Passwortsicherheit

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Passwortsicherheit

Beitragvon Earny » So 14 Feb, 2016 12:01

Meine Frage , die sich unlängst ihn einer Diskussion stellte:

Ist ein zB 14 stelliges Passwort aus Zahlen und Buchstaben ausreichend,
wenn
a.)nach dreimaliger falscher Eingabe der Zugang gesperrt wird und
b.)nur √ľber pers√∂nliches erscheinen am Institut der Zugang
c.)und zusätzlich nach Passwortänderung wieder freigeschalten wird?
Ausgehend von einheitlicher Groß oder Kleinschreibung und ohne Sonderzeichen?

aufgrund der Sperre nach 3x Fehlversuchen hätte der Hack nicht eine wesentlich geringere Wahrscheinlichkeit als ein Lotto 6er mit 3 Tipps?

Danke! :)
mit freundlichen Gr√ľ√üen

Earny
Earny
Advanced Profi-User
Advanced Profi-User
 
Beiträge: 2429
Registriert: Mi 25 Feb, 2004 13:18

Re: Passwortsicherheit

Beitragvon martin » So 14 Feb, 2016 15:09

Earny hat geschrieben:a.)nach dreimaliger falscher Eingabe der Zugang gesperrt wird


ich war schon bei vielen diskussionen zu genau diesem thema dabei, ein punkt kam dabei immer wieder zur sprache:

angenommen, es wei√ü jemand die usernamen oder das vergabemuster dahinter. damit kann er mit relativ wenig aufwand f√ľr die bekannten usernamen 3x das falsche passwort eingeben und s√§mtliche accounts deaktivieren.

wenn dann auch noch alle pers√∂nlich vorstellig werden m√ľssen um den account zu reaktivieren, dann hat dein "hacker" den betroffenen (und auch dem IT support team) ziemlich den tag versaut und auch schaden angerichtet ;)
martin
Moderator
Moderator
 
Beiträge: 1553
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: Kremsm√ľnster

Re: Passwortsicherheit

Beitragvon jutta » So 14 Feb, 2016 19:01

martin hat geschrieben: ... dann hat dein "hacker" den betroffenen (und auch dem IT support team) ziemlich den tag versaut und auch schaden angerichtet ;)


ich dachte bei "vergabemuster der usernamen bekannt" spontan an universitäten und ähnliche einrichtungen. bei 5-6 stelligen userzahlen wäre da wohl mehr als ein tag versaut :twisted:

bei der univie sind die regeln fuer den reset des zugangspassworts (weil man es vergessen hat oder weil das account nach einem vermuteten hackversuch gesperrt wurde) √ľbrigens so: entweder pers√∂nlich mit lichtbildausweis beantragen oder schriftlich unter angabe von user-id, gew√ľnschtem tempor√§rpasswort, telefonnummer f√ľr r√ľckfragen und kopie oder scan eines lichtbildausweises. http://zid.univie.ac.at/passwort/

da ich auf meinen diversen rechnern fail2ban installiert habe, achte ich persönlich bei passwörtern auch drauf, dass sie nicht tippfehleranfällig sind (bei schlechten tastaturen kann schon ein doppel-buchstabe zum problem werden) und bei root-passwörtern vermeide ich exotische sonderzeichen. denn wenns bei der installation (oder auch später) gravierende probleme gibt, kennt der rechner womöglich nur das amerikanische tastaturlayout.
jutta
Administrator
Administrator
 
Beiträge: 30300
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Passwortsicherheit

Beitragvon WaJoWi » Mo 15 Feb, 2016 09:33

Ich w√ľrde meinen, dass schon eine "Zwangspause" statt der Sperre ausreichen w√ľrde. So wird der brute-force Angriff schnell fad. Wenn die Anordnung von Buchstaben und Ziffern auch noch zuf√§llig ist und nicht im W√∂rterbuch oder √§hnlichem vorkommt, braucht man auch ohne Zwangspause eine ganze Weile bis man das Passwort erraten hat.
Provider: UPC (speed M) 125/12.5 Mbit
Bild

Hardware: Ubee EVW 3226 (2.07b); ASUS RT-N66U (Tomato 1.28.0000 MIPSR2-140 K26 USB AIO-64K); Netgear GS116Ev2 (2.0.1.40) + GS108Ev3 (2.00.12); V7 APAC1200-1E (1.0.10);...
WaJoWi
Board-User Level 3
Board-User Level 3
 
Beiträge: 1407
Registriert: Sa 23 Aug, 2003 07:58
Wohnort: Wien

Re: Passwortsicherheit

Beitragvon Sette » Mo 15 Feb, 2016 10:30

Es war mir auch schon immer ein R√§tsel, wieso Systeme eine BruteForce Methode zulassen. (steigende) Zwangspausen nach Falscheingabe und Sperre nach z.B. 20 oder 15 Falscheingaben sollten einem User die M√∂glichkeit geben, "seine" Passw√∂rter durchzuprobieren ohne den Support qu√§len zu m√ľssen, dauert halt ggf. etwas. Nach 20 Falscheingaben h√§tte ich pers√∂nlich keine Passw√∂rter zum probieren mehr, da macht eine Sperre nix, ich brauche sowieso den Support.
Sette
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 324
Registriert: Mi 15 Mär, 2006 13:42

Re: Passwortsicherheit

Beitragvon pc_net » Mo 15 Feb, 2016 14:24

das gr√∂√üere problem ist IMHO, wenn benutzer-/passwort-listen im umlauf sind und die anwender f√ľr verschiedene dienste die gleichen zugangsdaten (benutzername UND passwort) nutzen ...
No hace falta ser un genio para saber quién dijo eso.

UPC Take IT Super max
Bild
pc_net
Profi-User
Profi-User
 
Beiträge: 1531
Registriert: Fr 29 Aug, 2003 21:21

Re: Passwortsicherheit

Beitragvon Gsicht » Mo 15 Feb, 2016 19:37

jutta hat geschrieben:
martin hat geschrieben:und kopie oder scan eines lichtbildausweises. http://zid.univie.ac.at/passwort/


Ist sowas noch erlaubt?
Gsicht
Board-Mitglied
Board-Mitglied
 
Beiträge: 238
Registriert: Sa 11 Aug, 2007 12:37

Re: Passwortsicherheit

Beitragvon jutta » Di 16 Feb, 2016 06:02

Gsicht hat geschrieben:
jutta hat geschrieben:und kopie oder scan eines lichtbildausweises. http://zid.univie.ac.at/passwort/


Ist sowas noch erlaubt?


ich verstehe die frage nicht ganz. was daran soll nicht erlaubt sein und aufgrund welcher vorschrift?
jutta
Administrator
Administrator
 
Beiträge: 30300
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Passwortsicherheit

Beitragvon derFlo » Di 16 Feb, 2016 07:13

Gsicht hat geschrieben:Ist sowas noch erlaubt?


Warum sollte das nicht erlaubt sein? Das ist Standard bei Online-Anmeldungen von Internet- und Mobilfunkverträgen und auch bei Online-Banken usw.
derFlo
Board-User Level 3
Board-User Level 3
 
Beiträge: 1441
Registriert: Mo 14 Jul, 2008 11:35
Wohnort: Graz

Re: Passwortsicherheit

Beitragvon Gsicht » Di 16 Feb, 2016 22:13

Scan oder Kopie klingt so als w√ľrden diese dann bei der Universit√§t gespeichert werden.
Gsicht
Board-Mitglied
Board-Mitglied
 
Beiträge: 238
Registriert: Sa 11 Aug, 2007 12:37

Re: Passwortsicherheit

Beitragvon derFlo » Mi 17 Feb, 2016 09:18

Gsicht hat geschrieben:Scan oder Kopie klingt so als w√ľrden diese dann bei der Universit√§t gespeichert werden.


Und das ist warum ein Problem?
derFlo
Board-User Level 3
Board-User Level 3
 
Beiträge: 1441
Registriert: Mo 14 Jul, 2008 11:35
Wohnort: Graz


Zur√ľck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast