News Deutsche Passwörter sind für die Ewigkeit

[SheepShaver]

In vielen Fällen möchte man den User dazu zwingen, alte Passwörter nicht ständig wiederzuverwenden. Die Größer der Historie lässt sich daher meist konfigurieren, so dass beispielsweise die letzten 3 Passwörter nicht wiederverwendet werden können.

 

[dagobert50gold]

Braucht man dafür eine extra Software, oder ist das bei den meisten Forensystemen schon drin?

 

[psyabit]

Wenn jeder sein Passwort ständig ändern würde, gäbe es eine Überflutung von Datenbanken weil jeder immer wieder einen neuen Account zulegen müsste hahaha

 

[dagobert50gold]

Warum das? Man kann sich doch die Passwörter aufschreiben?

 

[Dese]

mal zum thema "lauschen":

eine man-in-the-middle-attacke ist quasi immer möglich. d.h. einer der an einem rechner sitzt über den deine verbindung zwischenläuft kann die zielseite simmulieren und deine anfragen im hintergrund an die eigentliche zielseite weiterleiten, um dir dann den inhalt anzuzeigen. wenn du dann z.b. deine überweisung fertig hast, ändert er den wertbetrag ab.

das läßt scih nur auf eine artverhindern: indem du auf deinem rechner bereits den publickey deines ziels (bank) oder einen fingerabdruck dessen speicherst und beim bescuhen der seite das überprüfst.

defakto macht das aber sogut wie keiner, z.m. nicht richtig. was gemacht wird, ist dass man dir anzeigt für wenn ein zertifikat asugestellt wurde. das läßt sich aber fälschen. ich kann (gewusst wie) mir ein zertifikat holen, das angeblich für die sparkasse ausgestellt wurde.

richtig wäre, den public-key der sparkasse (oder dessen kennung) auf meinem rechner zu speichern und damit zu vergleichen. nur dann wäre ich sicher, mich mit der sparkasse verbunden zu haben.

ssh sieht sowas vor. aber wie gesagt, dennoch wird sowas von vielen nicht genutzt oder ignoriert (unbekannte signatur? einfach die neue speichern). das liegt wohl daran, dass die normalen user keine ahnung davon haben, was das bedeutet und bewirken kann.

ich lach mich immer kaputt über die signaturprüfung auf der webseite meiner bank. da gibts ein icon wo mand raufklicken soll, damit die signatur überprüft wird. nach paar sekunden kommt dann ein neues icon das sagt "alles ok". als könnte man das nicht billig simulieren.

 

[SheepShaver]

Braucht man dafür eine extra Software, oder ist das bei den meisten Forensystemen schon drin?

Forensoftware hat sowas normalerweise nicht, da nicht sicherheitsrelevant.

 

[ToXiD]

Kein Wunder, dass Passwörter für die Ewigkeit sind.
Wenn ich mal meine eigenen Passwort"bedarf" skizziere, dann wird deutlich, dass man schon über ein sehr gutes Gedächtnis verfügen sollte. Denn eigentlich darf man Passwörter ja nicht aufschreiben.

Und so sieht der alltägliche Passwort-Wahnsinn aus:
Für meine Arbeit benötige ich 4 Passwörter: Einen für den Rechner selbst, eines für meine Fachanwendungen, eines für Outlook und eines für die Arbeitsstatistik.
Zu Hause wird es nicht wirklich besser: Für's Onlinebanking gehen, mal abgesehen von der TAN-Liste, 2 Passwörter drauf: Eines um sich anzumelden und ein weiteres, um bestimmte Kontoinformationen abzurufen.

Das wären schon 6 Passwörter für den täglichen Gebrauch, aber auch im restlichen Alltag brauch's Passwörter. Die Bestellung im Internet (z.B. Amazon, Ebay u.s.w.) kommt ohne Passwort nicht aus. Die PiN-Nr. für die EC-Karte wird da bald nebensächlich und ab und zu schaltet man ja auch sein Handy aus und wieder ein, wo dann ein PiN gefordert wird.

Und selbst in der Freizeit wird man von Passwörtern verfolgt: WoW will eins, Herr der Ringe-Online auch.... Glücklicherweise bin ich kein Forenmensch, so langen da ganze 2.

Für die tägliche bis regelmässig monatliche Nutzung komme ich damit rund bummelig auf etwa 12 passwortgeschütze Geschichten.

Kein Wunder, das man aus Faulheit dazu neigt, immer und vor allem ewig die gleichen Passwörter zu nutzen. Um den GAU dann noch perfekt zu machen: Es reichen ja nicht die Passwörter. Die Accounts dazu muss man auch wissen. Und entweder sind die vorgegeben oder man kann nur teilweise frei bestimmten. Und das soll man sich dann alles merken? Weil aus sicherheitstechnischer Sicht eine Notiz ja nicht in Frage kommt.
Man mag über Leute lachen, die ihre EC-PiN im Portemonaie mitführen - verstehen kann ich das allemal.

eine Grundanforderung beim Implementieren von Authorisierungssystemen, dass es eine Passworthistorie geben muss.

Dazu eine kurze Bemerkung. Besser als nichts. Arbeitet man aber lang genug damit, dann weiß man, wie man mit teilweise billigsten Mitteln diese Passworthistorie aushebeln kann. Nein, eine Anleitung dafür gibt es von mir nicht, auch nicht auf Anfrage.

Ich hoffe, das es irgendwann mal technisch möglich sein wird, dem Passwortwahn ein Ende zu setzen.

 

[Dese]

Ich hoffe, das es irgendwann mal technisch möglich sein wird, dem Passwortwahn ein Ende zu setzen.

ist es schon längst. aber noch nciht am markt. also geduld

 

[The_Jackal]

Früher war es ja relativ üblich bei jeder Windows-Neuinstallation wieder ein Passwort zu setzen, dann hatte man ja wieder ein neues Passwort

Mit XP und 7 hat man die Betriebssysteme natürlich länger.

Spaß beiseite.

In dem Unternehmen wo ich arbeite ist im ActiveDirectory 30 Tage eingestellt. Gnadenlos Bei meiner Uni war ích semesterweise angewiesen das PW zu ändern und in Praktikas oft üblich eben über deren Dauer von 3-6 Monaten.

Ich muss sagen, dass gute Passwörter ruhig länger halten dürfen. Warum soll ich die ändern. Angenommen, ich habe als Passwort ein kurzes Bibelzitat mit 35 Zeichen. Wozu das dann ändern? Das knackt eh keiner.