Skip to content

Erfahrungsbericht eingeschränkte Webhosting-Passwörter

Eigentlich wollte ich das schon viel länger geschrieben haben...

Wir hatten vor längerer Zeit (ich weiß nicht mal mehr genau, wann) die Wahl der Passwörter im Bereich Webhosting, sprich für FTP und Postfächer, eingeschränkt. Nicht nur, dass wir die üblichen Längenbeschränkungen gemacht haben, wir haben uns auch nach langem Für und Wider dazu durchgerungen, eine Blacklist zu verwenden, sprich bestimmte Passwörter nicht (mehr) zu erlauben. Eigentlich nichts Unübliches, aber wir hatten mit Widerstand gerechnet.

Der Widerstand fiel jedoch erstaunlich gering aus. Ja, es gab den ein oder anderen Kunden, dessen Wunsch-Passwort künftig nicht mehr neu setzbar war (alte Passwörter haben wir unangetastet gelassen), aber mit ein oder zwei Antworten und Erklärungen aus dem Support war es meist in Ordnung.

Was wir seit der Umstellung gemerkt haben: Die erfolgreichen Versuche, Passwörter via brute force zu erreichen, sind praktisch auf null zurückgegangen. Kaum ein E-Mail-Konto wird noch zum Versand von Spam missbraucht (sofern der Rechner des Kunden nicht infiziert ist, aber das steht auf einem anderen Blatt). Auch gabe es praktisch keine erfolgreichen Versuche mehr, Webspace via erratenem FTP-Passwort zu defacen oder anderweitig zu missbrauchen.

Alles in allem also, trotz unserer anfänglichen Besorgnis, dass uns unsere Kunden die Blacklist übel nehmen würden, eine gute Entscheidung.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Misel

"(alte Passworte haben wir unangetastet gelassen)"

Wie hättet ihr die denn prüfen wollen?




PS: Der Spamschutz ist nur dann überhaupt sichtbar, wenn man Zugriffe auf Google erlaubt. Nicht, dass ich Dir Google verbieten will, aber ein Hinweis auf den Spamschutz wäre echt hilfreich, weil man sonst wirklich gar nix davon sieht, wenn man 3rd-Party-Content zunächst sperrt.

Tetja Rediske

Wortliste gegen hashes vergleichen ist nicht sooo aufwendig.

Sven

Also sind das unsalted hashes?

Sven

Ah, vergiss es - so ein Test geht natürlich auch mit salted hashes und ist nur wenig aufwendiger....

dingens

Für die Blacklist die entsprechenden Hashes berechnen?

Tino

Als Plural von "Wort" ist "Worte" theoretisch möglich, wenn auch in diesem Kontext nicht ganz passend. Der Plural von "Passwort" ist aber "Passwörter" ;-)

Mehr dazu hier:

http://www.duden.de/rechtschreibung/Wort
http://www.duden.de/rechtschreibung/Passwort

Manuel Schmitt (manitu)

Danke!

sarc

Übliche Längenbeschränkung heißt aber hoffentlich schon nur Minimallänge, oder? Soll ja auch Seiten geben, die einem ne Maximallänge vorschreiben, was ich schon sehr affig finde. Am Besten dann noch "Ihr neues Passwort muss mindestens 6 und maximal 10 Zeichen lang sein, mindestens zwei Zahlen, einen Großbuchstaben und ein Sonderzeichen enthalten". Ja, das machts bestimmt schwerer, das zu erraten, wenn man das so einschränkt...

Auch sehr toll find ich dann Seiten, die bei nem falschen Passwort auch mal drauf hinweisen, dass man dieses Passwort vor x Monaten geändert hat. Suuuuper!

Manuel Schmitt (manitu)

Sowas machen wir natürlich nicht :-)

Andreas

Da fällt mir wieder mal [url=https://xkcd.com/936/]xkcd[/uro] ein.

Diese Längen Beschränkungen finde ich auch dämlich.
Am besten natürlich wenn es dann Banken sind mit maximal 6 Zeichen langem Passwort...

Andreas

Ah mist, hier nochmal der Link.

[url=https://xkcd.com/936/]xkcd[/url

Tetja Rediske

6? Bei der Sparkasse gehen nur 5 Ziffern...

Engywuck

was die Banken damit begründen, dass man für die "teuren" Sachen ja zusätzlich noch die TAN braucht, und diese ja auf sicherem Weg übermittelt bzw. (TAN-Generatur) erzeugt wird. Mit dem Passwort des Online-Bankings allein könne man ja nur den Kontostand und die Historie sehen (was ich schlimm genug finde).

Könnte man ja beispielsweise bei Mailprogrammen ebenso machen: Mail abrufen und Mail verschicken sind zwei Passworte, wobei ersteres "primitiv" sein darf :-)

Micha

Ich bin dazu übergegangen, bei den Banken dann mit kryptischem Benutzernamen zu arbeiten. Bei einigen sind zwar die Passwörter auf eine 6stellige PIN limitiert, aber beim Benutzernamen kann man sich ausspinnen. Zumindest finde ich es sehr fahrlässig, die Kontomummer in Zusammenhang mit einem unsicheren Passwort als Login zu nutzen. Denn die kann schonmal irgendwo auftauchen.

Oliver

Glücklicher,
hier ist die Kontonummer der "Benutzername", keine Änderungsmöglichkeit :-/

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen