Sichere Zufalls Passwörter

  • +1: Schliesse mich ebenfalls an :)

    - LiveConfig 1.6.0-r2052 (Inaktiv) :: BETA: 1.6.1 - r2142 (Inaktiv)
    [HR][/HR] - CentOS 6.3 x64[HR][/HR]- Apache 2.2.15 - PHP 5.4.12* - mod_suphp 0.7.1** - MySQL 5.5.30*
    - Postfix 2.6.6 - dovecot 2.0.9 - Clamd 0.97.6** - clamav-milter 0.97.6**- postgrey 1.34**
    - vsFTPd 2.2.2 - AWStats 7.0**
    * Aus dem REMI-Repository :: ** Aus dem rpmforge-Repository

  • Ich würde mich sehr freuen, wenn dieser Feature Request mit in die nächste Version aufgenommen werden würde.
    Gerade ein Zufallspasswort bei den E-Mail-Accounts würde die durchgängige Usability erhöhen.

  • Ich weis ja nicht wo bei euch die Passwörter kurz sein sollen.. aber bei mir kommt da sowas raus; pi5OsYok9 oder EsImErcAf oder watQuievCu ... also wenn das jmd knackt, dann bringt euch glaube ich kein PW Schutz der Welt was.. ^^


    PS: Passwörter werden von vielen Programmen nur von 8 bis 12 stellen erkannt.. bei 3 mal zusammen machen wären das 27 Zeichen..!?!? 15 demnach oft zuviel.. ;)

  • - Passworterzeugung für Mailpostfächer kommt ins nächste Update mit hinein.
    - definierbare Passwort-Komplexität wird als Feature-Request mit aufgenommen


    Zitat

    auch die Standard-Passwörter sind ziemlich kurz, wir drücken aktuell immer 3* auf "Zufall" und hängen das aneinander...


    http://xkcd.com/538/


    Die Passworterzeugung findet übrigens nach dem FIPS-181-Standard statt. Die Passwörter wirken "vertraut", werden aber aus künstlich erzeugten Silben zusammengesetzt - da kommt man mit Wortbuch-Attacken auch nicht weiter. Die Idee hinter FIPS-181 ist, dass sich die User das Passwort noch tatsächlich merken können.
    Ein unglaublich langes und somit unmerkbares Passwort muss letztendlich immer irgendwo abgespeichert werden - und da ist dann die Frage, ob die User das tatsächlich mit so etwas wie "pwsafe" machen, oder ob die das Passwort nicht am Ende doch einfach nur in irgendeiner Textdatei speichern oder gar bei erster Gelegenheit auf ein viel zu einfaches Passwort ändern. :-/

  • Herr Keppler, ich kenne den verlinkten XKCD und verstehe auch Ihre Argumentation bzgl. des merkbaren Passworts.
    Jedoch gilt meines Erachtens dieses Argument nicht hinsichtlich der MySQL-Passwörter (v.a. bei den Apps), da hier zum einen das Passwort sowieso in einer Datei im Webspace gespeichert wird im Klartext, zum anderen nicht gemerkt oder lokal gespeichert werden muss und zuletzt es keinen Brute-Force Schutz gibt für MySQL (im Gegensatz zu ssh, ftp, imap, ...)


    Die definierbare Komplexität haben sie ja nun als Request (aber noch nicht im Redmine) aufgenommen, denn selbst wenn man die aktuell zufällig generierten Passwörter als hinreichend erachtet, kann der gemeine Nutzer aktuell immer noch den Vorschlag durch "qwertz" ersetzen, um den Extremfall zu nennen ;)

  • Es gibt Leute wie mich die (möglichst einheitlich) 32byte lange Kennwörter benutzen wollen und diese dann in einem Container mit KeePassX hinterlegen wollen. Es wäre ja schon hilfreich wenn man (dort wo es geht) die mögliche Passwortlänge vergrößert..


    Siehe auch LC#2013062734000011.

  • Die definierbare Komplexität haben sie ja nun als Request (aber noch nicht im Redmine) aufgenommen, denn selbst wenn man die aktuell zufällig generierten Passwörter als hinreichend erachtet, kann der gemeine Nutzer aktuell immer noch den Vorschlag durch "qwertz" ersetzen, um den Extremfall zu nennen ;)


    ;)


    ich glaube die community muss langsam anfangen eine eigene Liste zu führen mit Requests :D


  • Die definierbare Komplexität haben sie ja nun als Request (aber noch nicht im Redmine) aufgenommen, denn selbst wenn man die aktuell zufällig generierten Passwörter als hinreichend erachtet, kann der gemeine Nutzer aktuell immer noch den Vorschlag durch "qwertz" ersetzen, um den Extremfall zu nennen ;)


    Die Passwortstärke vorgeben zu können, länge, Groß- und Kleinbuchstaben, Sonderzeichen usw. ist ein must have feature.
    Kunden sind leider faul und wenn sie es können verwenden sie leichte Passwörter, was früher oder später wieder zu Problemen führt.

  • Mit ein paar Zeilen Code als separaten Code Generator hat man seinen eigenen Generator und alles ist GUt! Erfahrungsgemäß ändert der Kunde das cryptische Passwort eh wieder in "lumpi" oder "123456" . Um das zu verhindern müsste man dem Kunden den Zugang sperren. Macht ihr alles das?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!