Verwaltung von Passwörtern

[ottomane]

Ich bin ja eigentlich kein Paranoiker aber was empfiehlt die Forenleitung bzgl. Passwort? Sollte man das ändern? Oder kann ein Hack seitens AT und Tapatalk ausgeschlossen werden? Ja ich habe alles gelesen und ich weiß dass es da eine Trending-Option gab in XenForo. Ich frag trotzdem [emoji4]

In vernünftig programmierter Software wird niemals ein Passwort gespeichert, sondern nur sein Hashwert. Dieser ist nicht rückwärts in des Originalpasswort überführbar. Mit den Hashes kann man sich nicht einloggen.

Es bleibt nur die Frage, ob die Software vernünftig programmiert ist

 

[rootie]

So ist es! Klar sollte das immer mit Hashes und auch Salt abgespeichert sein. Aber kein Mensch garantiert einem das. Von daher ist es schon allein aus diesem Grund lebenswichtig, überall ein anderes Passwort zu verwenden!

 

[u0679]

diesem Grund lebenswichtig, überall ein anderes Passwort zu verwenden!

Und es regelmäßig zu ändern, um Angriffe weiter zu erschweren.

 

[rootie]

Wenn die Passwörter überall eindeutig sind, brauchst Du das gar nicht. Weil dann hacken die sich so und so rein - egal wie oft Du Dein Passwort änderst.

 

[u0679]

Da muss ich Dir widersprechen. [emoji6] ohne eine Kennwortrichtlinie, die neben "komplexen" Kennwörtern auch regelmäßiges Ändern vorsehen, geht es in der Firma gar nicht. Und das sollte m.E. auch privat gelten.

 

[rootie]

Und welchen Vorteil sollte ich haben, ein 25-Stelliges, zufällig durch 1Password generiertes, mit Sonderzeichen, Zahlen und Buchstaben gespicktes Passwort andauernd zu ändern? Ich gebe Dir Recht bei 8-stelligen Passwörtern à la "Martin01" oder solche Späße. Aber wenn jemand in ein System eindringen kann, wo ich ein 25-stelliges Passwort verwende, kann er das auch wenn ich es 20x am Tag ändere. Und selbst dann: Soll er doch dieses Passwort haben. Er kann es nur bei genau diesem einen Account nutzen. Und das würde er auch wenn ich es 10x am Tag ändere, weil er ja dann das System an sich gehackt hat. Meine Passwörter knackt keiner. Da muss schon eine Sicherheitslücke her.

Klar gilt diese Regel nur dann, wenn Du ausnahmslos bei jedem Account ein einzigartiges Passwort verwendest.

 

[u0679]

In Deinem beschriebenen Fall gebe ich Dir recht, solche Kennwörter genügen, hier muss dann nur noch das Kennwort für 1Password regelmäßig geändert werden als zentrale Schlüsselposition.

 

[rootie]

Und wieso das? Wenn jemand mein 35-Stelliges Masterpasswort von 1Password knacken kann, dann soll er alles kriegen. Weil dann hat er einen Weg gefunden, sämtliche Sicherheitsmechanismen dieser Welt auszuhebeln. Ich tippe dieses Masterpasswort ausschließlich auf meinen Rechnern ein, von daher brauche ich mich nicht um irgendwelche Keylogger zu fürchten. Nein ich muss mein Master-Passwort wirklich nicht zwangsläufig regelmäßig ändern.

 

[u0679]

dann soll er alles kriegen..

Und eben das sehe ich anders [emoji6] Aber nun gut, jeder hat sein eigenes Sicherheitsbedürfnis. Von daher, alles gut. Ist bei 35 stelligen, komplexen Kennwörtern auch eher theoretischer Natur.

 

[sternenstaub]

Ich bin mir sicher Rootie weiß was er tut. Die meiste Zeit jedenfalls ^^.
Doch @u0679 stimme ich dir zu. Ich kenne es aus meinem beruflichen Umfeld auch nur so, das PW nach einer Zeit erneuert werden MÜSSEN. Dann kommt die nette Meldung: Ihr PW muss erneuert werden... alles sowas in der Richtung. Und dieses System ist garnicht mal so verkehrt gedacht.

Hey... wer hat mein Super-PW "Martin01" verraten¿ LOL.

 

[rootie]

Die Frage ist ja doch wieso Passwörter regelmäßig geändert werden müssen und vor allem WIE sie denn dann geändert werden! Da wird dann aus "Martin01" das "Martin02". Na toll, da hat man sicherheitstechnisch genau gar nix gewonnen

Ich muss auch regelmäßig das Passwort ändern in der Firma und ich mache es auch nicht anders. Nur dass mein Passwort vor dem Zähler als sicher anzusehen ist. Und genau das ist das ausschlaggebende hier: Es steht und fällt mit den Passwort-Richtlinien. Wenn das System 8-stellige Passwörter, die nur aus Buchstaben und Zahlen bestehen müssen akzeptiert, ist das genau das Problem.

Täuscht Euch nicht über mein Sicherheitsbedürfnis [emoji23] Wenn ich keines hätte, hätte ich nicht überall 25-stellige generierte Passwörter! Aber irgendwo muss man schon auch realistisch sein. Bei einem 25-stelligen Passwort ist die Wahrscheinlichkeit gleich 0, dass das geknackt und für Schindluder verwendet wird. Wer an dieses Passwort rankommt, hat eine Sicherheitslücke entdeckt (Passwort im Klartext, etc.), der man dann auch nicht mit einem Passwortwechsel Herr wird.

Ich gehe sogar soweit, dass ich lieber 20 verschiedene einfache 8-Stellage Passwörter haben würde als ein 25-stelliges, das ich aber an 20 Accounts benutze.