Passwortsicherheit

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Passwortsicherheit

Beitragvon Earny » So 14 Feb, 2016 12:01

Meine Frage , die sich unlängst ihn einer Diskussion stellte:

Ist ein zB 14 stelliges Passwort aus Zahlen und Buchstaben ausreichend,
wenn
a.)nach dreimaliger falscher Eingabe der Zugang gesperrt wird und
b.)nur über persönliches erscheinen am Institut der Zugang
c.)und zusätzlich nach Passwortänderung wieder freigeschalten wird?
Ausgehend von einheitlicher Groß oder Kleinschreibung und ohne Sonderzeichen?

aufgrund der Sperre nach 3x Fehlversuchen hätte der Hack nicht eine wesentlich geringere Wahrscheinlichkeit als ein Lotto 6er mit 3 Tipps?

Danke! :)
mit freundlichen Grüßen

Earny

Wenn ich all jene Nahrungsmittel nicht essen würde, vor welchen auf Gesundheitsseiten gewarnt wird, würde ich verhungern!
Earny
Advanced Profi-User
Advanced Profi-User
 
Beiträge: 2450
Registriert: Mi 25 Feb, 2004 13:18

Re: Passwortsicherheit

Beitragvon martin » So 14 Feb, 2016 15:09

Earny hat geschrieben:a.)nach dreimaliger falscher Eingabe der Zugang gesperrt wird


ich war schon bei vielen diskussionen zu genau diesem thema dabei, ein punkt kam dabei immer wieder zur sprache:

angenommen, es weiß jemand die usernamen oder das vergabemuster dahinter. damit kann er mit relativ wenig aufwand für die bekannten usernamen 3x das falsche passwort eingeben und sämtliche accounts deaktivieren.

wenn dann auch noch alle persönlich vorstellig werden müssen um den account zu reaktivieren, dann hat dein "hacker" den betroffenen (und auch dem IT support team) ziemlich den tag versaut und auch schaden angerichtet ;)
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: Kremsmünster

Re: Passwortsicherheit

Beitragvon jutta » So 14 Feb, 2016 19:01

martin hat geschrieben: ... dann hat dein "hacker" den betroffenen (und auch dem IT support team) ziemlich den tag versaut und auch schaden angerichtet ;)


ich dachte bei "vergabemuster der usernamen bekannt" spontan an universitäten und ähnliche einrichtungen. bei 5-6 stelligen userzahlen wäre da wohl mehr als ein tag versaut :twisted:

bei der univie sind die regeln fuer den reset des zugangspassworts (weil man es vergessen hat oder weil das account nach einem vermuteten hackversuch gesperrt wurde) übrigens so: entweder persönlich mit lichtbildausweis beantragen oder schriftlich unter angabe von user-id, gewünschtem temporärpasswort, telefonnummer für rückfragen und kopie oder scan eines lichtbildausweises. http://zid.univie.ac.at/passwort/

da ich auf meinen diversen rechnern fail2ban installiert habe, achte ich persönlich bei passwörtern auch drauf, dass sie nicht tippfehleranfällig sind (bei schlechten tastaturen kann schon ein doppel-buchstabe zum problem werden) und bei root-passwörtern vermeide ich exotische sonderzeichen. denn wenns bei der installation (oder auch später) gravierende probleme gibt, kennt der rechner womöglich nur das amerikanische tastaturlayout.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Passwortsicherheit

Beitragvon WaJoWi » Mo 15 Feb, 2016 09:33

Ich würde meinen, dass schon eine "Zwangspause" statt der Sperre ausreichen würde. So wird der brute-force Angriff schnell fad. Wenn die Anordnung von Buchstaben und Ziffern auch noch zufällig ist und nicht im Wörterbuch oder ähnlichem vorkommt, braucht man auch ohne Zwangspause eine ganze Weile bis man das Passwort erraten hat.
Bild

Hardware: Connect Box; UniFi Security Gateway Pro-4; UniFi US-16-150W; UniFi US-8; UniFi AP-AC-LR; UniFi AP-AC-light; ...
WaJoWi
Board-User Level 3
Board-User Level 3
 
Beiträge: 1470
Registriert: Sa 23 Aug, 2003 07:58
Wohnort: Wien

Re: Passwortsicherheit

Beitragvon Sette » Mo 15 Feb, 2016 10:30

Es war mir auch schon immer ein Rätsel, wieso Systeme eine BruteForce Methode zulassen. (steigende) Zwangspausen nach Falscheingabe und Sperre nach z.B. 20 oder 15 Falscheingaben sollten einem User die Möglichkeit geben, "seine" Passwörter durchzuprobieren ohne den Support quälen zu müssen, dauert halt ggf. etwas. Nach 20 Falscheingaben hätte ich persönlich keine Passwörter zum probieren mehr, da macht eine Sperre nix, ich brauche sowieso den Support.
Sette
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 337
Registriert: Mi 15 Mär, 2006 13:42

Re: Passwortsicherheit

Beitragvon pc_net » Mo 15 Feb, 2016 14:24

das größere problem ist IMHO, wenn benutzer-/passwort-listen im umlauf sind und die anwender für verschiedene dienste die gleichen zugangsdaten (benutzername UND passwort) nutzen ...
No hace falta ser un genio para saber quién dijo eso.

Magenta Gigakraft 250/50
pc_net
Profi-User
Profi-User
 
Beiträge: 1574
Registriert: Fr 29 Aug, 2003 21:21

Re: Passwortsicherheit

Beitragvon Gsicht » Mo 15 Feb, 2016 19:37

jutta hat geschrieben:
martin hat geschrieben:und kopie oder scan eines lichtbildausweises. http://zid.univie.ac.at/passwort/


Ist sowas noch erlaubt?
Gsicht
Board-Mitglied
Board-Mitglied
 
Beiträge: 239
Registriert: Sa 11 Aug, 2007 12:37

Re: Passwortsicherheit

Beitragvon jutta » Di 16 Feb, 2016 06:02

Gsicht hat geschrieben:
jutta hat geschrieben:und kopie oder scan eines lichtbildausweises. http://zid.univie.ac.at/passwort/


Ist sowas noch erlaubt?


ich verstehe die frage nicht ganz. was daran soll nicht erlaubt sein und aufgrund welcher vorschrift?
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Passwortsicherheit

Beitragvon derFlo » Di 16 Feb, 2016 07:13

Gsicht hat geschrieben:Ist sowas noch erlaubt?


Warum sollte das nicht erlaubt sein? Das ist Standard bei Online-Anmeldungen von Internet- und Mobilfunkverträgen und auch bei Online-Banken usw.
derFlo
Board-User Level 3
Board-User Level 3
 
Beiträge: 1481
Registriert: Mo 14 Jul, 2008 11:35
Wohnort: Graz

Re: Passwortsicherheit

Beitragvon Gsicht » Di 16 Feb, 2016 22:13

Scan oder Kopie klingt so als würden diese dann bei der Universität gespeichert werden.
Gsicht
Board-Mitglied
Board-Mitglied
 
Beiträge: 239
Registriert: Sa 11 Aug, 2007 12:37

Re: Passwortsicherheit

Beitragvon derFlo » Mi 17 Feb, 2016 09:18

Gsicht hat geschrieben:Scan oder Kopie klingt so als würden diese dann bei der Universität gespeichert werden.


Und das ist warum ein Problem?
derFlo
Board-User Level 3
Board-User Level 3
 
Beiträge: 1481
Registriert: Mo 14 Jul, 2008 11:35
Wohnort: Graz


Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste