Passworte bitte neu machen

Dieses Thema im Forum "about :: Forum" wurde erstellt von Moogulator, 8. Juni 2013.

  1. Moogulator

    Moogulator Admin

    Das hier ist ein zufälliger Aufruf- bitte ändert euer Passwort in 1/2 jährlichen Abständen immer mal.
    Es ist definitiv sicherer so!!

    (es gibt keinen aktuellen Anlass - es ist nur sinnvoll das zu tun)
    Es gibt auch die Option das zu erzwingen, daher bitte ich alle das einfach so zu machen, mir ist das lieber als Zwang..
     
  2. marv42dp

    marv42dp bin angekommen

    Zwanghafte Zwanglosigkeit. Regelt.
     
  3. Moogulator

    Moogulator Admin

    Du meinst es wäre ganz ok diese Funktion einfach zu aktivieren?
    Es ist ja nur zu ihrer Sicherheit?
     
  4. dbra

    dbra Weltenbummler - Superstar - Frauenheld

    Nein, bitte auslassen. Mich nervt sowas. Ist ja nicht so, daß es sich um einen Online-Banking-Account o.ä. handelt.
     
  5. Moogulator

    Moogulator Admin

    es ist so, dass jeder die Verantwortung für Hacking hat. Wenn ich das richtig sehe ist das bisher auch eher nicht vorgekommen.
    Es gibt einen Fall der nicht klar ist in 11 Jahren.


    Also - es geht nicht um Leben und Tod, aber es sollte gemacht werden!!
     
  6. mink99

    mink99 bin angekommen

    Ist ja schon richtig, das mit dem passwortwechsel. Aber dem setzt die natürliche Faulheit eine Riegel vor. Wieviel Passwörter soll ich mir denn noch merken ?

    Wenn ich den Empfehlungen der sicherheitsfachleute folge, muss ich
    ... Für jeden Account ein eigenes Passwort
    ... Nicht vorhersagbar , in der Form tibtkuhkgbjzt865.;jgfd
    ... Im monatlichen Wechsel haben.

    In allen Firmen , auch Banken, in denen ich gearbeitet habe, lief es für die Mitarbeiter so, dass die Administratoren regeln aufgesetzt haben, die so etwas erzwingen. Die Mitarbeiter haben dann irgendein Passwort genommen , was diesen regeln entsprach, meinetwegen "Roland-tr707" und bei den erzwungenen monatlichen neuen Passwörtern die Ziffern einfach hochgezählt, so dass die automatische Passwortüberprüfung befriedigt war. Also wurde aus "Roland-tr707" im nächsten Monat "Roland-tr808", dann "Roland-tr909" etc. Warum sollte das hier anders sein wenn der Wechsel erzwungen wird ?

    Jede Änderung in der Überprüfung der gültigen neuen Passwörter, die einige Muster dann neu verhinderte, gab dann nach spätestens 5 Wochen später einen reissen Aufwand an Passwort reset servicedesk Aufrufen...
     
  7. olafp

    olafp Tach

    Mal ne andere Frage,
    ich verwende Google Chrome und hab das Problem, das der Browser hier im Forum die Login Daten öfter mal nicht mehr
    weiss. Es könnte mit silent updates von Google Chrome zusammenhängen!?
    Leider betrifft es nur dieses Forum und das der Elektron User. Alle anderen gespeicherten Login Daten kann Chrome sich behalten.
    Gibt es hierfür einen Grund, der vieleicht in der Konfiguration des Forums liegt?
     
  8. Moogulator

    Moogulator Admin

    1) komm immer über die gleiche URL www.sequencer.de/synthesizers
    2) Log dich über den üblichen Weg ein

    dann sollte der das behalten, du kannst in Chrome (und den anderen) auch nachsehen was gespeichert ist und schauen..

    Für Passwortspeichern "One Password" verwenden und da alles zusammenpacken.
     
  9. marv42dp

    marv42dp bin angekommen

    Ein einziges reicht: für Keepass (http://keepass.info/). Gibt es sogar auch für Android, d.h. Du kannst die Datenbank z.B. in Deine Dropbox legen und hast die Kennwörter sicher verstaut immer dabei.
    Außerdem hat man so auch gleich eine Liste aller Accounts, ein konzertierter Passwortwechsel wird also nicht durch Erinnerungslücken erschwert. ;-)

    Nicht vorhersagbar heisst ja nicht, dass es nicht prozedural sein kann/darf.
    Und monatlich ist für Foren- und sonstige Online-Accounts dann doch eher Overkill, da reicht ein (halb)jährlicher Wechsel i.d.R. aus.
     
  10. Moogulator

    Moogulator Admin

    Sehe das auch so.
    Ich empfehle nur keine "normalen Begriffe" zu verwenden. Da kann man zumindest die Vokale leichter erraten.

    Als Tipp für den Kopf:

    naja, vielleicht machst du dir so eine Eselsbrücke wie etwa einen Satz und nimmst daraus die zweiten Buchstaben jeweils.
    Dann vielleicht noch eine Zahl oder Zeichen,.. aber mal nicht das,was jeder kennt sondern irgendwas was für dich eine Bedeutung hat.

    Die Spambots wissen idR nicht was du so denkst. Deshalb kann es ja auch zB die letzte Zahl deines Geburtsdatums sein, aber sagen wir der Monat, nicht das Jahr.

    und so weiter..
    irgendwo kannst du ja den namen des Ziels einbauen, sagen wir sequencer.de hat dann ed für 2.Buchstabe und Domainendung 2.Buchstabe
    ed5+krftlslt_28734
    kann man sich zumindest dann merken, wenn 28 7 und 34 eine Bedeutung hat für dich, in der Mitte Kartoffelsalat und vorn die Site und die Zeichen immer gleich oder je nach Portal sagen wir für Musik + für Geld - und für alles danach _ oder eine Kombination wie #: oder sowas..

    und alle 4 Zeichen vielleicht ein_ oder sowas. oder so viele Abstände die im Domainnamen drin sind.. sequencer - 7 .. also nach 7 Zeichen ein Komma oder so? ,

    ed5+krf,tlslt_2,8734

    das errät sooo schnell keiner.
    Und die üblichen Dinge wie Liebelingssynth und so kann man auch verwenden und da rein bauen.. das ist jetzt also sogar noch einfach.

    Teil 1: Lieblingssynth 2 und 4. Buchstabe
    Teil 2: Toller Song ohne Vokale, aber erst ab Buchstabe 4 oder so..
    Teil3: irgendein Wort und nur bestimmte Laute oder so
    Teil4: Zahlen, die dir was sagen, oder Nummern die Längen oder sowas angeben evtl auch als Zwischenraum zwischen Teil 1-4
    Füllzeichen zwischen den Zeilen .. 1 immer : 2. immer § und so weiter..
    und schon hast du was, was du überall mal einsetzen kannst..

    und danach suchst du andere Füllzeichen oder anderes Lieblingstier oder weis der Geier..
     
  11. Ich hab noch nicht ganz verstanden, was die regelmäßige Änderung soll. Wenn jemand/etwas mein Passwort rauskriegen will, dann passiert das ja nicht heute zur Hälfte und morgen der Rest, oder?

    Also ich habe heute ein Passwort: grmblfix60DE (ist natürlich nicht mein echtes, Ihr Schlingel :lollo: )

    Bis heute ist es nicht "geknackt" worden.

    Wieso ist es sicherer, wenn ich morgen statt grmblfix60DE ein neues Passwort scklbums19AZ einrichte? Ob der/das "Böse" jetzt versucht grmblfix60DE oder scklbums19AZ herauszufinden, ist doch für den/das derselbe Aufwand und der Erfolg ist gleich wahrscheinlich.

    Der/das Böse weiß ja nicht einmal, ob er/es von grmblfix60DE einen Teil richtig hat, ohne zu wissen, ob alles richtig ist. Und wenn einfach alle Zeichenfolgen durchgespult werden - was für ein Aufwand um den User-Account eines Forums zu knacken und in fremdem Namen posten zu können (außer es ist das Finanzamt, das dann gleich scannt, welche Instrumente gekauft wurden und bei wievielen Gigs abgesahnt wurde - aber halt, das kann der Beamte auch lesen, wenn er einen eigenen Account einrichtet :opa: ) -, macht eine Software bis zum bitteren Ende und hört nicht nach einem 8 Stunden-Tag auf und macht am nächsten Tag weiter.

    Also, wenn jemand mein Passwort haben will, dann setzt er sich hin, bis er es hat. Wenn er es nicht rauskriegt, wird er eventuell ein anderes Mal von vorne anfangen (der Dödel denkt ja außerdem, dass ich mein Passwort regelmäßig ändere :mrgreen: ).

    Wenn etwas sicherheitskritisch ist, dann muss man zumindest eine sichere Verbindung benutzen. Ansonsten interessiert sich eh keiner für normalen Kram, und alles was über "Lieschen Müller" mit dem Teilnehmernamen "LieschenMüller" und dem Passwort "lmueller" hinausgeht, ist echt Aufwand.

    Aber vielleicht kann mir jemand etwas anderes erklären?
     
  12. marv42dp

    marv42dp bin angekommen

    Für den (erfahrungsgemäß) recht warscheinlichen Fall, dass ein Bösewicht sich Dein Standardpasswort bei irgendeinem Forum gezogen hat. Lockere 80-90% aller Webserver/CMS/Foren werden nicht regelmäßig aktualisiert.
     
  13. Moogulator

    Moogulator Admin

    Geht dabei um die Wahrscheinlichkeiten - Brute Force über Monate kann natürlich irgendwann einen Account vielleicht knacken. Aber wenn man das alle paar Monate ändert, ist die Wahrscheinlichkeit einfach sehr klein, dass mal alles zusammen passt.

    Wie gesagt, es ist noch nicht passiert. Es gibt einen Fall, wo ich es nicht sicher sagen kann. Bei WG Kollegen und reingucken ist die Gefahr auch größer oder bei Leuten , die sich bewusst nicht mögen..

    Es ist aber trotzdem ratsam, übrigens überall, nicht nur hier.
    Wer immer lieb war hat vielleicht weniger Gefahr als die, die anderen virtuell auf die Füße treten - iFuß macht das alles wieder gut. Also - einfach machen. Lohnt!

    Mach ich bei vielen Portalen auch so. Rotieren lassen hilft auch, aber nicht aufeinander folgend. Aber jammert keiner, wenn es mal passiert.
    Allerdings ist durch die Editsperre nur denkbar, dass maximal Blödsinn gepostet wird und ggf. was editiert. Die meisten Bots scheinen aber nur was zu posten. Es hat wenig Sinn ein Forum zu hacken, dh - es ist schon wahrscheinlicher, dass jemand einen Spaß machen will oder jemanden ärgern ..

    Vielleicht ist deshalb auch bisher nur Viagra-Style Spam passiert, ..
     
  14. Woher kommt die Erfahrung und Wahrscheinlichkeit? Was hat das Ganze mit einer regelmäßigen Aktualisierung der genannten völlig verschiedenen Einrichtungen zu tun?
    (Sorry, wenn ich vielleicht einfach nur doof bin.)

    Es geht ja nicht um ein "Standardpasswort", sondern um die regelmäßige Änderung eines individuellen Passworts. (Wer würde auch bei einer Änderung seines Passworts für das Forum hier ALLE seine anderen Passwörter und dann auch noch auf denselben Begriff ändern? Das wär mir schon einfach zu viel Arbeit und brächte dann tatsächlich erst recht eine Unsicherheit.)

    Ich hab für jedes Login ein eigenes Passwort (will ja z.B. windows schon), so dass ein woanders geknacktes Passwort nichts für dieses Forum hier hilft.

    Also rödelt Brute Force (wassn das?) monatelang, um ein Passwort von mir zu knacken, und wenn ich vor Ablauf der Monate mein Passwort ändere, soll der/das aufgeschmissen sein? Wer macht so etwas doofes? Oder, was hilfts, wenn ich die Änderung zufällig so früh mache, dass sowohl der vorherige Begriff als auch der neue Begriff noch nicht gesucht wurden.

    Mir raten dauern so manche Leute einiges. Die einen wollen mein Geld, die anderen meine Zeit und was weiß ich noch. Deshalb überlege ich immer, was das bringt, was die anderen von mir wollen.

    Ich bleibe bei meiner Frage:

    "Ich hab noch nicht ganz verstanden, was die regelmäßige Änderung soll (oder verbessert/vereitelt/...). (...) Aber vielleicht kann mir (das) jemand (...) erklären?"
     
  15. Altered States

    Altered States Spruce Goose

    Wie viele Versuche hat man denn hier, um an das PW zu kommen? Waren mal 3, oder?
     
  16. Moogulator

    Moogulator Admin

    Brute Force ist eigentlich Bruce Willis, der sucht einfach auf gut Glück. Wenn man nicht weiss probiert man einfach und natürlich muss man dann auch warten, wenn alle Versuche durch sind. Das würde man aber merken an der kleineren Menge an Versuchen, wenn da einer was probiert hätte. Mir ists noch nicht vorgekommen.

    Änderung bedeutet weniger Gefahr, denn gespeicherte Passworte für "später" oder andere Ideen sind damit ausgehebelt.
    Und ja, natürlich ist ein Account bei dem man nicht so viel editieren und bestenfalls was posten kann auch nur interessant, wenn man ihn als Email-Versender nutzen kann. Das kann man halt auch nicht richtig ;-)

    Das ist natürlich eine willkürliche Sache das 1/2jährlich zu machen, es ginge auch in anderen Intervallen.
    Ja, ein neues PW in 1/2 knacken ist nicht leichter, aber man kann ggf. es ja schon ein paar Mal probiert haben, und dieses "Man" ist meist ein Script.
     
  17. Hmmmmm. Danke für die Mühen, aber ich verstehe trotz allem nicht, weshalb "das Script" ein Passwort, das zwei Wochen alt ist schwerer knacken kann als ein Passwort, das z.B. 40 Wochen alt ist.

    Aber ich habe eine Lösung gefunden: Ich ändere mein Passwort.
     
  18. Moogulator

    Moogulator Admin

    Weil es bekannt ist und ggf. später zum Einsatz kommt?
    Weil Codes und Passworte immer dann größere Sicherheit bieten, wenn sie häufiger rotieren

    Deshalb gibt es heute die 2-Wege Authentifizierung - Damit generiert man zB bei Banktransfers über 2 Wege mit einem länger funktionierenden Passwort (PIN) und einem für einige Minuten gültige Zugangskennung (ChipTAN oder mTAN via Mobil/SMS) - das macht man damit es eben frisch und möglichst nur an dich gelangt. So ist also ein häufiger wechselndes PW einfach schwerer zu erraten und wenn es erraten ist, dann ist ein alle X Zeitperioden geändert wird - dann hast du beim nächsten Zugriffsversuch als Dieb nicht mehr viel davon. Schließlich muss man das ja auch nicht nur knacken sondern auch missbrauchen, solange es geht - damit es ein richtiger "Hack" ist.

    Wie wäre es mit einer Partie Schach, Dr.Falken? > (j/n) :cursor:
     
  19. Altered States

    Altered States Spruce Goose

    Ja gut, aber wie viele Versuche hat die Person denn dann nun.., also bis man sich dann wohl per Mail ein neues PW holen muss (hatte noch nicht das Vergnügen).
     
  20. emdezet

    emdezet bin angekommen

    Für Mac empfiehlt mir ein Kollege seit Jahr und Tag die Software "One Password", die es inzwischen zumindest auch für iOS gibt.

    Früher oder später haben wir eh alle "Korben Dallas Multipass".
     
  21. Hoodie

    Hoodie Tach

    Mensch, was ist denn das für ein durcheinander?
    Können wir uns nicht alle auf ein einheitliches Passwort einigen?

    LG Hoodie
     
  22. Moogulator

    Moogulator Admin


    Ja, deshalb der Hinweis viewtopic.php?f=52&t=80953#p876690 sogar hier im Thread - oder keepass.
     
  23. Altered States

    Altered States Spruce Goose

     

Diese Seite empfehlen