Sinn von strengen Passwort-Restriktionen

  • Hallo Cosmo,

    Zitat von Cosmo

    Gib doch statt dessen lieber zu, daß sowohl deine Bedenken wegen verlorener Paßwortdatenbanken, Portabilität oder Keylogger beantwortet wurden. Zumindest hast du zu den dir gegebenen Antworten keine Rückfragen mehr gestellt.


    das ist richtig, allerdings teile ich nicht die Aussage jeder der Antworten, zumal das Thema Passwort-Manager zumindest leicht OT ist und nicht ganz (sondern nur teilweise) das ursprünglich angesprochene Problem löst, dass manche Anbieter den User zwingen, das Passwort regelmäßig zu ändern.

  • Die sagen summa summarum, dass es so angeblich sicherer sei. Wenn ich dann erwidere, dass man sich das Passwort so nicht mehr merken kann und es aufschreiben muss, sagen sie entweder gar nichts, oder dass man sich auch die geänderten Passwörter merken und nicht aufschreiben soll. Haha, können vor lachen.

  • Zitat von dark_rider

    Haha, können vor lachen.

    Da schliesse ich mich an. Solche Passwörter wie ~=cUy6vj oder t7&\=+,P mögen zwar sicher sein, merken kann ich zumindest mir so was nicht. Da lohnt sich schon ein Passwortmanager wie KeePass (auch wenn diese Bemerkung jetzt im Zusammenhang mit der Ursprungsfrage OT ist)

  • Zitat von dark_rider

    allerdings teile ich nicht die Aussage jeder der Antworten


    Mußt du ja auch nicht. Du mußt nicht einmal mitteilen, was du nicht teilst. Aber solche Absätze wie den in deinem vorangegangenen Beitrag solltest du dir dann auch schenken. Entweder du beläßt es stillschweigend bei Ablehnung oder du argumentierst inhaltlich dagegen, solche Generalvorwürfe sind weder hilfreich noch zielführend, weder inhaltlich noch für den Diskussionsverlauf.

    Du hattest deine Skepsis gegenüber den PWM hier ausgedrückt. Wenn man das in einem Diskussionsforum tut, muß man mit Antworten dazu rechnen. Wenn man keine Antworten will, darf man auch seine Skepsis nicht hier äußern. So sind Foren nun mal gestrickt. (Es gibt Leute, die hier auftreten und sich über FF aufregen, aber keine Antworten haben wollen, sondern sich nur auskotzen wollen. Diese Beiträge werden regelmäßig von den Mods entsorgt. Ich setze deine Beiträge keineswegs auf diese Ebene, aber der Vergleich soll klar machen, daß Statements ohne Erwartung von Antworten nun mal nicht in ein Forum gehören.)

  • Zitat von dark_rider

    Neues Passwort darf altes Passwort nicht enthalten oder diesem zu sehr ähneln. [...] Was ist Eure Meinung zu diesem Thema?


    Diese Restriktion findet unter anderem bei Google Anwendung und nervt mich dezent. :) Ich war nämlich durchaus schon in der Situation, mein Passwort bei einem meiner Google-Konten temporär zu ändern, um jemandem kurzzeitigen Zugriff zu geben. Ja, das sollte man nie, nie, nie machen, schon klar, aber das war eben die Situation, die Hintergründe will ich an dieser Stelle gar nicht diskutieren, es ging auch nicht um mein primäres Konto. Zu diesem Zeitpunkt wusste ich von dieser Restriktion überhaupt nichts. Nun darf ich für dieses Konto nicht mehr mein altes Passwort einstellen. Schöne Sch...ade. ;)

    Davon ab weiß ich nicht, ob es sicherheitsfördernd ist, dass Google bei Eingabe eines korrekten alten Passwortes nicht einfach wie bei allen anderen falschen Passwörtern sagt: Falscher Benutzername oder Passwort. Nein. Google sagt klar und deutlich: Dieses Passwort stimmt eigentlich schon, du hattest davor genau dieses Passwort. Und du hast das vor ungefähr xx Tagen geändert. Gerade in Anbetracht dessen, dass viele Benutzer häufig für alles die selben Anmeldedaten verwenden, sehe ich das ziemlich kritisch, da man damit eine Information preisgibt, die an dieser Stelle meiner Meinung nach einfach nichts verloren hat.

    Ansonsten sehe ich Vorgaben durch die Anwendung, wie eine Mindestlänge und meinetwegen auch den Zeichenvorrat in jedem Fall angemessen, während ich regelmäßige Pflicht-Änderungen komplett ablehne, auch unter Verwendung eines Passwort-Managers, wenn ich mir die Zugangsdaten nicht merken muss. Ich möchte einfach nicht zu einem regelmäßigen Aufwand gezwungen werden. Einmalige Vorgaben finde ich okay, alles darüber hinaus sollte komplett im Ermessen des Benutzers liegen. Das ist meine persönliche Meinung.

    Ich denke übrigens auch nicht, dass der Zwang zu regelmäßigen neuen Passwörtern im Durchschnitt die Sicherheit des einzelnen Passworts erhöht, sondern, ganz im Gegenteil, eher zu unsichereren Passwörtern verleitet. Demgegenüber steht wahrscheinlich die Überlegung, dass ein gefährdetes Passwort dann sowieso nur begrenzte Lebensdauer hat. Also das sind schon alles Konzepte, die in jedem Fall irgendwo ihre Daseinsberechtigung haben, hat eben alles seine Vor- und Nachteile. Die einen sind eben "nutzerfreundlicher" und die anderen weniger...

    Zitat von Docc

    Ein starkes Passwort, bestehend aus Buchstaben, Sonderzeichen und Ziffern, kann kein Mensch behalten. Es macht aber wenig Sinn, einen goldenen Mittelweg zu suchen, um ein Passwort zu generieren, welches man gerade noch im Kopf behalten kann, ohne es aufzuschreiben.


    Meine Passwörter für Server und E-Mail sind derart sicher gestaltet und die merke ich mir im Kopf, die werden keiner Software und nicht einmal einem Stück Papier anvertraut, diese Daten sind zu wichtig und damit lässt sich zu viel anstellen. Ist aber auch eh keine schlechte Übung, um den Kopf fit zu halten. Das ist nämlich auch sehr wichtig, wenn man viel am Computer arbeitet. ;)

    Auch für einen Passwort-Manager genügt am Ende nämlich wieder ein einziges Passwort, an welchem alle anderen Passwörter hängen. Das ist mir einfach eine zu große Abhängigkeit. Ich bin der Meinung, dass man eben nicht alle Passwörter am selben Ort verwalten kann, wenn dahinter wirklich sensible Daten stehen, und damit meine ich nicht belanglose private E-Mails oder Katzen-Videos. Und ein Passwort auf einem Zettel ist doch irgendwie wie die PIN-Nummer im selben Geldbeutel wie die Kreditkarte oder der Wohnungsschlüssel unter der Fußmatte. Die physische Entwendung ist viel zu einfach, auch diese Gefahr existiert. Und das muss nicht einmal eine böswillige Entwendung sein, es kann auch ein einfacher Verlust sein. Das kann immer passieren.

    Aber generell hast du natürlich Recht. Es ist kaum möglich, auf jeder Webseite unterschiedliche Passwörter zu besitzen, die als relativ sicher gesehen werden können, und sich diese alle zu merken. Das geht fast gar nicht ohne softwareseitige Hilfe. Allerdings steht dem die Portabilität gegenüber. Ich denke, das ist der Punkt, welcher viele Privatanwender vor dem Einsatz solcher Software zurückschreckt. Überall das selbe Passwort, das man sich merken kann, das macht keine Arbeit. Am Ende des Tages siegt die Gemütlichkeit immer über die Sicherheit bei Herr und Frau Otto Normal. Insbesondere da ich ausgehend von den gemachten Erfahrungen glaube, dass es oftmals auch gar nicht sooo das Bewusstsein für das Thema Passwort-Sicherheit gibt. In diesem Forum sind wir ja fast alle mehr oder weniger Experten, wir sind keine durchschnittlichen Anwender. Insofern ist vielleicht eine bessere digitale Aufklärung noch wichtiger als strenge Vorgaben beim Registrierungsvorgang auf irgendeiner Webseite. Eine Webseite sollte nicht einfach bestimmte Zeichen oder eine bestimmte Länge fordern, viel mehr sollte ein Gefühl dafür geschaffen werden, wieso der Benutzer ein sicheres Passwort wählen soll. Und das ist eine ganz andere Herausforderung. Digitiale Bildung statt einfach nur Vorgaben. So dass die Verwendung sicherer Passwörter eine Selbstverständlichkeit wird und ob man sich seine Passwörter merkt, sie notiert oder eine Software benutzt, nur noch die Antwort auf die Frage des Werkzeugs ist. Vor allem weil dieses Bewusstsein dann auf alle Anwendungen übertragen werden kann, auch jene, welche solche Vorgaben gar nicht stellen. Aufklärung ist nämlich der nachhaltigste Ansatz. Um wieder auf die Ausgangsfrage der persönlichen Meinung über solche Vorgaben zurückzukommen.

  • Hallo Sören,

    danke, in meinen Augen ein exzellenter Beitrag zum Thema.

    Meine noch brauchbarste Strategie für möglichst sichere Passwörter, die aber für jede Website verschieden sind, und die man sich trotzdem noch merken können sollte, ohne sie aufzuschreiben: Statt einem immer gleichen Passwort sollte man sich eine immer gleiche Logik ausdenken, nach der sich dass Passwort jeweils situationsbezogen ergibt. Nur sollte diese Logik dann auch jegliche Zweideutigkeit ausschließen, d.h. sie muss jederzeit und überall reproduzierbar sein - aber zugleich für Dritte nicht zu einfach erschließbar. Gar nicht so einfach...

  • Zitat von Road-Runner

    Mir ist kein solcher Anbieter bekannt.

    Ha, ich aber :grr:
    Der Admin meiner Firma nötigt uns 2 x im Jahr unsere Zugangsdaten zu ändern. Natürlich ändere ich dann jedesmal sofort wieder zurück, da meine Passwörter von Secure Login gemanagt werden.
    Meine Passwörter befinden sich übrigens zusätzlich auf einer gedruckten 4 seitigen Liste.... :roll:
    Z.K.: Der Zugriff auf das firmeneigene Mailprogramm und den Dienstplan von zu Hause aus ist firmenseitig ausdrücklich erwünscht und gehört zu unserer Arbeit...

  • Das ist aber dann, wenn ich es richtig verstehe, ein Arbeitgeber, der diese Restriktionen für seine Mitarbeiter eingeführt hat. Das Gleiche kenne ich auch von meiner Arbeit. Ich wollte aber eigentlich sagen, dass ich keinen Anbieter im Netz kenne, der diese Restriktionen für jedermann eingeführt hat, egal ob Mitarbeiter oder (gelegentlicher) Besucher der Seite.

  • Die Restriktion, regelmäßig sein Passwort ändern zu müssen, habe ich schon auf mehr als nur auf einer Webseite gesehen, wobei ich diese nicht mehr mit hundertprozentiger Sicherheit benennen könnte. Darüber reg ich mich kurz auf und dann vergess ich das. Ich meine, dass eine der Seiten, auf denen ich das schon erlebt habe, die Sparkasse Salzburg ist. Und bei irgendeinem größeren E-Mail-Anbieter ebenso, aber ich weiß echt nicht mehr welcher, da ich praktisch überall einen Account habe.... Oder habe ich Anbieter hier falsch verstanden? ^^

  • Zitat von Road-Runner

    Das ist aber dann, wenn ich es richtig verstehe, ein Arbeitgeber, der diese Restriktionen für seine Mitarbeiter eingeführt hat. Das Gleiche kenne ich auch von meiner Arbeit. Ich wollte aber eigentlich sagen, dass ich keinen Anbieter im Netz kenne, der diese Restriktionen für jedermann eingeführt hat, egal ob Mitarbeiter oder (gelegentlicher) Besucher der Seite.


    Doch, es gibt auch Anbieter im Web, die Kunden (und nicht Mitarbeitern) die regelmäßige Änderung des Passwortes aufzwingen.

  • Road-Runner: Sich ja nie eine Blöße (wäre das eine?) geben, oder was ist der Sinn dieser Nachricht? Manchmal verstehe ich einige User nicht: Da werden sie spitzfindig ohne Ende, nur um auch ja (scheinbar) immer Recht zu behalten. Ist es denn so schmerzhaft, mal etwas neues zu lesen, das man noch nicht wusste oder für möglich hielt?