes aus der Datenbank nötig sind – einfach durch Anmeldeversuche. Das ist eben *nicht alleine dein Problem*, sondern ein Sicherheitsproblem der Website! Wenn dein Account kompromittiert wird, ist bei den üblichen Webanwendungen die Sicherheit anderer Accounts und damit die Stabilität des gesamten Systems in Gefahr.

          Are you kiddifucking me? Dann ist jeder Nutzer eine Gefahrenquelle, jeder Account.

          1. Mahlzeit,

            Are you kiddifucking me? Dann ist jeder Nutzer eine Gefahrenquelle, jeder Account.

            Grundsätzlich ist das ja auch so.
            Dagegen helfen aber nicht bessere Passwörter sondern eine besser Rechteverwaltung.
            Selbst wenn ein Account geknackt wird, dürfen andere nicht betroffen sein. Und wenn der Admin seinen Master-Account mit "12345678" sichert, gehört er sowieso mit Mäusedreck erschossen. Wer einen Hinweis auf ein sicheres Passwort braucht um seinen Adminbereich zu sichern, hat eindeutig den falschen Job.

            --
            42
            1. Dagegen helfen aber nicht bessere Passwörter sondern eine besser Rechteverwaltung.

              Die muß doch auch stimmen, wenn die Paßwörter superduper sind.

              Und wenn der Admin ...

              Das gilt nicht unbedingt, wenn an der Paßwortsicherheit mehr dran hängen als nur eigene Belange.

              (Zitat aus einem anderen Zweig des Threads)

            2. @@M.:

              nuqneH

              Und wenn der Admin seinen Master-Account mit "12345678" sichert, gehört er sowieso mit Mäusedreck erschossen.

              Ja. Es ist 3 Zeichen zu lang.

              Qapla'

              --
              „Talente finden Lösungen, Genies entdecken Probleme.“ (Hans Krailsheimer)
              1. Mahlzeit,

                Ja. Es ist 3 Zeichen zu lang.

                Ich hab auch wichtigere Daten als den Luftvorrat der Erde *g*

                --
                42
                1. @@M.:

                  nuqneH

                  Ja. Es ist 3 Zeichen zu lang.

                  Ich hab auch wichtigere Daten als den Luftvorrat der Erde *g*

                  Touché! Have a nice day!

                  Qapla'

                  --
                  „Talente finden Lösungen, Genies entdecken Probleme.“ (Hans Krailsheimer)
          2. Hallo,

            Es gibt objektive Kriterien, was die Sicherheit von Passwörtern angeht.

            Wurden die dem Fragesteller mitgeteilt? Wollen wir sammeln?

            Das ist ein Gegenstand der akademischen Forschung. Da ich weder Informatiker noch Security-Experte bin, kann ich nur auf vorhandene und empfohlene Algorithmen/Implementierungen verweisen. Ich rate Entwicklern, die nicht wissen, dass Passwörter gehasht gespeichert werden sollen, auch nicht dazu, solch ein System selbst zu entwerfen und zu implementieren.

            Das allgemeine Prinzip der Entropieberechnung habe ich ja schon genannt.
            Überblicksartikel: http://en.wikipedia.org/wiki/Password_strength
            http://cubicspot.blogspot.de/2011/11/how-to-calculate-password-strength.html
            https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
            https://github.com/dropbox/zxcvbn
            http://blog.agilebits.com/2011/08/10/better-master-passwords-the-geek-edition/

            Es gibt eigentlich für jede Web-Sprache eine entsprechende Implementierung, wobei clientseitiges JavaScript (Anzeige im Registrierungs- bzw. Passwort-ändern-Formular) ein guter Anfangspunkt ist. Wie strikt man dann serverseitig prüfen will, bleibt einem überlassen.

            Mathias

        2. Hallo,

          Ich hasse es. Ich will mein Passwort selbst festlegen.

          Dass du etwas willst, ist erst einmal kein Argument hinsichtlich der Sicherheit eines Passworts und der allgemeinen Sicherheit einer Webanwendung. Wie wäre es mit sachlichen Argumenten?

          Und wenn ich entscheide, dass abcde reicht - dann reicht es.

          Nein. Es gibt objektive Kriterien, was die Sicherheit von Passwörtern angeht.

          Die Passwortstärke ist aber nicht das einzige Sicherheitskriterium. Sonst passiert es z.B., dass der User es sich aufschreibt und auf die Tastatur klebt...

          Das einzige Problem ist, wenn tatsächlich jemand Zugriff auf die Passwort Hashes kriegt, kann her abcde mit brute force relativ schnell knacken. Dann bin ich aber selbst schuld und fertig.

          Einfache Passwörter lassen sich knacken, ohne dass die Hashes aus der Datenbank nötig sind

          – einfach durch Anmeldeversuche.

          Das ist ja nun kein Problem. Gibt ja nicht seit gestern captchas (ja, die haben ihre Nachteile) und begrenzte Anmeldeversuche. Machen auch genug große Unternehmen so. Bruteforce scheidet somit aus, wenn man den Hash nicht hat.

          Vorschläge kann man ja machen "Warnung, das Passwort ist sehr unsicher! (...)", aber keine Akzeptanzkriterien bitte.

          Das ist eine Implementierungsfrage. Es gibt gute Bibliotheken, die die Sicherheit von Passwörtern messen und entsprechende Hinweise geben. Die arbeiten nicht notwendig mit stumpfen Kriterien wie »mindestens eine Ziffer, mindestens ein Buchstabe« usw., sondern berechnen die allgemeine Entropie und können bspw. eine Blacklist mit einbeziehen. Solche Mechanismen sind bei allen großen Sites im Einsatz.

          Nicht wirklich.

          1. Hallo,

            Die Passwortstärke ist aber nicht das einzige Sicherheitskriterium. Sonst passiert es z.B., dass der User es sich aufschreibt und auf die Tastatur klebt...

            Schwache Passwörter sind eigentlich sicher, weil sie sich der User merken kann und nicht aufschreiben muss? Das ist ein problematisches Argument, mit dem man leicht sämtliche Forschung zum Thema vom Tisch wischen kann.

            Es gibt in der Tat verschiedene Angriffsszenarien. Die meisten Sites haben sich dafür entschieden, gegen die Online-/Remote-Angriffe vorzugehen und starke Passwörter einzufordern. Schwache zuzulassen, weil sie einfacher merkbar sind, ist dann keine Option. Gegen Angriffe, die auf Zugangsgeräte oder in Dateien und auf Papier gespeicherte Passwörter abzielen, hilft das natürlich nicht.

            Ich halte es für keinen Ausweg, schwache Passwörter zuzulassen. Es gibt gute Passwort-Generatoren, die durchaus merkbare Passphrases mit großer Entropie generieren (Beispiel). Es gibt plattformübergreifende Passwort-Manager, die das Ausdenken und Merken von Passwörtern überflüssig machen, indem sie zufällige Passwörter generieren und sie durch eine starke Passphrase synchron verschlüsselt speichern.

            Mathias

            1. Die Passwortstärke ist aber nicht das einzige Sicherheitskriterium. Sonst passiert es z.B., dass der User es sich aufschreibt und auf die Tastatur klebt...

              Schwache Passwörter sind eigentlich sicher, weil sie sich der User merken kann und nicht aufschreiben muss? Das ist ein problematisches Argument, mit dem man leicht sämtliche Forschung zum Thema vom Tisch wischen kann.

              Sämtliche nicht. Nicht sämtliche in der Paßwortsicherheitsforschung, gleich gar nicht sämtliche, und auch nicht sämtliche in der Psychologie/Verhaltensforschung/was-weiß-ich, gleich gar nicht sämtliche.

              Den Artikel, in dem dargelegt wird, wie sicher ein Paßwort ist, welches fast ausschließlich aus einigen Wörtern aus einem Buch besteht, selbst wenn man verrät welches Buch es ist, finde ich gerade nicht mehr.

              Als ich vor ein paar Jahren gezählt habe, kam ich auf 81 Paßwörter (mit wenigen Dubletten). Die alle habe ich im Kopf. Daß einzige Paßwort, welches ich auf Papier habe, ist eins vom Arbeitsamt. Das war zufallsgeneriert und mein Paßwort wurde nicht kazeptiert, also blieb das zufallsgenerierte Paßwort, welches den Test selbst nicht bestanden hat, bestehen.

            2. Hallo,

              Die Passwortstärke ist aber nicht das einzige Sicherheitskriterium. Sonst passiert es z.B., dass der User es sich aufschreibt und auf die Tastatur klebt...

              Schwache Passwörter sind eigentlich sicher, weil sie sich der User merken kann und nicht aufschreiben muss?

              Sicher wovor? Vor jemandem, der brute-force Anmeldeversuche auf dem Server macht? Ja! Davor, dass sie beim Erlangen des Hashes geknackt werden? Nein!

              Das ist ein problematisches Argument, mit dem man leicht sämtliche Forschung zum Thema vom Tisch wischen kann.

              Vielleicht solltest du erstmal definieren, was hier überhaupt einer Sicherheit bedarf. Vorher bringt eine Diskussion auch nichts.

              Es gibt in der Tat verschiedene Angriffsszenarien. Die meisten Sites haben sich dafür entschieden, gegen die Online-/Remote-Angriffe vorzugehen und starke Passwörter einzufordern.

              Die Meisten? Wirklich? Du hast da Zahlen nehme ich an?
              Nach meinem Gefühl sagen die meisten Seiten "mindestens X Zeichen, mindestens ne Ziffer" oder so ähnlich und das war's.

              Ich halte es für keinen Ausweg, schwache Passwörter zuzulassen. Es gibt gute Passwort-Generatoren, die durchaus merkbare Passphrases mit großer Entropie generieren (Beispiel).

              Das widerspricht sich.

              Es gibt plattformübergreifende Passwort-Manager, die das Ausdenken und Merken von Passwörtern überflüssig machen, indem sie zufällige Passwörter generieren und sie durch eine starke Passphrase synchron verschlüsselt speichern.

              Das bedeutet: Trojaner auf dem PC und schon hat er (nach einmaligem Einsetzen des Passwort Managers) sämtliche Passwörter, selbst wenn man den Trojaner nach ner Stunde bemerkt und den Rechner platt macht. Schon zu spät.

              1. Schwache Passwörter sind eigentlich sicher, weil sie sich der User merken kann und nicht aufschreiben muss?

                Sicher wovor? Vor jemandem, der brute-force Anmeldeversuche auf dem Server macht? Ja!

                Nein, garantiert nicht. Ja, es gibt Sicherungen, die der Server implementieren kann, um sich vor automatisierten Loginversuchen zu schützen. Trotzdem werden Accounts immer wieder durch Anmeldeversuche gehackt, weil die Passwörter schwach sind (d.h. üblicherweise in einem Dictionary mit den 500 meisten Passwörtern enthalten sind). Letztlich hängt ein Gros der Sicherheit vom Passwort ab. Damit daran nicht alles hängt, gibt es Verfahren wie die bereits genannte Two-Factor-Authentication.

                Vielleicht solltest du erstmal definieren, was hier überhaupt einer Sicherheit bedarf.

                Ich habe in https://forum.selfhtml.org/?t=217971&m=1499084 beschrieben, dass es verschiedene Angriffsszenarien gibt, und welche für welche Passwortstärke relevant ist.

                Es gibt in der Tat verschiedene Angriffsszenarien. Die meisten Sites haben sich dafür entschieden, gegen die Online-/Remote-Angriffe vorzugehen und starke Passwörter einzufordern.

                Die Meisten? Wirklich? Du hast da Zahlen nehme ich an?

                Ich habe Artikel verlinkt, die verschiedene Passwordstärken-Messer vergleichen.

                Es gibt gute Passwort-Generatoren, die durchaus merkbare Passphrases mit großer Entropie generieren (Beispiel).

                Das widerspricht sich.

                Tut es nicht. Hast du dir die verlinkten Quellen überhaupt angesehen?

                Es gibt plattformübergreifende Passwort-Manager, die das Ausdenken und Merken von Passwörtern überflüssig machen, indem sie zufällige Passwörter generieren und sie durch eine starke Passphrase synchron verschlüsselt speichern.

                Trojaner auf dem PC …

                Das ist alles bekannt und dokumentiert. Was willst du damit sagen? Passwort-Manager einzusetzen ist nichtsdestoweniger empfohlene Praxis. Es ist nicht ihr Ziel, gegen solche Angriffe zu schützen.

                Mathias

                1. Schwache Passwörter sind eigentlich sicher, weil sie sich der User merken kann und nicht aufschreiben muss?

                  Sicher wovor? Vor jemandem, der brute-force Anmeldeversuche auf dem Server macht? Ja!

                  Nein, garantiert nicht. Ja, es gibt Sicherungen, die der Server implementieren kann, um sich vor automatisierten Loginversuchen zu schützen. Trotzdem werden Accounts immer wieder durch Anmeldeversuche gehackt, weil die Passwörter schwach sind (d.h. üblicherweise in einem Dictionary mit den 500 meisten Passwörtern enthalten sind).

                  Kein Problem =) dann kann man ja genau diese Dictionary Passwörter ausschließen.

                  Letztlich hängt ein Gros der Sicherheit vom Passwort ab. Damit daran nicht alles hängt, gibt es Verfahren wie die bereits genannte Two-Factor-Authentication.

                  Vielleicht solltest du erstmal definieren, was hier überhaupt einer Sicherheit bedarf.

                  Ich habe in https://forum.selfhtml.org/?t=217971&m=1499084 beschrieben, dass es verschiedene Angriffsszenarien gibt, und welche für welche Passwortstärke relevant ist.

                  Du hast dort nicht geschrieben, was nun überhaupt gesichert werden soll. ;)

                  Es gibt in der Tat verschiedene Angriffsszenarien. Die meisten Sites haben sich dafür entschieden, gegen die Online-/Remote-Angriffe vorzugehen und starke Passwörter einzufordern.

                  Die Meisten? Wirklich? Du hast da Zahlen nehme ich an?

                  Ich habe Artikel verlinkt, die verschiedene Passwordstärken-Messer vergleichen.

                  Also keine Zahlen.

                  Es gibt gute Passwort-Generatoren, die durchaus merkbare Passphrases mit großer Entropie generieren (Beispiel).

                  Das widerspricht sich.

                  Tut es nicht. Hast du dir die verlinkten Quellen überhaupt angesehen?

                  Kannte ich schon vorher. Tatsache ist: Regeln, die einen Menschen ein Passwort besser merken lassen, kann man auch für einen Bruteforce Algorithmus nutzen. Was nicht bedeutet, dass so ein Passwort "unsicher" ist, aber es erhöht trotzdem die Chancen des Angreifers im Vergleich zu einem wirklich zufälligen gleichlangen Passwort.

                  Es gibt plattformübergreifende Passwort-Manager, die das Ausdenken und Merken von Passwörtern überflüssig machen, indem sie zufällige Passwörter generieren und sie durch eine starke Passphrase synchron verschlüsselt speichern.

                  Trojaner auf dem PC …

                  Das ist alles bekannt und dokumentiert. Was willst du damit sagen?

                  Dass diese Lösung neue Nachteile mit sich bringt. Z.B. auch, dass man den Passwortmanager nicht immer dabei hat - und auf dem Smartphone sind die Risiken imho noch größer, dass jemand anderes an die sensiblen Inhalte gelangt. Und vergisst man das Masterpasswort, sind alle weg. Usw. Ich will damit nur sagen, so einfach ist es nicht.

            3. Meine Herren!

              Ich halte es für keinen Ausweg, schwache Passwörter zuzulassen. Es gibt gute Passwort-Generatoren, die durchaus merkbare Passphrases mit großer Entropie generieren (Beispiel).

              Das xkcd-Comic ist der Wahnsinn!

              --
              “All right, then, I'll go to hell.” – Huck Finn
              1. Lieber 1UnitedPower,

                Das xkcd-Comic ist der Wahnsinn!

                und leider hinsichtlich der Forschung nur eine Halbwahrheit... Schau Dir die Tante auf Ted.com an, die hat dazu wirklich etwas zu sagen!

                Liebe Grüße,

                Felix Riesterer.

                --
                "Wäre die EU ein Staat, der die Aufnahme in die EU beantragen würde, müsste der Antrag zurückgewiesen werden - aus Mangel an demokratischer Substanz." (Martin Schulz, Präsident des EU-Parlamentes)
                1. Meine Herren!

                  und leider hinsichtlich der Forschung nur eine Halbwahrheit... Schau Dir die Tante auf Ted.com an, die hat dazu wirklich etwas zu sagen!

                  Habe ich mir jetzt angesehen und bin aus akademischer Sicht eher gelangweilt von dem Beitrag, aus folgendem Grund: Tante Cranor spricht sich deutlich für ein Entropie-Verständnis aus, das mehr von statistischen Daten und Verhaltenspsyschologie geprägt ist, als die gegenwärtige stochastisch geprägte Heuristik. Anders als sie anfangs vermuten lässt, stellt diese Erkenntnis aber nicht die "Shannon Entropy" auf die Probe, sondern trägt damit bestenfalls zu einer besseren Implementation der Gewichtungsfunktion bei. Hierfür halte ich ihre (bisherigen) Ergebnisse aber nicht ausreichend, denn für eine statistisch-arbeitende Gewichtungsfunktion sehe ich in der Praxis zu große Hürden. Cranor erzählt ja selbst, wie schwierig es schon gewesen sei, allein für die Forschung die nötigen Stichproben zusammeln. Für eine verhaltenspsyschologisch-geprägte Implementation, sind ihre Erkenntnisse zu oberflächlich. Als Kernessenz bleibt die Aussage, dass "iloveyou" häufiger als Passwort benutzt wird als etwa "wasserstoffperoxid molekül". Überraschung… Damit möchte ich ich nicht ihre Forschungsarbeit in Frage stellen, viele der von mir angesprochenen Dinge gehören ohnehin eher in eine wissenschaftliche Abhandlung, als in eine öffentliche Präsentation. Und da habe ich jetzt nicht genauer nachgesehen, was sie auf der Kerbholz hat. Von dieser Kritik abgesehen, messe ich dem Vortrag einen gewissen pädagogischen Stellenwert bei.

                  --
                  “All right, then, I'll go to hell.” – Huck Finn
          2. Meine Herren!

            Die Passwortstärke ist aber nicht das einzige Sicherheitskriterium. Sonst passiert es z.B., dass der User es sich aufschreibt und auf die Tastatur klebt...

            Das beste aus beiden Welten gibt es übrigens mit Client-Zertifikaten: Ein SSL-Zertifikat hat die nötige kryptische Stärke und muss sich vom Nutzer nicht gemerkt werden, es wird einfach im Betriebssystem oder im Browser installiert. Darüber hinaus haben Zertifikate den Vorteil, dass sie von der Zertifizierungsstelle zu jeder Zeit invalidiert werden können.

            Leider besitzen nicht alle Internet-Nutzer auch die technische Versiertheit, um mit solchen Zertifikaten umzugehen. Das steht imho. in Wechselwirkung mit der geringen Verbreitung dieser eigentlich überlegenen Technik.

            --
            “All right, then, I'll go to hell.” – Huck Finn
    2. Schwache Passwörter werden vom Formular dann nicht mehr akzeptiert.

      Das wäre für mich ein no-go. Nicht nur ist es die Entscheidung dessen*, der das Paßwort vergibt, ob er die Warnungen in den Wind schlägt, auch sind die Vorschriften nur so gut wie die Leute die sich einbilden das einschätzen zu können.

      Bis zu wieviel Stellen macht man eine Brute-Force-Attacke nur aus Buchstaben und Zahlen, bis man eine Brute-Force-Attacke auch mit Sonderzeichen macht? Dennoch werden lange Paßwörter ohne Sonderzeichen fast immer als unsicher identifiziert.

      * Das gilt nicht unbedingt, wenn an der Paßwortsicherheit mehr dran hängen als nur eigene Belange.

      1. Hallo,

        Nicht nur ist es die Entscheidung dessen*
        * Das gilt nicht unbedingt, wenn an der Paßwortsicherheit mehr dran hängen als nur eigene Belange.

        Es ist gut, das du das nachgereicht hast, denn an der Passwortsicherheit hängen in den allermeisten Fällen nicht nur eigene Belange! Heinetz hat ein schönes Beispiel geliefert:

        »ich habe vor Jahren mal ein CMS für einen Kunden gebaut, das von ca. 50 Redakteuren verwendet wird.«

        Vermutlich kann jede Redakteurin alle Artikel oder zumindest die ihres Ressorts bearbeiten… Schon hängt die Sicherheit eines Accounts mit der Sicherheit der aller Accounts und der der gesamten Anwendung zusammen.

        auch sind die Vorschriften nur so gut wie die Leute die sich einbilden das einschätzen zu können.

        Das gilt für sämtliche Software im Web, und? Meinst du etwa, unbedarfte Nutzer, die von Web-Security gar keine Ahnung haben, können besser einschätzen, was ein sicheres Passwort ausmacht?

        Die Nutzersicht ist hier nur eine. Aus Sicht von Betreiber von Webanwendungen ist es essentiell, alle Accounts zu schützen. Selbst wenn darin (jetzt gerade) keine heiklen Daten hängen (Zahlungsdaten, Adressen, Telefonnummern, seiteninterne Nachrichten, soziale Verbindungen, private Fotos usw.), so ist das Missbrauchspotenzial meist hoch.

        Allgemein scheint ihr (Whouzuo und du) von schlechten Passwort-Testern gepeinigt worden zu sein. Das tut mir leid. Aber den allermeisten Usern hilft selbst die dümmste Implementierung noch dabei, ein halbwegs sicheres Passwort zu wählen. Und es spricht auch nichts dagegen, bessere Implementierungen einzusetzen.

        Grüße
        Mathias

        1. Nicht nur ist es die Entscheidung dessen*
          * Das gilt nicht unbedingt, wenn an der Paßwortsicherheit mehr dran hängen als nur eigene Belange.

          Es ist gut, das du das nachgereicht hast

          Nachgereicht? Das habe ich getippt bevor ich nach dem Satz in dem das Sternchen stand fertig war.

          Das gilt für sämtliche Software im Web, und? Meinst du etwa, unbedarfte Nutzer, die von Web-Security gar keine Ahnung haben, können besser einschätzen, was ein sicheres Passwort ausmacht?

          Habe ich mich auch nur ansatzweise gegen die Warnung ausgesprochen?

          Die Nutzersicht ist hier nur eine. Aus Sicht von Betreiber von Webanwendungen ist es essentiell, alle Accounts zu schützen.

          Was in der Masse der Fälle nicht von der Paßwortsicherheit der Nutzer abhängig sein sollte. Außer Du meinst nun die Sicherheit (aller) einzelnen Accounts.

          Allgemein scheint ihr (Whouzuo und du) von schlechten Passwort-Testern gepeinigt worden zu sein. Das tut mir leid. Aber den allermeisten Usern hilft selbst die dümmste Implementierung noch dabei, ein halbwegs sicheres Passwort zu wählen.

          Warnungen tun das. Wo die Wahl ist, wenn das Formular ein anderes Paßwort nicht zuläßt, ist fraglich.

          1. Hallo,

            Habe ich mich auch nur ansatzweise gegen die Warnung ausgesprochen?

            Wieso sollte ein System schwache Passwörter zulassen, wenn es den User eindringlich davor warnt, sie zu nutzen? Damit der User das Passwort nicht aufschreibt?

            Wenn es essentiell ist, dass Accounts durch starke Passwörter gesichert sind, dann sollte eine Website nicht bloß warnen, sondern Regeln auch durchsetzen. Bloße Warnungen sind ineffektiv, weil einige User sie ignorieren werden.

            Freilich hängt es vom verwendeten Algorithmus ab, wie sicher die akzeptierten Passwörter sind. Dieser kann wie alle Software fehlerhaft sein. Das Problem besteht aber auch, wenn »nur« gewarnt wird. Dann würden gegebenenfalls sichere Passwörter als schwach bezeichnet und unsichere Passwörter als stark.

            Mathias

            1. Wieso sollte ein System schwache Passwörter zulassen, wenn es den User eindringlich davor warnt, sie zu nutzen?

              Aus dem gleichen Grund, warum es zuläßt, daß der Nutzer ein Foto von einer Party hochlädt, auf der er sich abgeschossen hat?!

              Und weil das System scheiße ist und sichere Paßwörter nicht zuläßt. Das es nicht so sein sollte und sein muß steht auf einem anderen Blatt aber diese Problematik auszuklammern ist keine Lösung wie manche Behörden und kleine bis große Firmen zeigen.

              Wenn es essentiell ist

              Soll das eine Falle sein? Wann ist es "essentiell"? Wenn es dem Nutzer viel wert ist, soll er viel Wert auf das Paßwort legen. Wenn "essentiell" ist, weil es nicht nur eigene Belange betrifft ... dazu habe ich mich geäußert.

              Wenn es essentiell ist, dass Accounts durch starke Passwörter gesichert sind, dann sollte eine Website nicht bloß warnen, sondern Regeln auch durchsetzen.

              Wenn mit einem Account Verantwortung einhergeht, dann sollte der Mensch im Rahmen der Möglichkeiten dafür geeignet sein (die Redakteure z.B.). Dann kann man eventuell auch mehr erwarten (in beiderlei Sinnen des Wortes), was das Vermögen angeht sich ein merkbares sicheres Paßwort auszudenken*. Das schließt selbstverständlich nicht aus, daß man mit technischen Mitteln versucht ihn in einem sinnvollen Maß vor Fehlern zu bewahren. Wer sich damit auseinandersetzt sorgt vielleicht auch für die Implementierung einer geeignete Paßwortüberprüfung und wir können in dem Fall aufhören zu reden, weil das Problem in dem Fall nicht auftritt.

              *Nur was wenn es als unsicher "erkannt" wird?

              Bloße Warnungen sind ineffektiv, weil einige User sie ignorieren werden.

              Über die Effektivität von Hinweisen kann man sicherlich philosophieren, zwangsweise effektiv sind sie nicht. Auch darüber, ob oder inwiefern das Ignorieren ein Problem ist und wessen.

              Freilich hängt es vom verwendeten Algorithmus ab, wie sicher die akzeptierten Passwörter sind. Dieser kann wie alle Software fehlerhaft sein. Das Problem besteht aber auch, wenn »nur« gewarnt wird. Dann würden gegebenenfalls sichere Passwörter als schwach bezeichnet und unsichere Passwörter als stark.

              Letzteres wäre wirklich schlecht aber in beiden Fällen kann der Nutzer entscheiden. Bei Zwang  reduziert sich die Entscheidung darauf etwas zu tun was man nicht will oder etwas nicht zu tun was man will.

              PS.: Wenn es vielleicht auch nicht unmittelbar anzuwenden ist:
              Die sinngemäße Aussage, zu viel Sicherheit bewirkt Unsicherheit, gibt es in vielen Bereichen. Bei zu viel Sicherheit stellt sich ein Gefühl der Sicherheit ein woraufhin bei der Einhaltung geschlampt wird. Oder einzelne Maßnahmen werden aus Bequemlichkeit umgangen, weil schließlich der Rest noch da ist. Oder was weiß ich. Auch schon selbst erlebt.

              So, das genug Munition für dich um mich auseinanderzunehmen.

        2. @@molily:

          nuqneH

          Allgemein scheint ihr (Whouzuo und du) von schlechten Passwort-Testern gepeinigt worden zu sein. […] es spricht auch nichts dagegen, bessere Implementierungen einzusetzen.

          In dem Zusammenhang: Good Users and Bad Passwords

          Qapla'

          --
          „Talente finden Lösungen, Genies entdecken Probleme.“ (Hans Krailsheimer)
          1. Hallo,

            In dem Zusammenhang: Good Users and Bad Passwords

            Als Best Practice wird dort angegeben: »don’t validate the format of a password, only validate its length«

            Das ist weder verbreitete Practice noch Best Practice. Zumal vorher korrekt die Entropie angesprochen wurde, die durchaus von der Beschaffenheit des Password abhängt bzw. genauer der Zahl der möglichen Passwörter, die demselben Schema folgen. »123456789123456789« ist insofern kein gutes Passwort, nur weil es lang ist.

            Auch der zweite Rat »if you are going to validate the format, don’t make it required« ist fragwürdig.

            »Because ultimately, it’s up to users what kind of password they want to use.«

            Nein, das ist keine bloße Angelegenheit des Users. Die Sicherheit des ganzen Informationssystems kann davon abhängen.

            »If we’re using techniques like salting and key stretching to store passwords more securely, then it shouldn’t really matter what they choose.«

            Hier ignoriert der Autor verschiedene Angriffsvektoren. Ein starkes Passwort schützt nicht nur gegen das Brechen des Hashes.

            Der Autor hat hier m.E. eine verkürzten Sicht auf User Experience. Starke Passwörter zu wählen ist leider nicht komfortabel und oftmals nervig für User. Nun zu versuchen, den User bloß nicht mit Regeln für sichere Passwörter zu nerven, führt nicht zu einem sicheren Account und also letztlich auch zu keiner positiven User Experience, wenn der Account gekapert wird.

            Mathias

            1. »If we’re using techniques like salting and key stretching to store passwords more securely, then it shouldn’t really matter what they choose.«

              Hier ignoriert der Autor verschiedene Angriffsvektoren. Ein starkes Passwort schützt nicht nur gegen das Brechen des Hashes.

              Trotz deiner Verlinkung bleibst du bisher schuldig zu erklären, warum Sicherheitsmechanismen gegen Bruteforce Einlogversuche nicht ausreichend sein sollen.

              Der Autor hat hier m.E. eine verkürzten Sicht auf User Experience. Starke Passwörter zu wählen ist leider nicht komfortabel und oftmals nervig für User. Nun zu versuchen, den User bloß nicht mit Regeln für sichere Passwörter zu nerven, führt nicht zu einem sicheren Account und also letztlich auch zu keiner positiven User Experience, wenn der Account gekapert wird.

              Was ist denn, wenn es mir völlig egal ist, ob der Account geknackt wird? Wenn ich z.B. nur mal eben zu Testzwecken ein Email-Konto erstellen will und es nach 3 Tagen eh nie wieder benutze? Oder wenn ich mich eh nur im Forum anmelde, um in einem Thread zu posten und dann nach einer Woche das Forum nie wieder zu besuchen? Dann kann ich auch abc als Passwort verwenden. Werde aber gezwungen irgendeinen Quatsch da einzugeben, den ich mir dann aufschreiben muss etc.

              Nee nee. User sind mündiger als du vielleicht denkst. Ein Warnhinweis reicht imho völlig aus.

              1. Hallo,

                Trotz deiner Verlinkung bleibst du bisher schuldig zu erklären, warum Sicherheitsmechanismen gegen Bruteforce Einlogversuche nicht ausreichend sein sollen.

                Sie sind nicht ausreichend. Wie soll ich das bitte beweisen? Facebook-, Twitter-, Google-Accounts werden tagtäglich tausendfach gehackt, wie man an dem entsprechenden Spam auf den Plattformen sieht. In erster Linie aufgrund von schwachen Passwörtern.

                Die genannten Sites verwenden:

                • SSL, Passwörter werden gehasht gespeichert, beschränkt gültige Reset-E-Mails usw.
                • Optionale Two-Factor-Authentication via SMS, alternative E-Mail-Adressen
                • IP- und Geo-IP-Prüfungen und andere Heuristik (Browser, OS, Cookies…), um verdächtige Anmeldungen zu erkennen
                • Drosselung von Anmeldeversuchen, temporäres Sperren bei vielen Anmeldeversuchen
                • Per E-Mail wird auf verdächtige Logins hingewiesen, um User auf Angriffe hinzuweisen und ggf. andere Sessions beenden zu können
                • Gegebenenfalls CAPTCHA. Bei Facebook muss man nach erfolgreicher, aber verdächtiger Anmeldung FreundInnen korrekt auf Fotos identifizieren. Also nichts, was eine unwissende Maschine oder ein beliebiger Mechanical Turk lösen könnte.

                Das sind bereits ausgefeilte Maßnahmen, um nicht legitime Logins zu verhindern. Wären sie alleinig effektiv, wären schwache Passwörter erst nach Kompromittieren der Datenbank problematisch. (Und dann hauptsächlich, wenn sie wiederverwendet werden.) Das ist realistisch, aber sehr schwierig im Vergleich zum einfachen Knacken von Accounts durch die Vordertür. Ein starkes Passwort kann das verhindern.

                Was ist denn, wenn es mir völlig egal ist, ob der Account geknackt wird?

                Dann verstößt du wahrscheinlich gegen die Terms of Services. In denen von größeren Websites (E-Commerce, Social Networks, Blogging, Fotodienste, E-Mail-Anbieter, Payment…) steht meist, dass die User für die Sicherheit ihres Accounts zu sorgen haben und ein starkes Passwort wählen sollen. Eben weil diese Sicherheit mit der Sicherheit und Vertrauenswürdigkeit des Systems verknüpft ist.

                Wenn ich z.B. nur mal eben zu Testzwecken ein Email-Konto erstellen will und es nach 3 Tagen eh nie wieder benutze?

                Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht. Das fällt dann möglicherweise auf dich zurück, falls du persönliche Daten bei der Registrierung angeben musstest.

                Oder wenn ich mich eh nur im Forum anmelde, um in einem Thread zu posten und dann nach einer Woche das Forum nie wieder zu besuchen? Dann kann ich auch abc als Passwort verwenden.

                Das ist keine gute Idee, wenn du nicht willst, dass jemand deine Identität übernimmt und unter deinem Account Spam oder einfach nur Unsinn postet, um dir zu schaden.

                Werde aber gezwungen irgendeinen Quatsch da einzugeben, den ich mir dann aufschreiben muss etc.

                Dann setze einen Passwort-Manager ein.

                User sind mündiger als du vielleicht denkst.

                User haben i.d.R. keine Ahnung von der Sicherheit eines Informationssystems und den nötigen Maßnahmen. Wie sollten sie auch. Schwache Passwörter zu benutzen hat nichts mit Mündigkeit zu tun, sondern mit technischem Unwissen. Das meine ich gar nicht abfällig.

                Grüße
                Mathias

                1. Hallo,

                  Trotz deiner Verlinkung bleibst du bisher schuldig zu erklären, warum Sicherheitsmechanismen gegen Bruteforce Einlogversuche nicht ausreichend sein sollen.

                  Sie sind nicht ausreichend. Wie soll ich das bitte beweisen? Facebook-, Twitter-, Google-Accounts werden tagtäglich tausendfach gehackt, wie man an dem entsprechenden Spam auf den Plattformen sieht. In erster Linie aufgrund von schwachen Passwörtern.

                  Wie kommst du darauf, dass der Spam daher kommt? Ich vermute viel eher, dass das mit nem Trojaner infizierte Rechner sind, von denen aus der Spam versendet werden. Brute Force bei den oben genannten Anbietern kannste vergessen, die Gründe hast du ja selbst aufgeführt.

                  Das sind bereits ausgefeilte Maßnahmen, um nicht legitime Logins zu verhindern. Wären sie alleinig effektiv, wären schwache Passwörter erst nach Kompromittieren der Datenbank problematisch.

                  Genau so ist es ja auch.

                  (Und dann hauptsächlich, wenn sie wiederverwendet werden.) Das ist realistisch, aber sehr schwierig im Vergleich zum einfachen Knacken von Accounts durch die Vordertür.

                  Die Anbieter lassen zeigen einfach nach 10 Versuchen Captchas und ergreifen andere Maßnahmen, damit automatisiertes Einloggen nicht möglich ist. Wenn natürlich das Passwort nach 10 Versuchen geknackt ist... DANN war es wirklich zu schwach. ;)

                  Was ist denn, wenn es mir völlig egal ist, ob der Account geknackt wird?

                  Dann verstößt du wahrscheinlich gegen die Terms of Services.

                  Habe weder bei Facebook noch bei Google eine entsprechende Stelle in den ToS gefunden. Da steht nur, dass man das Passwort nicht weitergeben darf und für dessen Sicherheit selbst verantwortlich ist. Und selbst wenn - ich bezweifel, dass mich ein deutsches Gericht deswegen verurteilen wird, weil ich bei Facebook ein schwaches Passwort gewählt habe. ;)

                  Wenn ich z.B. nur mal eben zu Testzwecken ein Email-Konto erstellen will und es nach 3 Tagen eh nie wieder benutze?

                  Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht.

                  Geht ja nicht, weil, siehe oben.

                  Oder wenn ich mich eh nur im Forum anmelde, um in einem Thread zu posten und dann nach einer Woche das Forum nie wieder zu besuchen? Dann kann ich auch abc als Passwort verwenden.

                  Das ist keine gute Idee, wenn du nicht willst, dass jemand deine Identität übernimmt und unter deinem Account Spam oder einfach nur Unsinn postet, um dir zu schaden.

                  Geht ja nicht, weil, siehe oben.

                  Aber mal was anderes. Wenn ein Trojaner meinen Rechner verseucht, weil ich unversichtig war (das ist ja zu 95% der Grund, von 0day Exploits mal abgesehen), bin ich dann auch rechtlich verantwortlich dafür, dass der über meine Accounts Quatsch macht? Ich wage es stark zu bezweifeln. Wenn überhaupt, dann liegt die Beweislast bei mir, aber wenn z.B. anhand von IPs bewiesen werden kann, dass ich da nicht im Forum gepostet habe, dann bin ich raus aus der Sache.

                  Aber ich kann durchaus nachvollziehen, was du schreibst. Jetzt wo ich darüber nachdenke gibt es bestimmt viele, die unter meinem Namen - der ja nun doch aufgrund meiner qualitativ sehr hochwertigen Beiträge einen sehr guten Ruf genießt - Beiträge verfassen wollen.
                  Oh warte, ich sollte den vielleicht bei SELFHTML langsam mal registrieren. ;)

                  Werde aber gezwungen irgendeinen Quatsch da einzugeben, den ich mir dann aufschreiben muss etc.

                  Dann setze einen Passwort-Manager ein.

                  Tu ich, den von Firefox. Und dann will ich mal vom Handy aus zugreifen oder von der Arbeit - pustekuchen.

                  User sind mündiger als du vielleicht denkst.

                  User haben i.d.R. keine Ahnung von der Sicherheit eines Informationssystems und den nötigen Maßnahmen.

                  Davon habe ich nicht gesprochen. Lies bitte genauer, was ich schreibe.
                  Es reicht imho aus, ihnen eine Warnung mit ggf. entsprechender Erklärung zu zeigen. Danach sollen sie dann als mündige User selbst entscheiden. Dafür braucht man übrigens auch kein technisches Wissen.

                  1. Hallo,

                    Wie kommst du darauf, dass der Spam daher kommt?

                    Weil die betroffenen Personen das z.B. auf Twitter schreiben.

                    Brute Force bei den oben genannten Anbietern kannste vergessen, die Gründe hast du ja selbst aufgeführt.

                    Um den Spieß umzudrehen: Das ist eine Behauptung. Beweise doch einmal, dass Accounts nicht auf diese Weise geknackt werden.

                    Das sind bereits ausgefeilte Maßnahmen, um nicht legitime Logins zu verhindern. Wären sie alleinig effektiv, wären schwache Passwörter erst nach Kompromittieren der Datenbank problematisch.

                    Genau so ist es ja auch.

                    Dann erkläre mir, warum alle Dienste überhaupt darauf hinweisen, starke Passwörter zu verwenden. Wenn das das einzige Szenario ist, sind starke Passwörter deiner Argumentation nach überflüssig, solange man sie nicht wiederverwendet.

                    Die Anbieter lassen zeigen einfach nach 10 Versuchen Captchas und ergreifen andere Maßnahmen, damit automatisiertes Einloggen nicht möglich ist.

                    Die habe ich ja im Detail beschrieben. Das reicht aber nicht aus, wenn z.B. ein Botnetz einfach hunderttausende Accounts nacheinander mit einem Dictionary durchprobiert. Die Versuche liegen dann weit auseinander, es ist kein Angriffspattern erkennbar und die beschriebene Heuristik schlägt auch nicht Alarm.

                    Da steht nur, dass man das Passwort nicht weitergeben darf und für dessen Sicherheit selbst verantwortlich ist.

                    Ja, und dort ist üblicherweise verlinkt, dass du ein starkes Passwort verwenden solltest. Bspw. Twitter:

                    »You are responsible for safeguarding the password that you use to access the Services and for any activities or actions under your password. We encourage you to use "strong" passwords (passwords that use a combination of upper and lower case letters, numbers and symbols) with your account. Twitter cannot and will not be liable for any loss or damage arising from your failure to comply with the above.«
                    https://twitter.com/tos

                    Siehe auch
                    https://support.google.com/accounts/answer/46526
                    https://support.google.com/accounts/answer/32040

                    https://de-de.facebook.com/help/131719720300233/
                    https://de-de.facebook.com/help/379220725465972/

                    Warum reiten die großen Dienste so darauf herum, wenn Whouzuo doch sagt, dass es unnötig ist?

                    Und selbst wenn - ich bezweifel, dass mich ein deutsches Gericht deswegen verurteilen wird, weil ich bei Facebook ein schwaches Passwort gewählt habe. ;)

                    Hat auch niemand behauptet. Es ist trotzdem fahrlässig, ein schwaches Passwort zu wählen. Und Site-Betreiber wollen es verhindern.

                    Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht.

                    Geht ja nicht, weil, siehe oben.

                    Du bist Betreiber eines solchen E-Mail-Dienstes oder woher nimmst du diese absolute Gewissheit?

                    Dann setze einen Passwort-Manager ein.

                    Tu ich, den von Firefox. Und dann will ich mal vom Handy aus zugreifen oder von der Arbeit - pustekuchen.

                    Ich rede von browserunabhängigen, plattformübergreifenden Passwort-Managern, die Passwörter über Geräte hinweg synchronisieren können.
                    http://en.wikipedia.org/wiki/List_of_password_managers

                    Mathias

                    1. Hallo,

                      Wie kommst du darauf, dass der Spam daher kommt?

                      Weil die betroffenen Personen das z.B. auf Twitter schreiben.

                      Und woher wissen die, dass ihr Passwort geknackt wurde und dass es kein Trojaner war?

                      Brute Force bei den oben genannten Anbietern kannste vergessen, die Gründe hast du ja selbst aufgeführt.

                      Um den Spieß umzudrehen: Das ist eine Behauptung. Beweise doch einmal, dass Accounts nicht auf diese Weise geknackt werden.

                      Wie soll denn das gehen? Man hat ja nur 10 Versuche oder so. Innerlab dieser kann ein "123" Passwort natürlich geknackt werden. Solche extrem häufigen Passworte kann man ja dann in eine Blacklist speichern. Fertig.

                      Das sind bereits ausgefeilte Maßnahmen, um nicht legitime Logins zu verhindern. Wären sie alleinig effektiv, wären schwache Passwörter erst nach Kompromittieren der Datenbank problematisch.

                      Genau so ist es ja auch.

                      Dann erkläre mir, warum alle Dienste überhaupt darauf hinweisen, starke Passwörter zu verwenden. Wenn das das einzige Szenario ist, sind starke Passwörter deiner Argumentation nach überflüssig, solange man sie nicht wiederverwendet.

                      Aus dem gleichen Grund, warum auf Teepackungen steht "Gießen sie das Getränk mit sprudelnd kochendem Wasser auf. Nur so erhalten sie ein sicheres Lebensmittel" (oder so ähnlich).

                      Die Anbieter lassen zeigen einfach nach 10 Versuchen Captchas und ergreifen andere Maßnahmen, damit automatisiertes Einloggen nicht möglich ist.

                      Die habe ich ja im Detail beschrieben. Das reicht aber nicht aus, wenn z.B. ein Botnetz einfach hunderttausende Accounts nacheinander mit einem Dictionary durchprobiert.

                      Sie können ja bei jedem Benutzer nur 10 Dictionary-Einträge ausprobieren. Und wie ich bereits schrieb (nicht nur in diesem Post übrigens...), kann man ja die damit knackbaren Passwörter in einem Blacklist speichern.

                      Die Versuche liegen dann weit auseinander, es ist kein Angriffspattern erkennbar und die beschriebene Heuristik schlägt auch nicht Alarm.

                      Was denn, pro Monat ein Passwort durchprobieren oder wie? Sinnvoll...
                      Außerdem fällt es trotzdem auf, wenn die Anzahl der Anmeldeversuche plötzlich stark steigt.

                      Da steht nur, dass man das Passwort nicht weitergeben darf und für dessen Sicherheit selbst verantwortlich ist.

                      Ja, und dort ist üblicherweise verlinkt, dass du ein starkes Passwort verwenden solltest. Bspw. Twitter:

                      Genau. "solltest" ist das Stichwort. Und somit verstoße ich nicht gegen die TSO und deine Aussage ist hinfällig.

                      Warum reiten die großen Dienste so darauf herum, wenn Whouzuo doch sagt, dass es unnötig ist?

                      Tun sie doch gar nicht. Bei Google kann ich easy abcde12345 als Passwort eingeben und das wird akzeptiert. Die Entropie ist allerdings verdammt gering und die meisten Dictionary Angriffe (ohne login Versuch Begrenzung) würden das schnell knacken.

                      Und selbst wenn - ich bezweifel, dass mich ein deutsches Gericht deswegen verurteilen wird, weil ich bei Facebook ein schwaches Passwort gewählt habe. ;)

                      Hat auch niemand behauptet.

                      Na dann ists ja gut und es ist meine Entscheidung.

                      Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht.

                      Geht ja nicht, weil, siehe oben.

                      Du bist Betreiber eines solchen E-Mail-Dienstes oder woher nimmst du diese absolute Gewissheit?

                      Na dann erklär doch mal, wie das gehen soll. Absolute Gewissheit gibt es sowieso nie also spar dir diese Worthülsen.

                      Dann setze einen Passwort-Manager ein.

                      Tu ich, den von Firefox. Und dann will ich mal vom Handy aus zugreifen oder von der Arbeit - pustekuchen.

                      Ich rede von browserunabhängigen, plattformübergreifenden Passwort-Managern, die Passwörter über Geräte hinweg synchronisieren können.
                      http://en.wikipedia.org/wiki/List_of_password_managers

                      Klingt ja super. Entweder proprietär (wer weiß, ob die nicht meine Passwörter kennen) oder umständlich bzw. nicht für die von mir benötigten Plattformen verfügbar. Auf der Arbeit darf ich mir so ein Ding sowieso nicht installieren. Wie du siehst, es löst einige Probleme aber nicht alle - und erzeugt teilweise auch Neue.

                      1. Moin Whouzuo,

                        Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht.

                        Geht ja nicht, weil, siehe oben.

                        Du bist Betreiber eines solchen E-Mail-Dienstes oder woher nimmst du diese absolute Gewissheit?

                        Na dann erklär doch mal, wie das gehen soll. Absolute Gewissheit gibt es sowieso nie also spar dir diese Worthülsen.

                        Also, als jemand, der einen E-Mail-Service betreibt und bereits von genau diesem Szenario betroffen war kann ich dir sagen: das geht ;) Das Passwort wurde über IMAP ausgetestet und das führte dazu, dass wir auf einmal ein starkes Spam-Problem hatten.

                        Ein anderer „Kunde” (ich betreibe das ja nur privat und Firmen-intern) hatte das Problem, dass seine Benutzerdaten bei dem Adobe-Hack geleakt wurden. Und wieder ein starkes Spam-Problem.

                        Seitdem verteile ich die Passwörter selber, ist zwar mehr Arbeit für mich weil dann durchaus schonmal Anfragen auf Passwort-Reset kommen, aber ich kann mir zumindest sicher sein, dass die Passwörter nicht woanders verwendet werden und dass sie „strong” sind.

                        LG,
                         CK

                        1. Moin Whouzuo,

                          Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht.

                          Geht ja nicht, weil, siehe oben.

                          Du bist Betreiber eines solchen E-Mail-Dienstes oder woher nimmst du diese absolute Gewissheit?

                          Na dann erklär doch mal, wie das gehen soll. Absolute Gewissheit gibt es sowieso nie also spar dir diese Worthülsen.

                          Also, als jemand, der einen E-Mail-Service betreibt und bereits von genau diesem Szenario betroffen war kann ich dir sagen: das geht ;) Das Passwort wurde über IMAP ausgetestet und das führte dazu, dass wir auf einmal ein starkes Spam-Problem hatten.

                          Ja und ihr hattet keine Gegenmaßnahmen ergriffen? Dann ist das auch keine Antwort auf meine Frage...

                          Ein anderer „Kunde” (ich betreibe das ja nur privat und Firmen-intern) hatte das Problem, dass seine Benutzerdaten bei dem Adobe-Hack geleakt wurden. Und wieder ein starkes Spam-Problem.

                          Und auch das nicht...

                          Seitdem verteile ich die Passwörter selber, ist zwar mehr Arbeit für mich weil dann durchaus schonmal Anfragen auf Passwort-Reset kommen, aber ich kann mir zumindest sicher sein, dass die Passwörter nicht woanders verwendet werden und dass sie „strong” sind.

                          ??? D.h. du kennst mein Passwort und könntest dich als mich ausgeben? Also bei dir würde ich dann wahrscheinlich keine Email-Adresse machen, es sei denn du gehörst zur Familie oder so.

                          Keine Ahnung warum so ein Beitrag mit fachlich hilfreich bewertet wird, auch wenn er an meinen Fragen ziemlich vorbei geht...

                          1. Moin Whouzuo,

                            Also, als jemand, der einen E-Mail-Service betreibt und bereits von genau diesem Szenario betroffen war kann ich dir sagen: das geht ;) Das Passwort wurde über IMAP ausgetestet und das führte dazu, dass wir auf einmal ein starkes Spam-Problem hatten.

                            Ja und ihr hattet keine Gegenmaßnahmen ergriffen? Dann ist das auch keine Antwort auf meine Frage...

                            Du hast ja auch keine Frage gestellt. Und doch, natürlich gibt es Gegenmaßnahmen. Aber 5 Versuche haben gereicht, oder genauer gesagt, 5 Versuche von immer wechselnden IP-Adressen: nach 5 Versuchen wird nämlich die IP für 12 Stunden gesperrt.

                            Seitdem verteile ich die Passwörter selber, ist zwar mehr Arbeit für mich weil dann durchaus schonmal Anfragen auf Passwort-Reset kommen, aber ich kann mir zumindest sicher sein, dass die Passwörter nicht woanders verwendet werden und dass sie „strong” sind.

                            ??? D.h. du kennst mein Passwort und könntest dich als mich ausgeben? Also bei dir würde ich dann wahrscheinlich keine Email-Adresse machen, es sei denn du gehörst zur Familie oder so.

                            Zitat von oben: „(ich betreibe das ja nur privat und Firmen-intern)”. Solange du also nicht bei uns anfängst zu arbeiten oder du dich in meine Familie einheiratest, wird das mit deiner E-Mail-Adresse bei mir also eh nichts ;-)

                            Keine Ahnung warum so ein Beitrag mit fachlich hilfreich bewertet wird, auch wenn er an meinen Fragen ziemlich vorbei geht...

                            Du hast keine mir ersichtliche Frage gestellt. Ich wollte Dir dagegen nur einen Erfahrungsbericht geben, der Dir ein wenig Einblick gibt, dass Probleme mit schwachen Passwörtern auch heute noch existieren und es durchaus gute Gründe gibt, warum man auch als Betreiber auf starke Passwörter achten will.

                            LG,
                             CK

                          2. Also, als jemand, der einen E-Mail-Service betreibt und bereits von genau diesem Szenario betroffen war kann ich dir sagen: das geht ;) Das Passwort wurde über IMAP ausgetestet und das führte dazu, dass wir auf einmal ein starkes Spam-Problem hatten.
                            ...
                            ... (ich betreibe das ja nur privat und Firmen-intern)

                            Damit ist das wohl kaum auf die Masse zu übertragen. Wer dagegen jedem der einen Browser bedienen kann ein Emailkonto anbietet, der braucht keine Nutzer mit schwachem Paßwort, damit sein Dienst zum versenden von Spam verwendet werden kann.

                            1. Erst wollte ich auf das "(ich betreibe das ja nur privat und Firmen-intern)" im Beitrag darunter antworten, und bin dann einen Beitrag (zu wenig) nach oben gegangen, als ich das Original zitieren wollte.

                              1. Erst wollte ich auf das "(ich betreibe das ja nur privat und Firmen-intern)" im Beitrag darunter antworten, und bin dann einen Beitrag (zu wenig) nach oben gegangen, als ich das Original zitieren wollte.

                                Sollte man in so einem Fall, in einem Forum, welches kein Bord ist, eigentlich an der richtigen Stelle noch mal posten, oder dort einen Verweis auf den Beitrag hinterlassen, oder gar nichts tun?

                                Das SELFHTML-Forum ist das einzige Forum, welches kein Bord ist, in dem ich oft bin bzw. oft selber was hinterlasse.

                                1. Om nah hoo pez nyeetz, Texter mit x!

                                  Sollte man in so einem Fall, in einem Forum, welches kein Bord ist, eigentlich an der richtigen Stelle noch mal posten, oder dort einen Verweis auf den Beitrag hinterlassen, oder gar nichts tun?

                                  Du darfst davon ausgehen, dass der Beitrag gefunden wird.

                                  Matthias

                                  --
                                  Der Unterschied zwischen Java und JavaScript ist größer als der zwischen Müll und Müllerstochter.

                            2. Moin Texter,

                              Also, als jemand, der einen E-Mail-Service betreibt und bereits von genau diesem Szenario betroffen war kann ich dir sagen: das geht ;) Das Passwort wurde über IMAP ausgetestet und das führte dazu, dass wir auf einmal ein starkes Spam-Problem hatten.
                              ...
                              ... (ich betreibe das ja nur privat und Firmen-intern)

                              Damit ist das wohl kaum auf die Masse zu übertragen.

                              Welches? Dass ein potentieller Angreifer Passwörter über IMAP ausprobiert? Klar, das ist auf die Masse übertragbar. Dass der Dienstebetreiber das Passwort vorgibt? Nein, natürlich nicht, habe ich auch nie behauptet.

                              Wer dagegen jedem der einen Browser bedienen kann ein Emailkonto anbietet, der braucht keine Nutzer mit schwachem Paßwort, damit sein Dienst zum versenden von Spam verwendet werden kann.

                              Einer der Gründe, warum ich die ISP-Schiene nicht weiter gemacht habe :)

                              LG,
                               CK

                              1. Moin Texter,

                                Ja, guten Morgen, ich habe es dennoch jetzt erst gesehen.

                                Also, als jemand, der einen E-Mail-Service betreibt und bereits von genau diesem Szenario betroffen war kann ich dir sagen: das geht ;) Das Passwort wurde über IMAP ausgetestet und das führte dazu, dass wir auf einmal ein starkes Spam-Problem hatten.
                                ...
                                ... (ich betreibe das ja nur privat und Firmen-intern)

                                Damit ist das wohl kaum auf die Masse zu übertragen.

                                Dass ein potentieller Angreifer Passwörter über IMAP ausprobiert? Klar, das ist auf die Masse übertragbar.

                                Auf die Masse derer, die keinen Wert auf ein gutes Paßwort legen. Fraglich ist, welche Argumente dagegen sprechen, diese Freiheit (keinen Wert auf ein gutes Paßwort zu legen) zu nutzen, bzw. an welchen und wessen Interessen diese Freiheit endet oder enden sollte.

                                Die Diskussion, wie ein Paßwort herausgefunden werden kann, fand nicht im luftleeren Raum statt.
                                Es ging doch darum, ob und wie sich durch die obige Masse, negative Auswirkungen auf den Betreiber ergeben. Für jemanden, der sich nicht mit Spam rumschlagen will und auch eine reale Chance darauf hat, weil er nur einer Hand voll bekannter Leuten Email-Accounts vergibt, hat es negative Auswirkungen, wenn ein Paßwort leicht herauszubekommen ist. Du hattest ein Spam-Problem, für das eine signifikante Ursache mit einer realistischen Chance vermeidbar war. In der Masse der Fälle ist dem aber nicht so, denn dort ist der Spam unvermeidbar.

                                Dass der Dienstebetreiber das Passwort vorgibt? Nein, natürlich nicht, habe ich auch nie behauptet.

                                Auf etwas derartiges wollte ich auch nicht hinaus.

                                1. Moin Texter,

                                  Auf die Masse derer, die keinen Wert auf ein gutes Paßwort legen. Fraglich ist, welche Argumente dagegen sprechen, diese Freiheit (keinen Wert auf ein gutes Paßwort zu legen) zu nutzen, bzw. an welchen und wessen Interessen diese Freiheit endet oder enden sollte.

                                  Nun, wie hier bereits dargelegt: die negativen Folgen für den Betreiber, z.B. mich.

                                  Es ging doch darum, ob und wie sich durch die obige Masse, negative Auswirkungen auf den Betreiber ergeben. Für jemanden, der sich nicht mit Spam rumschlagen will und auch eine reale Chance darauf hat, weil er nur einer Hand voll bekannter Leuten Email-Accounts vergibt, hat es negative Auswirkungen, wenn ein Paßwort leicht herauszubekommen ist. Du hattest ein Spam-Problem, für das eine signifikante Ursache mit einer realistischen Chance vermeidbar war. In der Masse der Fälle ist dem aber nicht so, denn dort ist der Spam unvermeidbar.

                                  Ich glaube, du hast nicht verstanden, was ich mit einem Spam-Problem meinte. Damit ist gemeint, dass der von mir betriebene Server aufgrund der erratenen Nutzer-Daten als Spam-Relay benutzt wurde. Und das führte dazu, dass wir bei den großen Providern ziemlich schnell auf der Blacklist landeten (Stichwort negative Reputation). Das hat _nichts_ damit zu tun, dass jemand eventuell eine Spam-Mail bekommt. Das Problem ist, dass mein Server zum Spam-Sender wurde. Letztlich hilft hier nur entweder eine neue IP-Adresse oder, alternativ, viel Geduld und Zeit, um wieder von den Blacklists runter zu kommen. Comcast (USA) z.B. war da wirklich hartnäckig, da wusste ich mich am Ende nicht mehr weiter zu helfen als von meiner privaten E-Mail-Adresse (anderer Server) eine Mail an abuse@ zu schreiben.

                                  Bei dem zweiten Vorfall (geleakte Nutzerdaten bei Adobe) sind wir immer noch nicht von allen Blacklists runter.

                                  LG,
                                   CK

                                  1. Auf die Masse derer, die keinen Wert auf ein gutes Paßwort legen. Fraglich ist, welche Argumente dagegen sprechen, diese Freiheit (keinen Wert auf ein gutes Paßwort zu legen) zu nutzen, bzw. an welchen und wessen Interessen diese Freiheit endet oder enden sollte.

                                    Nun, wie hier bereits dargelegt: die negativen Folgen für den Betreiber, z.B. mich.

                                    Ich sagte, das ist wohl kaum auf die Masse übertragbar. Du, daß ein potentieller Angreifer Passwörter über IMAP ausprobiert, schon. (Ich bin daraufhin überhaupt nur _auch_ auf die Nutzer eingegangen, weil ich nicht erkennen konnte, welche "Masse" Du meinst.)

                                    Das "betrifft" also die Nutzer von Email-accounts, egal ob von Betreibern wie Dir oder von Betreibern die jedem einen (oder beliebig viele) Accounts gewähren, also die Masse der Nutzer. Nur "betrifft" es sie nicht in dem Sinne, in dem es ihnen nicht egal wäre, denn wir reden hier ausdrücklich von Nutzern, denen es egal ist. (Insofern ist es für die Diskussion ohne Belang.)

                                    Zu den Betreibern:
                                    Die Betreiber für die Masse der Fälle betrifft es aber nicht, sondern nur Betreiber wie dich. Betreiber sind nur betroffen, wenn Sie nicht ohnehin von jedem dazu verwendet werden können Spam zu versenden. In der Masse der Fälle können die Dienste aber ohnehin zum Versenden von Spam verwendet werden.

                                    Es ging doch darum, ob und wie sich durch die obige Masse, negative Auswirkungen auf den Betreiber ergeben. Für jemanden, der sich nicht mit Spam rumschlagen will und auch eine reale Chance darauf hat, weil er nur einer Hand voll bekannter Leuten Email-Accounts vergibt, hat es negative Auswirkungen, wenn ein Paßwort leicht herauszubekommen ist. Du hattest ein Spam-Problem, für das eine signifikante Ursache mit einer realistischen Chance vermeidbar war. In der Masse der Fälle ist dem aber nicht so, denn dort ist der Spam unvermeidbar.

                                    Ich glaube, du hast nicht verstanden, was ich mit einem Spam-Problem meinte. Damit ist gemeint, dass der von mir betriebene Server aufgrund der erratenen Nutzer-Daten als Spam-Relay benutzt wurde. ...

                                    Genau so habe ich es verstanden. Wer jedem eine Email-account vergibt, der versendet zwangsläufig potentiell Spam über so viele Accounts wie Spamer Accounts angelegt haben. Das ist in irgendeiner Form ein Problem aber es ist kein Problem was aus leicht zu erratenden Nutzer-Paßwörtern entsteht. Bei Dir liegt dar Fall anders, weil Du nur Leuten Accounts vergeben hast, welche keinen Spam versenden. Dieser Umstand liegt bei der Masse der Fälle nicht vor.

                                    Ich wiederhole, dein Fall ist nicht auf die Masse übertragbar. Ja, Du hattest ein Spamproblem, weil wie von Dir beschrieben Nutzer-Paßwörter erraten wurden. In der Masse der Fälle wird aber auch ohne erratene Paßwörter Spam versendet. Dies ist ein Umstand mit dem die Betreiber dieser Dienste ohnehin umgehen müssen, der nicht durch nicht erratbare Nutzer-Paßwörter verhindert werden kann.

                                    Ist das jetzt angekommen? Oder hast Du das schon die ganze Zeit so verstanden und bist nur anderer Ansicht?

                2. Wenn ich z.B. nur mal eben zu Testzwecken ein Email-Konto erstellen will und es nach 3 Tagen eh nie wieder benutze?

                  Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht.

                  https://forum.selfhtml.org/?t=217971&m=1499164

                  WTF

                  1. Hallo,

                    ich weiß nicht, was du mit sagen willst; aber wenn du meinst, dass das ein erstrebenswertes Diskussionsniveau ist, dann ist es wohl in Ordnung, wenn ich mich hier ausklinke.

                    Mathias

                    1. ich weiß nicht, was du mit sagen willst; aber wenn du meinst, dass das ein erstrebenswertes Diskussionsniveau ist, dann ist es wohl in Ordnung, wenn ich mich hier ausklinke.

                      Was ich sagen wollte, zumindest nachdem ich dieses schöne gif gefunden hatte, war, Today I saw some weird shit. Worum es ging war und ist dem Link zu entnehmen.

                      Manchmal paßt sich das Niveau der Diskussion dem Niveau des Inhalts an, falls das hier überhaupt der Fall ist. Als ob "WTF" in diesem Forum ein Exot wäre.

                      1. hi,

                        "WTF"

                        mfg

                        tami

              2. Was ist denn, wenn es mir völlig egal ist, ob der Account geknackt wird?

                Nun, es ist dein gutes Recht, dass es dir egal sein kann, aber du solltest ggfl. bedenken, dass du dem jeweiligen Anbieter dadurch möglicherweise dennoch schadest.

                Wenn ich z.B. nur mal eben zu Testzwecken ein Email-Konto erstellen will und es nach 3 Tagen eh nie wieder benutze? Oder wenn ich mich eh nur im Forum anmelde, um in einem Thread zu posten und dann nach einer Woche das Forum nie wieder zu besuchen? Dann kann ich auch abc als Passwort verwenden. Werde aber gezwungen irgendeinen Quatsch da einzugeben, den ich mir dann aufschreiben muss etc.

                Ich kann deine Beispiele durchaus nachvollziehen; auch ich habe mehr als einmal irgendwelche Accounts in Foren angelegt, nur um einen einzelnen Beitrag zu posten und die Seite dann nach einer Weile nie wieder zu benutzen.
                Mich persönlich stört(e) daran allerdings weniger die Tatsache mir irgendein Passwort auszudenken, als vielmehr die Notwendigkeit überhaupt einen User-Account anlegen zu müssen, anstatt einfach die Möglichkeit zu haben anonym, bzw. ohne Account posten zu können (wie es hier im Forum glücklicherweise möglich ist).
                Soweit es mir irgendwie möglich war, habe ich die betreffenden User-Accounts nach meiner Nutzung dann auch wieder gelöscht, da ich persönlich ein Grundbedürfnis nach Daten-Ordnung habe: Ich möchte also eigentlich nicht, dass irgendwelche ungenutzten Accounts die Datenbanken verstopfen, selbst wenn es nicht meine eigenen sind. (Im übrigen ist es schon ein wenig erschreckend, wie wenige Foren ein Löschen von Useraccounts erlauben)

                Andererseits ist deine Argumentation schon ein bisschen widersprüchlich:
                Wenn du von vorneherein planst, einen Account nie wieder zu verwenden (oder es zumindest sehr wahrscheinlich ist), warum bist du dann überhaupt der Ansicht dir das jeweilige Passwort aufschreiben zu müssen? Da kannst du doch ebensogut ein komplett zufallsgeneriertes extrem langes Passwort verwenden. Eingeben musst du es doch sowieso nur zwei bis dreimal (zweimal bei der Erstellung, und einmal für den ersten Login) und dann nie wieder. Also praktisch genauso lang, wie du es in der Zwischenablage behalten kannst. Dann wird ja im Normallfall ein Cookie gesetzt, dessen Lebenszeit vermutlich deine geplante Nutzungsdauer sowieso übersteigt.

                1. Was ist denn, wenn es mir völlig egal ist, ob der Account geknackt wird?

                  Nun, es ist dein gutes Recht, dass es dir egal sein kann, aber du solltest ggfl. bedenken, dass du dem jeweiligen Anbieter dadurch möglicherweise dennoch schadest.

                  Indem ich jemandem, der zu blöd ist einen eigenen account anzulegen, die Möglichkeit gebe mein Paßwort zu knacken, damit er z.B. Urheberrechtsverletzungen begehen kann, als hätte er sich einen eigenen Account angelegt?

                  Mich persönlich stört(e) daran allerdings weniger die Tatsache mir irgendein Passwort auszudenken, als vielmehr die Notwendigkeit überhaupt einen User-Account anlegen zu müssen, anstatt einfach die Möglichkeit zu haben anonym, bzw. ohne Account posten zu können (wie es hier im Forum glücklicherweise möglich ist).

                  Das kann ich nachvollziehen. Aber was soll ich daraus ableiten? Daß man sich als Dienstanbieter den Nutzern zuliebe lieber ohne Account schaden lassen soll?

                  1. Das kann ich nachvollziehen. Aber was soll ich daraus ableiten? Daß man sich als Dienstanbieter den Nutzern zuliebe lieber ohne Account schaden lassen soll?

                    In erster Linie jedenfalls, dass der Dienstanbieter auch eine gewisse Mitverantwortung hat.

                    Ich denke durch diese künstliche Notwendigkeit für jeden Mist einen Useraccount anlegen zu müssen, wo es grundsätzlich auch ohne ginge (in erster Linie eben Webforen, aber die sind nicht der einzige Anwendungsfall), wird die ganze Problematik irgendwie erst provoziert, oder zumindest verschlimmert.

                    Und auch was die Account-Sicherheit angeht, sollte die Verantwortung nicht einzig beim Besitzer liegen, sondern auch der Betreiber sollte da mitwirken.
                    Zum Beispiel denke ich, dass es eine sinnvolle Idee wäre, Accounts grundsätzlich nach einer bestimmten Zeit der Inaktivität (der genaue Zeitraum hängt natürlich vom Anwendungsfall ab) zu sperren, so dass sie einer erneuten Aktivierung (mit neuem Passwort) bedürfen. So ein Account wäre schonmal nicht mehr hackbar.
                    Außerdem sollten Accounts nach einer weiteren Zeitspanne der Inaktivität auch automatisch gelöscht werden; allein schon um die Benutzer-Datenbank kompakt zu halten.

                    1. Das kann ich nachvollziehen. Aber was soll ich daraus ableiten? Daß man sich als Dienstanbieter den Nutzern zuliebe lieber ohne Account schaden lassen soll?

                      In erster Linie jedenfalls, dass der Dienstanbieter auch eine gewisse Mitverantwortung hat.

                      Ja, dem Nutzer keine Möglichkeiten an die Hand zu geben, die potentiell schädlich und für den Dienst erläßlich sind. Von mir aus auch Warnungen bei vermeintlich unsicheren Paßwörtern, wobei ich Anbieter, die das nicht machen, nicht unbedingt als verantwortungslos bezeichnen würde.

                      Was das mit Accounts vs. keine Accounts zu tun haben soll, sehe ich aber nicht.

                      Ich denke durch diese künstliche Notwendigkeit für jeden Mist einen Useraccount anlegen zu müssen, wo es grundsätzlich auch ohne ginge (in erster Linie eben Webforen, aber die sind nicht der einzige Anwendungsfall), wird die ganze Problematik irgendwie erst provoziert, oder zumindest verschlimmert.

                      Inwiefern? Und was eigentlich wird provoziert, oder zumindest verschlimmert? Weil Nutzer Accounts anlegen müssen, muß das Paßwort sicher sein? Weil Nutzer Accounts anlegen müssen, ist es für den Anbieter schädlich, wenn ein Nutzer-Paßwort herausgefunden wird? Stellst Du Dir eigentlich irgendwas konkretes vor oder fabulierst Du nur vor dich hin?

                      Und auch was die Account-Sicherheit angeht, sollte die Verantwortung nicht einzig beim Besitzer liegen, sondern auch der Betreiber sollte da mitwirken.

                      Sicherheit wofür? Vielleicht solltest du erstmal definieren, was hier überhaupt einer Sicherheit bedarf.

                      Zum Beispiel denke ich, dass es eine sinnvolle Idee wäre, Accounts grundsätzlich nach einer bestimmten Zeit der Inaktivität (der genaue Zeitraum hängt natürlich vom Anwendungsfall ab) zu sperren, so dass sie einer erneuten Aktivierung (mit neuem Passwort) bedürfen. So ein Account wäre schonmal nicht mehr hackbar.

                      Vom Sinn mal abgesehen, mit welchem Paßwort soll die Reaktivierung erfolgen? Oder wie soll sich der Nutzer identifizieren? Und das alte Paßwort wird gesperrt, damit der Nutzer sein neues nicht wieder darauf ändern kann? Warum soll es neu sein?

                      Ich frage mich wieder, stellst Du Dir eigentlich irgendwas konkretes vor oder fabulierst Du nur vor dich hin?

                2. Andererseits ist deine Argumentation schon ein bisschen widersprüchlich:
                  Wenn du von vorneherein planst, einen Account nie wieder zu verwenden (oder es zumindest sehr wahrscheinlich ist), warum bist du dann überhaupt der Ansicht dir das jeweilige Passwort aufschreiben zu müssen? Da kannst du doch ebensogut ein komplett zufallsgeneriertes extrem langes Passwort verwenden. Eingeben musst du es doch sowieso nur zwei bis dreimal (zweimal bei der Erstellung, und einmal für den ersten Login) und dann nie wieder.

                  Ja, außer ich will auch auf der Arbeit posten. Oder vom Smartphone (ich benutze dort keinen Passwortmanager). Oder bei einem Freund vom PC aus. Oder zufälligerweise doch in einem Jahr nochmal...
                  Abgesehen davon: in Apps z.B. (konrektes Beispiel ist die car2go app) kann man oft keinen Passwortmanager verwenden und das Passwort bleibt nicht beliebig lange gespeichert. (übrigens noch ein Hass-Kritikpunkt von mir, wobei es bei car2go wenigstens noch nachvollziehbar ist) Also MUSS ich mir das Passwort merken oder aufschreiben.

            2. hi molily,

              Der Autor hat hier m.E. eine verkürzten Sicht auf User Experience. Starke Passwörter zu wählen ist leider nicht komfortabel und oftmals nervig für User. Nun zu versuchen, den User bloß nicht mit Regeln für sichere Passwörter zu nerven, führt nicht zu einem sicheren Account und also letztlich auch zu keiner positiven User Experience, wenn der Account gekapert wird.

              https://forum.selfhtml.org/?t=217971&m=1499066 - da kommt auch http://xkcd.com/936/ vor ...; Tipps gegen Ende des Talks. Lange Passwörter mit Dingen, die man nicht so gerne mag, können sehr sicher sein, a la "ichmagkeinsauerkrautnein"

              mfg

              tami

    3. Lieber molily,

      Baue lieber eine Logik, die die Komplexität des Passworts beim Anlegen misst und gute Vorschläge gibt, wie User sichere Passwörter/Passphrases erstellen.

      hier (Talk auf Ted.com/Transcript des Vortrags) hat sich jemand einmal die Mühe gemacht, die Sicherheit von Passwörtern zu messen, um eine verlässliche Aussage über den "Grad der Sicherheit eines Passwortes" treffen zu können.

      Liebe Grüße,

      Felix Riesterer.

      --
      "Wäre die EU ein Staat, der die Aufnahme in die EU beantragen würde, müsste der Antrag zurückgewiesen werden - aus Mangel an demokratischer Substanz." (Martin Schulz, Präsident des EU-Parlamentes)
    4. Moin molily,

      Passwörter sollten mit einem Hash-Algorithmus, ergänzt durch einen zufälligen Salt, behandelt werden, bevor sie in der Datenbank gespeichert werden.

      Hierbei gilt noch zu beachten: die meisten kryptologischen Hash-Funktionen haben den Nachteil, dass sie darauf ausgelegt sind, schnell berechnet werden zu können. Also etwas, dass man für Passwörter so gar nicht will. Inzwischen hat man speziell für Passwörter solche Funktionen wie Bcrypt oder, der neue heiße Scheiss, Scrypt.

      LG,
       CK

  4. Hi,

    Wenn ich bei Ebay auf "Passwort vergessen" klicke, wird auch nur meine Email-Adresse benötigt, aber das Passwort wird mir nicht zugeschickt, sondern statt dessen ein Link, mit dem ich dann das Passwort zurücksetzen und neu vergeben kann.

    Warum wird das so gemacht? Weil dann das Passwort nicht im Klartext verschickt wird bzw. wenn sie angekommen ist in einer Mail steht oder weil man mit der Mail nur 24 Stunden etwas anfangen kann?

    Neben den bereits genannten Gründen:

    Wenn der Service dir direkt ein neues Passwort *setzen* würde, dass er dir anschließend zuschickt – dann kann ich dich, wenn ich deine Email-Adresse kenne, erst mal kurzzeitig „ausschließen“, weil du nach meiner Anforderung jetzt ein neues Passwort hast, von dem du aber noch gar nichts weißt … (und gerade bei eBay wäre das doof, wenn ich das kurz vor Ende einer Auktion, auf die du noch mitbietest, mache.)

    Klar, man könnte das auch so umsetzen, dass altes und neues Passwort parallel gespeichert werden, und für eine Übergangsphase beide gültig sind – aber das erhöht neben dem Aufwand ggf. auch den Angriffsvektor.

    Mit dem schlichten „Passwort zurücksetzen“-Link hingegen bleibt es dir überlassen, ob du den tatsächlich nutzt oder ignorierst (wenn die Anfrage eigentlich durch mich ausgelöst wurde).

    MfG ChrisB

    --
    Autocomplete has spoiled me to a point where it happens every so often that I encounter a CAPTCHA, and I just type in the first character … and then wait for the rest of the code to be automatically suggested :/