Hallo Daniel,
die Diskussion wäre vielleicht besser im Heisse Eisen oder im Grundsätzliches aufgehoben, aber weil du es schon angesprochen hast, gebe ich auch hier meine Sichtweise dazu wieder.
Zunächst mal gebe ich dir Recht, dass es doof ist, wenn ein Problem dadurch ausgelöst wird, weil du dein Passwort änderst. Was Andreas vermutlich mit seinem letzten Beitrag gemeint hat: es geht darum, dass das Forum läuft. Auf allen erdenklichen Plattformen, Betriebssystemen, Sprachkodierungen, Ländereinstellungen, Tastaturlayouts usw. Da ist es dann auch in meinen Augen durchaus legitim nicht alle Sonderzeichen zuzulassen.
Kann man natürlich anders sehen:
Zitat:
Original erstellt von Vespafahrer:
Servus,Wie bitte? Das war jetzt nicht ernst gemeint? Das gilt wohl nur für den Fall dass ich mir einen Tracker einfange!
Ich habe gehört dass es Leute geben soll die tatsächlich auch andere Programme für so was verwenden. Das war wohl eine Fehlinformation... Muss ich morgen mal im Geschäft anregen dass wir die Passwortregeln nicht brauchen weil das eh nix bringt.
Ja, vielleicht solltest du das ernsthaft mal zur Diskussion stellen. Wann hast du dir das letzte Mal Gedanken dazu gemacht, was ein Passwort stark macht? Wann hast du dich das letzte Mal darüber informiert, wie heutzutage per Passwort geschützte Zugänge gebrochen werden?
Beispiel: was denkst du, welches Passwort "stärker" ist? N(n4k7#L oder SoEinBloedsinn? In einem Brute-Force Offline Fast Attack Scenario brauchst du für das erste ca. 1,2 Minuten, für das zweite 3,4 Jahrhunderte - nur mal so als Denkanstoß. Hier gibt es eine sehr schöne Seite die dir solche Berechnungen liefert und auch erklärt, warum "H4nd......................." ein so viel besseres Passwort ist als "PrXyc.U(n#L!eVdAfp9"
Klar sind komplexe Passwörter schwieriger zu "knacken", und ich gebe dir Recht, dass "123456" ein sehr schlechtes Passwort ist - nicht, weil kein Sondernzeichen dabei ist, sondern eher, weil es nur aus einer der "Typklassen" (in diesem Fall Ziffern) besteht und weil es vor allem nur 6 Zeichen lang ist. Und das schlimmste: es taucht ebenso in jedem Dictionary für John The Ripper oder Cain & Abel auf und ist in der RockYou-Liste enthalten (wie ebenso weiter 32 Millionen echte Passworte). Und moderne Tools benutzen diese Listen inklusive Permutation, Mischungen, Leetspeech-Varianten.
Außerdem solltest du dann noch mit bei dir im Geschäft anregen, dass auch überlegt wird, wie und von wem passwortgeschützte Zugänge attackiert werden. Ich bin selbst in der IT und weiß sehr wohl, dass es viel einfacher ist, eine Policy herauszugeben, die vermeintliche Sicherheit hinter schwierig zu merkenden, möglichst alle 30 Tage zu ändernden, komplexen, mit Sonderzeichen gespickten Passwörtern vorgauckelt. Das macht sich gut, überall liest man davon, das wird von der Geschäftleitung verstanden und damit löst man auf technische Weise ein menschliches Problem.
Blödsinn! Wichtig ist dem Anwender begreiflich zu machen, wofür das getan wird, aber dann müsste man sich mit vielen unangenehmen Dingen beschäftigen, Passwörtern auf Zetteln, nicht gesperrte Computer, neugierigen oder böswilligen Kollegen, USB-Sticks, WhatsApp im Büro, Social Engineering, gierigen Insidern, authentifiziertem Datenabfluss usw.. Da ist noch keine Rede von Hackern (die es sowieso nur sehr selten gibt, aber das Wort wird mittlerweile genauso inflationär gebraucht wie Terrorist), Keyloggern (gegen die sowieso kein komplexes Passwort hilft), Trojanern (dito) oder Rootkits (dann ist eh alles am Ende).
Also von daher: wenn du auch für CAD.de ein sicheres Passwort haben willst, dass ohne Sonderzeichen auskommt, such dir ein einfach zu merkendes, möglichst langes Passwort.
Ciao,
Stefan
PS: ein paar Links zum ersten reinlesen, falls es jemand interessiert
Ten Immutable Laws Of Security
How I became a password *****er
Ganz viel zu Passworten
How big is your haystack ... and how well hidden is YOUR needle?
So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users - Ganz interessante Untersuchung von Microsoft
------------------
Inoffizielle deutsche SolidWorks Hilfeseite http://solidworks.cad.de
Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP