Empfehlung: Nie ein Passwort zweimal verwenden

    • Das Geraffel in "die Cloud" zu legen ist unmöglich vom Sicherheitsstandpunkt aus.

      Wenn man nicht selbst einen vollverschlüsselten Server betreibt, zu dem man eine sichere Verbindung aufbauen kann, ist das immer eine Blackbox. Diese Fähigkeit haben ziemlich genau 0% der normalen Anwender, und hey, das ist ihr gutes Recht.

      Geräteübergreifend geht also nur, wenn man pro Gerät alles speichert.

      Und: verabschiedet euch von dem Gedanken, ein Smartphone oder Tablet zu verwenden. Es handelt sich um inhärent unsichere Geräte, die man unter keinen Umständen zu mehr benutzen sollte als zum Nachschlagen in der Wikipedia oder zum Raussuchen des nächsten Restaurants. Wer da seine Mails liest oder gar eBay, PayPal oder Online-Banking macht, hat schon verloren.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von pandarul ()

    • Und was machen die, die sich einen Trojaner eingefangen haben? Hab ich nämlich, gerade letzte Woche. Ein Rootkit. Ich weiß echt nicht, wo der herkommt.
      Ich habe einen Viruscheck mit Desinfect gemacht, surf aber vorsichtshalber mit einem Bootsystem von DVD und Ubuntu. Natürlich habe ich (fast) alle Passwörter geändert, nur um gestern zu lesen, dass ich für meine ebay Accounts schon wieder alles ändern muss :(

      Ich hab auch Zettel mit PW hier liegen. Aber bald hab ich die drauf, ich nehme immer Passwortphrasen. Die sind lang und ich kann sie mir gut merken.


      @panda: mit dem Sofa liegen wir noch gut im Rennen ;)
      Man sieht nur mit den Augen gut

      Hinweis: Beiträge können Spuren von Erdnüssen, Ironie und Albernheit enthalten

    • Peanuts-Fan schrieb:

      Und was machen die, die sich einen Trojaner eingefangen haben? Hab ich nämlich, gerade letzte Woche. Ein Rootkit. Ich weiß echt nicht, wo der herkommt.

      Windows ist wie gemacht um Malware einzufangen. Um sich vor Malware besser schützen zu können, sollte man am besten Linux Distributionen verwenden.

      Wenn du mehr zum Thema wissen willst => amazon.de/Practical-Malware-An…-Malicious/dp/1593272901/

      Man kann auch 1000 Mal mit einem Virenscanner über das System drübergehen, und trotzdem können Schadprogramme unentdeckt bleiben.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Sparkling ()

    • 0pFtWTBIve
      JaItrIMliv
      3TBe2iMAMi
      NHCIsFIzCh
      ti7pNQUTUB
      CaOgf509s1
      rld7ccJ0Mp
      QGaMdrfCWo
      rcJFuwgEFW
      krQINLiIRm



      Für die Passwörter, die ich auch auf nen Zettel sicher haben möchte, nehme ich eine zufällig Zeichenkette
      und füge das Passwort rein. Den Schlüssel habe ich in Kopf (hier jedes 5. Zeichen für mein Nick). Ich muss irgendwann
      daran denken meinen "unverschlüsselten" Zettel zu vernichten. ;)
      ___________________________________________________________________________________
      Wir sind alle nur Laien-Kinder, die in dem Sandkasten der Gesetze rumspielen....
      Hobby: Eigene Beiträge editieren - am besten mehrmals... [Blockierte Grafik: http://www.animaatjes.de/smileys/smileys-und-emoticons/buro/smileys-buro-210389.gif]

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von werv ()

    • Peanuts-Fan schrieb:

      Ich weiß echt nicht, wo der herkommt.


      Benutzt du ein Adobe-Produkt? Hast du Java installiert? Als Addon im Browser? Browser nicht aktuell? Betriebssystem nicht aktuell? Komischen Videoplayer auf Raubmordkopierseite installiert? Falls du irgendwas davon mit ja beantworten kannst, ist die Suche schon zu Ende.

      Wer sich trojanifizieren läßt, macht immer dasselbe, egal ob mit oder ohne PW-Manager. Alle Paßwörter ändern, die evtl. während des Befalls verwendet wurden und das ganze System neu aufsetzen. Beim PW-Manager ist es natürlich wahrscheinlich, daß alle Zugänge abgegriffen wurden, in Form der verschlüsselten Rohdaten und des Masterpaßwortes. Da man andererseits nicht weiß (lies: nicht wissen kann), wie lange man schon trojanifiziert ist, sind eh alle regelmäßig benutzten Logins futsch, s.o. Wenn man PWs, die nur einmal im Jahr Verwendung finden, nicht speichert - ebensowenig vielleicht besonders wichtige (Banking) -, kommt man in die gleiche Risiko-Größenordnung sowohl mit als auch ohne PW-Manager.

      @werv: Dir fehlen noch Sonderzeichen. Stand der Technik ist außerdem eine Länge von 12 Zeichen, wenn alles drin ist. Mit dem, was die Tastatur so hergibt abzüglich dem, was bei manchen Diensten nicht angenommen wird, sollten so 80 verschiedene Zeichen im Pool sein. 26 Buchstaben groß/klein, 10 Ziffern und knapp 20 geläufigere Sonderzeichen. Macht schlechtestenfalls 6,87*10^22 Bits Entropie (80^12). Zum Vergleich: 10 Stellen Groß/Kleinschreibung und Ziffern sind 62^10 oder 8,39*10^17 Bits Entropie. Oder auf Deutsch: ein Faktor 10.000 in der Rechenleistung, der zwischen beiden Ansätzen liegt.

      Länger schadet nie, nicht, daß das einer falsch versteht. Nur weil 12 zufällige (!) Zeichen heute als sicher gelten, spricht nix dagegen, 16 oder auch 20 zu nehmen. Solange sie wirklich zufällig sind. Das allerschlimmste was man machen kann, ist ganze Wörter einzubauen.

      Und ja, ein GNU/Linux ist immer zu empfehlen, klar.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von pandarul ()

    • pandarul schrieb:

      Benutzt du ein Adobe-Produkt? Ja
      Hast du Java installiert? Ja
      Als Addon im Browser? nein
      Browser nicht aktuell? ja
      Betriebssystem nicht aktuell? ja
      Komischen Videoplayer auf Raubmordkopierseite installiert? nein

      Falls du irgendwas davon mit ja beantworten kannst, ist die Suche schon zu Ende. Na denn :S
      Ich gelobe Besserung. Nachdem mein Sohn (20jähriger Besserwisser, diesmal hat er wohl aber doch Recht) mich neulich schon zur Schnecke gemacht hat, weil ich noch mit XP unterwegs bin, und außerdem mein Rechner schon acht Jahre alt ist und sowieso ein thermisches Problem hat und auch eine Neuinstallierung eines neueren Betriebssystems nicht lohnt, hab ich mir nun einen neuen Rechner bestellt. Einen Alte-Leute-Office-PC, das coolste, was man darüber sagen kann, ist dass er mit Ubuntu läuft. Hat mir sogar ein anerkennendes Lächeln von meinem Sohn beschert :love:

      Ich werfe nochmal die Passwortphrasen in den Ring.
      Man kann z.B. sowas machen:
      Mein neues Password wird kein Scheißhacker so schnell knacken!1elf und noch ein Sonderzeichen vorn und hinten dran
      daraus wird dann: *MnPßwwkShssk!1e&
      Lang, kryptisch und behaltbar

      (nein, das ist nicht mein neues ebay-Password :) )
      Man sieht nur mit den Augen gut

      Hinweis: Beiträge können Spuren von Erdnüssen, Ironie und Albernheit enthalten

    • pandarul schrieb:



      @werv: Dir fehlen noch Sonderzeichen.
      Es war nur als Beispiel gemeint. Auf dem Zettel, den ich gebastelt habe sind alle (sichtbaren) ASCII Zeichen dabei.
      ___________________________________________________________________________________
      Wir sind alle nur Laien-Kinder, die in dem Sandkasten der Gesetze rumspielen....
      Hobby: Eigene Beiträge editieren - am besten mehrmals... [Blockierte Grafik: http://www.animaatjes.de/smileys/smileys-und-emoticons/buro/smileys-buro-210389.gif]

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von werv ()

    • Krennz schrieb:

      Grundsätzlich habe ich für jeden account ein eigenes Passwort, was ich mir auf Papier merke. Die Sicherungsfunktion beim Fuchs habe ich abgeschaltet. Ausserdem empfehle ich allen Usern auch Sonderzeichen, sofern zulässig, zu verwenden wie ;+*# ² ³ € § % & usw. und mindestens, wenn möglich, 20 Zeichen oder mehr verwenden.
      Aus Sicherheitsgründen habe ich die Liste doppelt, die Zweite an einem sicheren Ort, sodass ich mittels der zweiten Liste bei Verlust der ersten Liste alle Passwörter ändern kann.
      ausserdem wechsle ich meine Passwörter spätestens nach einem Jahr. Oft noch schneller, wenn ich zuviele Spammails bekomme. Zusätzlich schreibe ich uin meinen Klarnamen pro Provider eine falschen -Buchstaben rein, sodass ich immer sehen kan, wer mich da wirklich anmailt.
      Wenn ich z.b. von einem bestimmten Onlinehändler eine Mail mit meinem Klarnamen ohne Fehler erhalte weiss ich, dass es Fake ist.

      Alles richtig, aber was machst du in deiner Freizeit?

      Ein Paßwortwechsel hilft aber nicht gegen Spam, die wird generisch verteilt, aber wie wir ja jetzt wissen dank ebay und anderer Konsorten immer mehr mit Echtnamen an Echtadressen. Da hilft nur noch die Emailadresse komplett zu wechseln. Irgendwann hat man dann gar nichts anderes mehr zu tun.
      Einen Tipp hast du noch vergessen: Für einfache und einmalige Ping-Pong-Aktionen ohne Interesse an weiteren Briefreundschaften kann man sich gut mit Wergwerfemailadressen behelfen.

      Und natürlich sollte man regelmäßig seine Bankauszüge kontrollieren. Letztendlich läuft dort alles zusammen. Alles was vor einer imaginären Abbuchung passiert ist graue Theorie. Hilft aber letztendlich auch nichts, wenn man einem realen Betrüger aufgesessen ist und nur der schönen Augen wegen 600 Eus oder mehr freiwillig versenkt hat. Dann kann man laut weinen und herumlamentieren, aber für die eigene Blödheit ist jeder selbst zuständig.
      ___________________________________________
      Kaum macht man es richtig, schon funktioniert es.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Walter Reinhold ()

    • schabbesgoi schrieb:

      Allerdings ist so ein "PW-Safe" im Computer in der Praxis schon ein Kompromiss zwischen Sicherheit und Bequemlichkeit.


      --->

      pandarul schrieb:

      Beim PW-Manager ist es natürlich wahrscheinlich, daß alle Zugänge abgegriffen wurden, in Form der verschlüsselten Rohdaten und des Masterpaßwortes.


      Tja, und dann sowas auf dem geklauten Smartphone... X/ und weil man so faul ist, natürlich dieses auch nicht zugangsgeschützt :thumbdown: Das gleiche gilt auch bei Wohnungseinbrüchen, in unserer Gegend ein zunehmend vorkommendes persönliches Unglück,
      in dem Falle wärs mir doch lieber, ich hätte auf dem PC kein einziges Passwort installiert und auch keinen PasswortM. Vor allem, nachdem ich selbst diesen PC vor Ingebrauchname knacken musste, weil ein MA unberechtigterweise sein Passwort einfach als Sabotage geändert hatte :rolleyes: Ging aber "ganz easy" mit ner CD. Wer hätte gedacht, dass das soo leicht ist 8|


      Walter Reinhold schrieb:

      kann man sich gut mit Wergwerfemailadressen behelfen.
      Kann man? Wer wirf die denn weg? Wie weg sind die dann? Kann man da sicher sein, dass die nicht noch für irgend einen Mist missbraucht werden können?
      Bedenke: "Humor ist der Knopf, der verhindert, dass uns der Kragen platzt." ^^ Ringelnatz :D
      Was heißt das? Abkürzungen, "Forengeheimsprache" und "geflügelte Worte"

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von Stubentiger ()

    • PW

      Bei den ganzen "Zwangsregistraturen", die man tw. so aufgebürdet bekommt, seh ich das gar nicht ein, mir für alle Sites/Foren/Gästebücher/Shops einmalige Passwörter auszudenken.
      Wieso auch? Wenn da keine sensiblen Daten abhanden kommen können oder sonstwas passieren, ist mir der Zugang ziemlich schnuppe.

      Von heise gabs da letztens mal nen schönen Kommentar: Warum 123456 als Passwort okay ist

      Zu den tw. haarsträubenden Passwortpolicies, die manche haben, fällt mir tw. auch nix mehr ein. Da muss man mindestens einen Groß-, einen Kleinbuchstaben, eine Ziffer und ein Sonderzeichen im PW haben, Ziffern dürfen nicht aufeinander folgen, nicht mehr als zwei gleiche Buchstaben hintereinander und das am Besten auch nur einmal, Sonderzeichen nicht am Anfang, etc. pp. Das Ganze natürlich bitte so, dass die letzten 10-30 PW nicht wieder verwendet werden dürfen.
      Wer denkt sich so eine Schei... aus? Statt die Mindestlänge des PW zu erhöhen (6 scheint vielen ja noch genug) oder wenigstens eine Länge zu empfehlen, werden imme abstrusere Bedingungen geschaffen, die vermeintlich die Sicherheit erhöhen. Tatsächlich wird aber durch die Restriktionen der Ergebnisbaum und somit auch der BruteForce-Suchraum erheblich eingeschränkt.
      Für die meisten Anwendungen dürfte heutzutage ein PW mit 10-15 Stellen ausreichend sein. Ob da nun Ziffern und Sonderzeichen drin sind, sei jedem selbst überlassen. Lieber eine Stelle mehr als irgendwelche Verrenkungen mit Sonderzeichen.
      Grund: Ein PW mit 9 alphabetischen Stellen kann 52^9 = 2,7*10^15 Werte annehmen. Ein PW mit 8 Stellen aus Buchstaben, Ziffern und Sonderzeichen kann (52+10+22)^8 = 2,5*10^15 Werte annehmen.
      Das ein Zeichen (Buchstaben) längere PW kann also 3*10^14 = 300 Billionen mehr Werte annehmen. Und da soll ich mir auch noch die Finger verrenken? Nicht unbedingt.

      Just my 2 ct, aber vielleicht regts ja den ein oder anderen zum Nachdenken an. Bei Bedarf krame ich auch noch einen schönen Artikel raus, der diese ganzen Mythen mal beleuchtet.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von rincewind ()

    • rincewind schrieb:

      Statt die Mindestlänge des PW zu erhöhen (6 scheint vielen ja noch genug) oder wenigstens eine Länge zu empfehlen,

      ich finde auch, Länge ist doch wichtig :P

      aber eine "empfohlene Länge" eine Standardlänge schränkt auch schon wieder den "BruteForce-Suchraum" ;) ein, oder?
      Bedenke: "Humor ist der Knopf, der verhindert, dass uns der Kragen platzt." ^^ Ringelnatz :D
      Was heißt das? Abkürzungen, "Forengeheimsprache" und "geflügelte Worte"

    • Die meisten Passwörter dürfen eine max Länge von 12 bis 16 Zeichen haben.
      Je Länger desto sicherer.

      Ein PW mit 24 Zeichen wäre optimal, denn, wenn ich Sonderzeichen und ZUfallszusammensetzungen verwende wird es für Hacker uninteressant, selbst bei Oktacoreprozessoren, uninteressant das Passwort zu knacken. Es dauert einfach zuviel Zeit. Wenn ich dann noch einen versteckten Retourn-Befehl einbaue wird der Rechner auf Ewigkeiten versuchen den Code zu knacken. (sagte mir gerade mein Sohn der hier mitgelesen hat) Nur wie das geht wollte er mir nicht sagen.
      Solange das vermeintliche Recht Einzelner zum Unrecht für Andere wird gibt es keine Gerechtigkeit. myself

      Das was ich hier sage ist keine Rechtsberatung, sondern stellt meine persönliche Meinung dar und kann zu neuen Denkansätzen beitragen, auch wenn es "rechtlich" nicht immer einwandfrei erscheint.

    • Kommt doch darauf an, ob in der Datenbank das Passwort als "KlarWort" steht oder verschlüsselt ist. Ist das Passwort verschlüsselt, dann muss es entschlüsselt werden um es verwenden zu können. Dabei hilft ein richtig gutes Passwort natürlich ungemein um es eben nicht entschlüsselt zu bekommen.

      Dann würde die Rechenarbeit anfangen:

      Ausprobieren von Passwörtern

      Die folgende Tabelle gibt die benötigte Rechenzeit eines Brute-Force-Angriffs
      auf verschiedene Passwörter wieder. In diesem Beispiel wird eine
      Rechenleistung von 1 Milliarde Schlüsseln angenommen, die der Angreifer
      pro Sekunde durchprobieren kann. Dies entspricht ungefähr der Leistung
      eines modernen Standard-PCs mit leistungsfähiger Grafikkarte (z. B.
      Radeon HD 6770)[7]. Die zugrundeliegende Formel für die Berechnung der Anzahl der maximal benötigten Versuche lautet: ZeichenraumgrößePasswortlänge, also beispielsweise bei alphanumerischen Passwörtern (62 Zeichen) mit der Länge 10 ergäben sich maximal 6210 Versuche. Des Weiteren wird für dieses Beispiel angenommen, dass das Passwort als md5-hash,
      vorliegt. Es ist zu beachten dass die Werte dieser Tabelle nur ein
      Beispiel darstellen und sich in der Praxis auch sehr deutlich davon
      unterscheiden können:[8][9]


      Rechenzeit eines Brute-Force-Angriffs bei 1 Milliarde Schlüsseln pro Sekunde


      de.wikipedia.org/wiki/Passwort

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Kaiolito ()

    • Stubentiger schrieb:

      Tja, und dann sowas auf dem geklauten Smartphone... X/ und weil man so faul ist, natürlich dieses auch nicht zugangsgeschützt :thumbdown: Das gleiche gilt auch bei Wohnungseinbrüchen, in unserer Gegend ein zunehmend vorkommendes persönliches Unglück,
      in dem Falle wärs mir doch lieber, ich hätte auf dem PC kein einziges Passwort installiert und auch keinen PasswortM.


      Mit einem richtig guten Paßwort - nämlich dem Masterpaßwort, mit dem die gespeicherten Zugänge gesichert sind, ist o.g. kein Problem.

      rincewind schrieb:

      Tatsächlich wird aber durch die Restriktionen der Ergebnisbaum und somit auch der BruteForce-Suchraum erheblich eingeschränkt.


      In einer perfekten Welt, wo alle Leute sich grundlegend mit Sicherheit beschäftigt hätten, hättest du Recht. in der realen Welt benutzen die Leute aber Wörter. Die Policy "Groß- und Kleinschreibung" führt zu "Apfelbaum". Die Policy "Zahlen" zu "Apfelbaum1". Die Policy "Sonderzeichen" zu "$Apfelbaum1". Nichts davon taugt als Paßwort. Die Policy "Mind. 2 Zahlen und Sonderzeichen, die nicht nacheinander kommen dürfen", führt wenigstens zu "$1Apfel!baum2" und rettet damit den DAU.

      Attacken werden mit Wörterbüchern gefahren.

      Stubentiger schrieb:

      aber eine "empfohlene Länge" eine Standardlänge schränkt auch schon wieder den "BruteForce-Suchraum" ;) ein, oder?


      Nicht relevant. Nehmen wir mal - für jeden verständlich - die Ziffern von 0-9. Ein 4 Zeichen langes Paßwort hat 10.000 Kombinationsmöglichkeiten. Wie viele Kombinationsmöglichkeiten haben alle kürzeren Paßworte? 10 + 100 + 1000, also aufaddiert eine ganze Größenordnung weniger. Wenn man weiß, daß es mindestens 4 Zeichen sind, spart man sich also einen Bruchteil der Aufgabe, alle Paßwörter mit Mindestlänge zu probieren. Im Grenzfall ist die Aufgabe, alle PWs der Längen 1 bis x zu probieren, genau um 1 weniger schwierig als die PWs mit Länge (x+1) zu probieren. Man schenkt einem Angreifer also im Schnitt maximal die Hälfte der Rechenzeit, und das auch nur, wenn das zu erratende PW tatsächlich die Mindestlänge hat.

      Exakt formuliert: Beide Aufgaben sind von der gleichen Komplexität. Wer mit seiner Rechenleistung (x+1) knacken kann, kann auch (1..(x+1)) knacken.

      Zusammengefaßt: Ein PW sollte zufällig sein (auch da helfen PW-Manager, in dem sie einen entsprechenden Generator mitbringen), möglichst den komplett verfügbaren Zeichensatz benutzen und zusätzliche Stellen erhöhen die Sicherheit überproportional.

      Krennz schrieb:

      selbst bei Oktacoreprozessoren


      Paßwortattacken werden mit Grafikkarten, Spezialhardware und/oder verteilten Systemen gefahren und nicht mit CPUs. Man man man.

    • rincewind schrieb:

      Zu den tw. haarsträubenden Passwortpolicies, die manche haben, fällt mir tw. auch nix mehr ein....
      Wer denkt sich so eine Schei... aus?

      Der arme geplagte Webseitenentwickler der es gut meint oder von Vorgaben getrietzt wird.

      Ein BruteForce Angriff funktioniert doch nur, wenn man das Objekt der Begierde (geschützes RAR-Archiv, Laptop, Tresor von Franz Jäger) vor sich auf dem Tisch hat und beliebig lange damit herumspielen kann. Auf Webseiten ist meistens nach 3 oder 5 Fehleingaben Schluß und man wird für eine Stunde zum Spielen nach draußen geschickt. Dann kann man wiederkommen und noch mal probieren. Wenns dann nicht klappt ist der Sack zu. Wer ein berechtigtes Interesse hat, geht dann über die "Ich habe mein Paßwort vergessen"-Funktion. Mit manchen Seiten mache ich das regelmäßig und habe somit immer ein frisch gewechseltes Paßwort im Einsatz.

      Was gefährlich ist, wenn tausende und mehr komplett-Accounts mit username und verschlüsseltem Paßwort in die falschen Hände geraten. Da wird mit Hochleistungsrechnern und riesigen Wörterbuchdatenbanken der größte Teil der Paßwörter wieder hergestellt weil eben oft einfache Wörter kombiniert mit ein bis zwei Ziffern verwendet werden. Auf den Rest werden ausgefeilten Algorithmen angesetzt und wenn 5 % nicht geknackt werden ist es auch nicht schlimm. Wie kommen die Kriminellen denn nun an die Accounts? Durch gezielte Einbrüche in einschlägigen Firmen und Klau von Benutzerdatenbanken wie jüngst bei Ebay. Da kann man sich als Nutzer nur dagegen wehren, wenn man sich streng von allem fernhält. Die Amishen machen das so und haben mit geklauten Identitäten sicher kein Problem. Aber das ist für den Rest nicht praktikabel. Regelmäßiger Wechsel von Paßwörtern ist immer gut. Das hilft gegen Zufallsmißbrauch oder gegen Mißbrauch im familiären oder dienstlichen Umfeld vor allzu neugierigen Kollegen, also einem überschaubaren Personenkreis. Auf Arbeit finde ich aber die oft die Paßwörter der Mitarbeiter unter der Tastatur oder auf einem PostIt am Bildschirmrand angetackert. Da fällt mir dann auch nichts mehr ein ...
      ___________________________________________
      Kaum macht man es richtig, schon funktioniert es.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Walter Reinhold ()

    • mein direkter Vorgesetzter hatte bekannterweise "Idiot" als Passwort :D damit auch im Krankheitsfall jemand an den PC konnte ... sehr sinnig :S

      Wie ist das denn in andern Firmen, meinen jetzigen PC hab ich aus einer Firma, die ihren MA Passwörter vorgab (als ich nach Kauf monierte, dass der PC gesichert war, bekam ich verschiedene Kürzel zur Auswahl, die mir dies System anschaulich verdeutlichten) aber ausgerechnet mein User hatte sich wohl selbst was ausgedacht ... :rolleyes: Trotzdem kam ich mit einer Überbrückungs-CD ziemlich schnell rein, egal, wie das Passwort nun gewesen ist.

      Ich kenn aber jemanden aus einem Dax-Betrieb, da wird automatisch über Intranet regelmäßig kurzfristig angemahnt, das Passwort zu wechseln und afaik geschieht das sogar iwie zwangsweise, dh. bevor das nicht erledigt ist, gehts nicht weiter :D
      Bedenke: "Humor ist der Knopf, der verhindert, dass uns der Kragen platzt." ^^ Ringelnatz :D
      Was heißt das? Abkürzungen, "Forengeheimsprache" und "geflügelte Worte"

    • Stubentiger schrieb:

      da wird automatisch über Intranet regelmäßig kurzfristig angemahnt, das Passwort zu wechseln und afaik geschieht das sogar iwie zwangsweise, dh. bevor das nicht erledigt ist, gehts nicht weiter



      Ganz normal, Stubentiger :)
      ein mal im Monat wechseln müssen, teilweise mit Vorwarnzeit. Kommt dann beim Einloggen so was wie "Ihr Passwort wird in 5 Tagen ablaufen, wollen Sie jetzt ändern?. Kann man ablehnen, aber nch 5 Tagen muss man dann.

      Dazu werden sich oft die letzten XX Passworte "gemerkt" vom System. Eines von diesen kann man also teilweise erst nach Jahren wieder verwenden.
      Mindestlänge vorgeschrieben.
      Es wird geprüft, ob jeweils Buchstaben (Klein und groß), Zahl und Sonderzeichen im PW sind.
      EIn Wörterbuch wird abgeglichen bevor das PW angenommen wird. Damit kann eine Zeichenfolge wie "Sommer" oder Winter nicht genommen werden (IDIOT auch nicht *gr) Monatsnamen verboten, gängige Vornamen....usw. ..
      Auch darf eventuell das letzte Zeichen keine Zahl sein. Sonst würden manche Trollis jeweils das eigentlich gleiche behalten und hinten nur um eins hochzählen.

      Das dürfte in Großunternehmen so Standard sein. Man muss sich vorstellen, dass an diesem Login alle Zugriffsrechte auf Programme und Daten hängen. Und manche der Logins haben/brauchen eben Zugriff auf Daten, die andere auf keinen Fall sehen sollen.


      NAchsatz: Es gibt auch Unternehmen, wo die Sichheritsabteilung oder interne Revision schon mal abends durch die Büros schlendert......Wenn jemand einen Zettel oder Topit zu offen rumliegen hat....der muss damit rechnen, dass er am nächsten Morgen sich nicht mehr einloggen kann. Der darf sich dann beim Vorgesetzten melden. Das passiert jedem nur einmal....

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von schabbesgoi ()