[Feature] Stärke des Passwortes

[Bullseye]

Für eine zukünftige Version 3.x, gerne auch schon bei 3.0 wäre es schön, wenn man für das Passwort einige Vorgaben machen könnte. Sowohl für die eigenständige Regestrierung, als auch Neuvergabe des PW im Profil, als auch auch beim Anlegen durch Admin.

Da die meisten Leute doch gerne zu sehr einfachen Passwörtern tendieren alla 1234 -.-

- min. Passwortlänge
- min Anzahl Großbuchstaben
- min Anzahl Kleinbuchstaben
- min Anzahl Sonderzeichen (und wenns nur ein paar sind)

[fasse]

Hi Bullseye,

ich hab das mal zu den Verbesserungsvorschlägen verschoben. Für die 3.0 ist das wohl nichts mehr. Für eine zukünftige Version sicherlich sinnvoll.

Viele Grüße
Fasse

[kanu]

Finde ich gut. Ich habe spaßeshalber mal die verschlüsselten Passwörter durch eine Rainbow-Table laufen lassen. Circa 75% der Passwörter lassen sich so auslesen. Solange das nur die eigenen Daten betrifft ist das ja nicht so gravierend, aber durch ein schwaches Passwort lassen sich ja jede Menge Daten auslesen.

Und da wir ja jetzt auf Bootstrap setzen..
http://jsfiddle.net/jquery4u/mmXV5/

[magnet]

In der 3.2 wurde dieses nützliche Feature ja umgesetzt. In der Demo existiert nun diese Einteilung:

Keine: riskantes Passwort (<10^3)
Niedrig: Schutz gegen gedrosselte online Angriffe. (<10^6)
Mittel: Schutz gegen ungedrosselte online Angriffe. (<10^8)
Hoch: Mäßiger schutz gegen offline-hashing Angriffe. (<10^10)
Extrem: Starker Schutz gegen offline-hashing Angriffe. (>=10^10)

Wäre es möglich, zu dem jeweiligen Level hinzuzuschreiben, was für Anforderungen das jeweilige Passwort hat? Länge, Sonderzeichen, Gross/Kleinschreibung, Zahlen etc.
Gerne auch als Tooltip.

Viele Grüße,
magnet

[XimeX]

So einfach ist das nicht zu beantworten. Wir verwenden eine Lib zum analysieren des PW die mehr macht als sich die unterschiedlichen Zeichen anzuschauen. Zb gibt es auch "punkteabzug" wenn im PW der eigene name etc (holen wir aus den profil informationen raus) drinnen steht. Weiters wird auch eine Wörterbuch analyse durchgeführt.
Also kann "vnkrlgnaiufnsainrrl" ein sicheres passwort sein als "maxmustermann123456musterstadtmusterstrasse123"

Mehr siehe hier: https://blogs.dropbox.com/tech/2012/04/ ... stimation/

[magnet]

So einfach ist das nicht zu beantworten. Wir verwenden eine Lib zum analysieren des PW die mehr macht als sich die unterschiedlichen Zeichen anzuschauen. Zb gibt es auch "punkteabzug" wenn im PW der eigene name etc (holen wir aus den profil informationen raus) drinnen steht. Weiters wird auch eine Wörterbuch analyse durchgeführt.
Also kann "vnkrlgnaiufnsainrrl" ein sicheres passwort sein als "maxmustermann123456musterstadtmusterstrasse123"

Mehr siehe hier: https://blogs.dropbox.com/tech/2012/04/ ... stimation/

Ah, alles klar, das ist ja spannend, Danke. Was passiert denn eigentlich, wenn man ein Admidio-Update auf eine neue Version mit stärkeren Passwort-Richtlinien macht. Gibts dann ein "Zwangs-Passwortupdate" oder passiert einfach nix, bis die User irgendwann ihr Passwort selbst anpassen? Ein Passwort kann in Admidio ja (noch) nicht ablaufen..

Beim Passwort-Ändern-Dialog finde ich es für den Endbenutzer nicht so ganz klar, wann das gewählte Passwort den Richtlinien entspricht und man erfolgreich auf Speichern klicken kann. Eigentlich doch ja erst, wenn der Balken von orange zu grün wechselt? Das passt aber nicht, wenn man die Passwort-Stärke auf "keine" setzt, dann darf man auch rote Passwörter speichern? Vielleicht wäre da eine kurzer Infotext für den Nutzer sinnvoll, damit er weiß was er wie machen soll?

Viele Grüße,
magnet

[XimeX]

Also wenn man die passwort mindestsicherheit erhöht/senkt ändert sich direkt nichts. Einfach wenn das PW wieder geändert wird muss die aktuelle Sicherheitseinstellung eingehalten werden.

Die mindest Sicherheit ist dann erreicht wenn der Frabbalken so weit geht wie der schwarze Pfeil. Der ist der Indikator für die eingestellte sicherheits stufe. Die Farben sollen einfach die Sicherheit allgemein beschreiben

[magnet]

Also wenn man die passwort mindestsicherheit erhöht/senkt ändert sich direkt nichts. Einfach wenn das PW wieder geändert wird muss die aktuelle Sicherheitseinstellung eingehalten werden.

Ich würde hier gerne nochmal etwas weiter diskutieren. Was wäre denn mit der Idee, Passwörter ablaufbar zu machen bzw. eine regelmäßige Änderung vorzuschreiben? Eigentlich finde ich es ja keine brilliante Idee die Nutzer zu etwas zu zwingen aber gerade bei Passwörtern (in einem im Internet erreichbaren System) sind die Leute ja wirklich unbelehrbar. Und bis die jetzt vorhandenen hunderten von Nutzern ihre (schlechten) Passwörter anpassen werden, wird es ewig dauern. Abgesehen davon, gibt es derzeit ja keinen wirklichen Schutz vor Brute Force wie ein Login-Limit oder Captchas in der Admidio-Anmeldemaske. Wie seht ihr das?

Grüße,
magnet

[fasse]

Hallo,

ein Schutz gegen Brute-Force gibt es schon. Nach 3 fehlgeschlagenen Versuchen musst du 15 min. warten, was Brute-Force damit eigentlich unmöglich macht.

Die Funktion das Passwort zu aktualisieren wäre als optionale Funktion nicht schlecht. Müsste halt nur wer einbauen Aber vielleicht findet sich da ja wer.

Viele Grüße
Fasse

[XimeX]

Hallo,

Also:
Es gibt ein Login-Limit. Max 3 Versuche innerhalb von 15min. Captcha gibt es (noch) nicht.

Zum Thema Passwort ändern:
Da sollte man dann aber irgendwie die alten PW speichern damit man gegen checken kann ob wieder ein altes genommen wurde. Wobei man das auch nicht machen sollte. (also alte PW weiter zu speichern)

Zum Thema Ablaufen:
Könnte man einbauen ist aber zurzeit nicht geplant. Aber ich plane für die 4.0er sogenannte Token Authentifizierung. Da kann man dann Login-Tokens erstellen mit einem Ablaufdatum. Hat aber eig nix mit Passwort Ablaufdatum zu tun.

[magnet]

Also:
Es gibt ein Login-Limit. Max 3 Versuche innerhalb von 15min. Captcha gibt es (noch) nicht.

Zum Thema Passwort ändern:
Da sollte man dann aber irgendwie die alten PW speichern damit man gegen checken kann ob wieder ein altes genommen wurde. Wobei man das auch nicht machen sollte. (also alte PW weiter zu speichern)

Zum Thema Ablaufen:
Könnte man einbauen ist aber zurzeit nicht geplant. Aber ich plane für die 4.0er sogenannte Token Authentifizierung. Da kann man dann Login-Tokens erstellen mit einem Ablaufdatum. Hat aber eig nix mit Passwort Ablaufdatum zu tun.

Danke für die Antworten!

Stimmt, Danke für den Hinweis, ich hatte es nur 3x ausprobiert, nicht 4 falsche Logins. Captcha fiel mir nur ein, da es ja schon ein gut funktionierendes Captcha-System in Admidio (Registrierung,Nachrichtensystem) gibt, vielleicht ließe sich das ja dort relativ einfach einbauen?

Zur Passwort-Änderung: sobald das neue Passwort gesetzt ist, könnte man doch das alte zwischengespeicherte Passwort oder den Hash des Passwortes verwerfen.

Viele Grüße,
magnet

[XimeX]

Ja aber dann kann man immer wieder zwischen den 2 gleichen Passwörtern hin und her wechseln was das System wieder ad absurdum führt

[magnet]

Ja aber dann kann man immer wieder zwischen den 2 gleichen Passwörtern hin und her wechseln was das System wieder ad absurdum führt

Ja natürlich, aber das kann man bei aktuellen Windows-Systemen mit Passworter-Wechselzwang auch, dort wechselt man einfach x-fach das Passwort und dann wieder auf das alte zurück. Irgendwann kann man es halt einfach nicht mehr verhindern, besser als die jetzige Lösung wäre es meiner Meinung nach dennoch. Wenn, dann müsste man auch überprüfen, ob der faule Nutzer nicht einfach das alte Passwort genommen und nur ein einziges Zeichen verändert hat und es sich zu sehr ähnelt - viel Aufwand. Bessere Ideen sind natürlich immer willkommen

Grüße,
magnet

[XimeX]

https://github.com/Admidio/admidio/issues/444

[magnet]

Es gibt ein Login-Limit. Max 3 Versuche innerhalb von 15min. Captcha gibt es (noch) nicht.

Hier muss ich leider widersprechen, in der aktuellen Spielversion 3.2 funktioniert das Login-Limit nicht, ich kann beliebig Passwörter durchprobieren ohne gesperrt zu werden.

Grüße,
magnet