Montag, 21. März 2016, 10:19
Erfahrungsbericht eingeschränkte Webhosting-Passwörter
Eigentlich wollte ich das schon viel länger geschrieben haben...
Wir hatten vor längerer Zeit (ich weiß nicht mal mehr genau, wann) die Wahl der Passwörter im Bereich Webhosting, sprich für FTP und Postfächer, eingeschränkt. Nicht nur, dass wir die üblichen Längenbeschränkungen gemacht haben, wir haben uns auch nach langem Für und Wider dazu durchgerungen, eine Blacklist zu verwenden, sprich bestimmte Passwörter nicht (mehr) zu erlauben. Eigentlich nichts Unübliches, aber wir hatten mit Widerstand gerechnet.
Der Widerstand fiel jedoch erstaunlich gering aus. Ja, es gab den ein oder anderen Kunden, dessen Wunsch-Passwort künftig nicht mehr neu setzbar war (alte Passwörter haben wir unangetastet gelassen), aber mit ein oder zwei Antworten und Erklärungen aus dem Support war es meist in Ordnung.
Was wir seit der Umstellung gemerkt haben: Die erfolgreichen Versuche, Passwörter via brute force zu erreichen, sind praktisch auf null zurückgegangen. Kaum ein E-Mail-Konto wird noch zum Versand von Spam missbraucht (sofern der Rechner des Kunden nicht infiziert ist, aber das steht auf einem anderen Blatt). Auch gabe es praktisch keine erfolgreichen Versuche mehr, Webspace via erratenem FTP-Passwort zu defacen oder anderweitig zu missbrauchen.
Alles in allem also, trotz unserer anfänglichen Besorgnis, dass uns unsere Kunden die Blacklist übel nehmen würden, eine gute Entscheidung.
Wir hatten vor längerer Zeit (ich weiß nicht mal mehr genau, wann) die Wahl der Passwörter im Bereich Webhosting, sprich für FTP und Postfächer, eingeschränkt. Nicht nur, dass wir die üblichen Längenbeschränkungen gemacht haben, wir haben uns auch nach langem Für und Wider dazu durchgerungen, eine Blacklist zu verwenden, sprich bestimmte Passwörter nicht (mehr) zu erlauben. Eigentlich nichts Unübliches, aber wir hatten mit Widerstand gerechnet.
Der Widerstand fiel jedoch erstaunlich gering aus. Ja, es gab den ein oder anderen Kunden, dessen Wunsch-Passwort künftig nicht mehr neu setzbar war (alte Passwörter haben wir unangetastet gelassen), aber mit ein oder zwei Antworten und Erklärungen aus dem Support war es meist in Ordnung.
Was wir seit der Umstellung gemerkt haben: Die erfolgreichen Versuche, Passwörter via brute force zu erreichen, sind praktisch auf null zurückgegangen. Kaum ein E-Mail-Konto wird noch zum Versand von Spam missbraucht (sofern der Rechner des Kunden nicht infiziert ist, aber das steht auf einem anderen Blatt). Auch gabe es praktisch keine erfolgreichen Versuche mehr, Webspace via erratenem FTP-Passwort zu defacen oder anderweitig zu missbrauchen.
Alles in allem also, trotz unserer anfänglichen Besorgnis, dass uns unsere Kunden die Blacklist übel nehmen würden, eine gute Entscheidung.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Misel
Wie hättet ihr die denn prüfen wollen?
PS: Der Spamschutz ist nur dann überhaupt sichtbar, wenn man Zugriffe auf Google erlaubt. Nicht, dass ich Dir Google verbieten will, aber ein Hinweis auf den Spamschutz wäre echt hilfreich, weil man sonst wirklich gar nix davon sieht, wenn man 3rd-Party-Content zunächst sperrt.
Tetja Rediske
dingens
Sven
Sven
Tino
Mehr dazu hier:
http://www.duden.de/rechtschreibung/Wort
http://www.duden.de/rechtschreibung/Passwort
sarc
Auch sehr toll find ich dann Seiten, die bei nem falschen Passwort auch mal drauf hinweisen, dass man dieses Passwort vor x Monaten geändert hat. Suuuuper!
Manuel Schmitt (manitu)
Manuel Schmitt (manitu)
Andreas
Diese Längen Beschränkungen finde ich auch dämlich.
Am besten natürlich wenn es dann Banken sind mit maximal 6 Zeichen langem Passwort...
Andreas
[url=https://xkcd.com/936/]xkcd[/url
Tetja Rediske
Engywuck
Könnte man ja beispielsweise bei Mailprogrammen ebenso machen: Mail abrufen und Mail verschicken sind zwei Passworte, wobei ersteres "primitiv" sein darf
Micha
Oliver
hier ist die Kontonummer der "Benutzername", keine Änderungsmöglichkeit :-/