xDSL.at

[Earny]

Meine Frage , die sich unlängst ihn einer Diskussion stellte:

Ist ein zB 14 stelliges Passwort aus Zahlen und Buchstaben ausreichend,
wenn
a.)nach dreimaliger falscher Eingabe der Zugang gesperrt wird und
b.)nur über persönliches erscheinen am Institut der Zugang
c.)und zusätzlich nach Passwortänderung wieder freigeschalten wird?
Ausgehend von einheitlicher Groß oder Kleinschreibung und ohne Sonderzeichen?

aufgrund der Sperre nach 3x Fehlversuchen hätte der Hack nicht eine wesentlich geringere Wahrscheinlichkeit als ein Lotto 6er mit 3 Tipps?

Danke!

[martin]

a.)nach dreimaliger falscher Eingabe der Zugang gesperrt wird

ich war schon bei vielen diskussionen zu genau diesem thema dabei, ein punkt kam dabei immer wieder zur sprache:

angenommen, es weiß jemand die usernamen oder das vergabemuster dahinter. damit kann er mit relativ wenig aufwand für die bekannten usernamen 3x das falsche passwort eingeben und sämtliche accounts deaktivieren.

wenn dann auch noch alle persönlich vorstellig werden müssen um den account zu reaktivieren, dann hat dein "hacker" den betroffenen (und auch dem IT support team) ziemlich den tag versaut und auch schaden angerichtet

[jutta]

... dann hat dein "hacker" den betroffenen (und auch dem IT support team) ziemlich den tag versaut und auch schaden angerichtet

ich dachte bei "vergabemuster der usernamen bekannt" spontan an universitäten und ähnliche einrichtungen. bei 5-6 stelligen userzahlen wäre da wohl mehr als ein tag versaut

bei der univie sind die regeln fuer den reset des zugangspassworts (weil man es vergessen hat oder weil das account nach einem vermuteten hackversuch gesperrt wurde) übrigens so: entweder persönlich mit lichtbildausweis beantragen oder schriftlich unter angabe von user-id, gewünschtem temporärpasswort, telefonnummer für rückfragen und kopie oder scan eines lichtbildausweises. http://zid.univie.ac.at/passwort/

da ich auf meinen diversen rechnern fail2ban installiert habe, achte ich persönlich bei passwörtern auch drauf, dass sie nicht tippfehleranfällig sind (bei schlechten tastaturen kann schon ein doppel-buchstabe zum problem werden) und bei root-passwörtern vermeide ich exotische sonderzeichen. denn wenns bei der installation (oder auch später) gravierende probleme gibt, kennt der rechner womöglich nur das amerikanische tastaturlayout.

[WaJoWi]

Ich würde meinen, dass schon eine "Zwangspause" statt der Sperre ausreichen würde. So wird der brute-force Angriff schnell fad. Wenn die Anordnung von Buchstaben und Ziffern auch noch zufällig ist und nicht im Wörterbuch oder ähnlichem vorkommt, braucht man auch ohne Zwangspause eine ganze Weile bis man das Passwort erraten hat.

[Sette]

Es war mir auch schon immer ein Rätsel, wieso Systeme eine BruteForce Methode zulassen. (steigende) Zwangspausen nach Falscheingabe und Sperre nach z.B. 20 oder 15 Falscheingaben sollten einem User die Möglichkeit geben, "seine" Passwörter durchzuprobieren ohne den Support quälen zu müssen, dauert halt ggf. etwas. Nach 20 Falscheingaben hätte ich persönlich keine Passwörter zum probieren mehr, da macht eine Sperre nix, ich brauche sowieso den Support.

[pc_net]

das größere problem ist IMHO, wenn benutzer-/passwort-listen im umlauf sind und die anwender für verschiedene dienste die gleichen zugangsdaten (benutzername UND passwort) nutzen ...

[Gsicht]

und kopie oder scan eines lichtbildausweises. http://zid.univie.ac.at/passwort/

Ist sowas noch erlaubt?

[jutta]

und kopie oder scan eines lichtbildausweises. http://zid.univie.ac.at/passwort/

Ist sowas noch erlaubt?

ich verstehe die frage nicht ganz. was daran soll nicht erlaubt sein und aufgrund welcher vorschrift?

[derFlo]

Ist sowas noch erlaubt?

Warum sollte das nicht erlaubt sein? Das ist Standard bei Online-Anmeldungen von Internet- und Mobilfunkverträgen und auch bei Online-Banken usw.

[Gsicht]

Scan oder Kopie klingt so als würden diese dann bei der Universität gespeichert werden.

[derFlo]

Scan oder Kopie klingt so als würden diese dann bei der Universität gespeichert werden.

Und das ist warum ein Problem?