Ich hab gerade fast zehn Minuten versucht mir ein neues Passwort für meine Apple ID zu setzen, und jetzt erst mal abgebrochen, nach dem ein Passwort so ähnlich wie "Dekurator1" als "nicht komplex genug" abgelehnt wurde.
Zuvor durfte ich ein PW, dass ich 2013 mal kurz genutzt hatte, nicht wieder benutzen. Natürlich muss das PW einen Großbuchstaben und eine Zahl (oder Sonderzeichen?) enthalten, darf nicht zu kurz sein, und wer weiß was sich noch alles hinter der "Komplexität" verbirgt.
Ganz ehrlich, ich verstehe nicht, wozu das notwendig ist. Mein Beispielpasswort "Dekurator1" lässt sich, egal wie man es angeht (Wörterbuch-Attacke?) nicht ohne einiges Probieren erraten. Aber Brute-Force-Angriffe sollten doch problemlos erkannt und gestoppt werden können? Wenn sich innerhalb von Sekunden oder Minuten tausende Male versucht wird, von einer IP aus mit verschiedenen Passwörtern an einem Konto anzumelden: Lässt sich doch wohl erkennen und dann z. B. die für die IP sperren oder allgemein die Zeit, die zwischen zwei Versuchen vergehen muss, für das Konto temporär hochseten auf z. B: 10 Sekunden?
Z.B. gibt es für das Laravel PHP-Framework ein Package namens Sentry dass auch Login übernimmt und wenn sich bei einem Account ein paar Mal falsch angemeldet wird, dann wird der Account einfach für einige Minuten gesperrt. Brute Force ist damit ja eigentlich schon praktisch verhindert.
Was ich damit sagen will: Mich mit bescheuerten Regelungen bei der Passwortwahl gängeln zu müssen nervt gewaltig und ich glaube nicht, dass das wirklich notwendig ist. Dass das PW nicht aus nur einem Buchstaben bestehen sollte ist klar, aber "nicht komplex genug", hallo?
Zuvor durfte ich ein PW, dass ich 2013 mal kurz genutzt hatte, nicht wieder benutzen. Natürlich muss das PW einen Großbuchstaben und eine Zahl (oder Sonderzeichen?) enthalten, darf nicht zu kurz sein, und wer weiß was sich noch alles hinter der "Komplexität" verbirgt.
Ganz ehrlich, ich verstehe nicht, wozu das notwendig ist. Mein Beispielpasswort "Dekurator1" lässt sich, egal wie man es angeht (Wörterbuch-Attacke?) nicht ohne einiges Probieren erraten. Aber Brute-Force-Angriffe sollten doch problemlos erkannt und gestoppt werden können? Wenn sich innerhalb von Sekunden oder Minuten tausende Male versucht wird, von einer IP aus mit verschiedenen Passwörtern an einem Konto anzumelden: Lässt sich doch wohl erkennen und dann z. B. die für die IP sperren oder allgemein die Zeit, die zwischen zwei Versuchen vergehen muss, für das Konto temporär hochseten auf z. B: 10 Sekunden?
Z.B. gibt es für das Laravel PHP-Framework ein Package namens Sentry dass auch Login übernimmt und wenn sich bei einem Account ein paar Mal falsch angemeldet wird, dann wird der Account einfach für einige Minuten gesperrt. Brute Force ist damit ja eigentlich schon praktisch verhindert.
Was ich damit sagen will: Mich mit bescheuerten Regelungen bei der Passwortwahl gängeln zu müssen nervt gewaltig und ich glaube nicht, dass das wirklich notwendig ist. Dass das PW nicht aus nur einem Buchstaben bestehen sollte ist klar, aber "nicht komplex genug", hallo?
Zuletzt bearbeitet:
