Kennwortlänge & TAN-System

Hallo zusammen,


Ich möchte hier gern meinen Unmut über das ab einem gewissen 'Spielstand' aufgedrückte TAN-System äussern. Ohne die besonders für Knuddels zweifellose Sinnhaftigkeit eines allgemeinen TAN-Systems schmälern zu wollen, finde ich dieses im Hinblick auf die maximal zulässige Kennwortlänge (was sind das, 10 Zeichen !??) offen gesagt sehr scheinheilig.

Wäre es ein solcher Akt, eine vernünftig längere Grenze für Kennwörter zu ziehen/implementieren ? 32 fänd ich optimal, 64 besser, 128 wär doch mal schön
Bitte teilt eure Meinungen ! eine Abstimmung wäre auch sehr cool.


lieben Gruß,
--tehtrb

Hallo tehtrb,

nach mehrfacher Rücksprache muss ich dir leider mitteilen, dass eine Verlängerung des Passwortes nicht umgesetzt wird. Was ich persönlich auch gut nachvollziehen kann, ich finde die Anzahl der jetzigen Zeichen mehr als ausreichend. 32 Zeichen hätte ich zwar auch als in Ordnung empfunden, jedoch finde ich, dass 128 Zeichen als Passwortlänge etwas weit hergeholt sind. Das kann sich doch kein Mensch mehr merken...

Kurz und knapp wird deine Idee hiermit abgelehnt.

Danke trotzdem.

Liebe Grüße
Vany
(Ideen-Team)

Aus welchen Gründen wird denn eine Verlängerung nicht umgesetzt? Richtig sichere Passwörter haben ihre Mindestlänge bei 12 Zeichen, hier ist 12 die Maximallänge. Was ich im übrigen auch nicht nachvollziehen kann. Im Normalfall liegt die Auswahl der Passwortlänge bei dem User selbst, da sollte eigentlich kein Diensteanbieter irgendwie eine Maximalzahl an Zeichen festlegen. Wäre also schön, ein paar Gründe zu erfahren.

Meine persönliche Meinung wäre, weil es ein absolut unnötiger technischer Aufwand wäre. Ein Passwort, dass aus 12 Zeichen besteht, ist nicht automatisch weniger sicher, als ein Passwort, welches aus über 100 Zeichen (nur ein Beispiel) besteht. Es kommt also nicht drauf an, wie lang das Passwort ist. Man kann schon ein sehr gutes/sicheres Passwort haben, wenn man nur 12 Zeichen benutzt. Wenn sich jemand das Passwort (mit Hilfe von Trojanern) eines anderen Usern aneignet, dann spielt es keine Rolle, wie lang das Passwort ist, da das Passwort in so einem Fall so oder so geknackt wird.

Hinzukommt ein großer Nachteil: Wenn jemand zum Beispiel ein derartig langes Passwort verwendet, ist es sicher wahrscheinlicher, dass das Passwort vergessen wird. Wenn man zum Beispiel (wie hier angesprochen) ein Passwort bestehend aus über 100 Zeichen nutzen könnte, könnte ich mir nicht vorstellen, dass es so einfach wäre, sich dieses zu merken. Gut, das ist dann zwar jedem selbst überlassen, ob so ein langes Passwort verwendet wird und eventuell können sich dies auch ein paar merken, aber wie gesagt, sicherer ist so ein langes Passwort nicht. Ob nun 12 Zeichen, oder 120, spielt absolut keine Rolle. Daher kann ich es auch gut nachvollziehen, dass das Ganze nicht dahingehend erweitert wird, dass man x Zeichen verwenden kann. Ich persönlich hätte auch nichts dagegen, wenn man zum Beispiel 15-20 Zeichen nutzen könnte, weil ich auch schon oft Passwörter wählen wollte, weil die aber zu lang waren, aber ein Muss ist das absolut nicht.

Wie gesagt, ist jetzt meine persönliche Meinung davon und spiegelt nicht die Ansichten von doubtfully oder der Chatleitung wieder. Eventuell kann doubtfully ja noch ein bisschen mehr dazu sagen, da sie es war, die Rücksprache gehalten hat. Dies bleibt abzuwarten.

Und du bist in der lage auch nur annähernd den aufwand dafür einschätzen zu können?

Achso, klar, einpasswort was aus 4 zeichen besteht ist auch nicht sicherer als eins was aus 12 zeichen besteht...logisch....nicht.
Jap, genau, totaler quatsch lange passwörter zu verwenden.

Nicht von sich auf andere schließen. Es wäre ja immernoch jedem user selbst überlassen was für ein passwort er wählt. Aber pauschal mal dem user vorzuschreiben das er kein längeres verweden darf ist schlicht und ergreifend dumm. Und Deine Aussage erklärst du ja im grunde schon selbst für null und nichtig mit:

Siehe oben. Am besten wäre doch wenn wir eine maximale passwortlänge von 1 vorschreiben. Ist doch genau so sicher wie eins mit 12 stellen. Die länge spielte ja keine rolle, ne? Oder doch? :x




Ich hätt dazu noch ne frage: Wird denn das passwort überhaupt bei knuddels gespeichert? Ich dachte eigentlich immer das nur ein hash vom passwort gespeichert wird? Und wäre es denn dann nicht jacke ob der hash von einem passwort mit 12 oder 120 zeichen gespeichert wird? Der hash hat ja im normalfall eh immer die gleiche länge.

Natürlich kenne ich den genauen Aufwand nicht, aber Knuddels bietet neben dem Passwort auch noch andere Möglichkeiten, um den Nick zu schützen, was eine Verlängerung des Passwortes noch mal ein bisschen mehr unnötig macht. Zum einen das Tan-System - und zum anderen wird auch über das Thema allgemein informiert. Zum Beispiel anhand von Funktionen wie: /h Passwortsicherheit, /h Passwortklau, /h Passwortinfo und natürlich /h Passworttest. Ich finde, solche Funktionen, die einen darüber so gut es eben geht aufklären, bringen einen viel mehr, als ein Passwort, das aus so vielen Zeichen besteht. Wenn man sich richtig informiert und weiß, wie man sich vor Nick-Diebstahl schützen kann, dann braucht man auch kein so langes Passwort, da Wissen meiner Meinung nach immernoch den besseren Schutz bietet. Bisher kommt man ja auch wunderbar mit der maximalen Länge von 12 Zeichen aus. Wer trotzdem Opfer eines Nick-Diebes wird, der hat sich einfach allgemein falsch verhalten/nicht genug informiert. Da hätte auch kein Passwort mit x Zeichen etwas gebracht.

Ich selber hätte gar keine Probleme damit, mir so ein extrem langes Passwort zu merken, da ich sowas niemals verwenden würde. Ich bin bisher super mit 12 Zeichen ausgekommen - und das kann ich auch weiterhin. Ich versteh auch nicht, wieso eine so krasse Veränderung gewünscht wird. Ich kann verstehen, dass man den eigenen Account sehr gut schützen möchte, aber doch nicht dahingehend. 12 Zeichen sind ausreichend. 20-24 wären auch noch in Ordnung. Alles dadrüber wäre absolut utopisch und irgendwie auch sinnlos (tut mir leid, wenn ich das mal erwähnen muss).

Und natürlich ist ein Passwort, welches nur aus einem Zeichen besteht, nicht sicher, aber eines, das aus 12 Zeichen besteht, ist es. Selbst 8 Zeichen wären schon vollkommen ausreichend, um ein gutes und sicheres Passwort zu haben. Natürlich sollte man dann nicht sowas simples wie "12345678" oder "ABCDEFGH" verwenden.

Was deine Frage angeht, darauf kann ich dir keine Antwort geben, da ich mich damit zum einen nicht auskenne - und zum anderen hat dies auch nicht wirklich etwas mit dem hier angesprochenen Thema zu tun.

die frage ging auch nicht an dich, das war mir schon klar das du davon kein plan hast.

doch hat es, kannst du aber nicht wissen da du ja keine ahnung hast, wie du ja auch selbst festgestellt hast.

siehe dazu:
[img]http://imgs.xkcd.com/comics/password_strength.png[/img]

Wie viele Zeichen hatvdenn dein Passwort abki? Dann zeig ich dir, wie viel sicherer ein Passwortit vielen Zeichen ist
Spaß bei Seite. Wie ich in meinem letzten Beitrag schon schrieb, ist es gar nicht mein Anliegen, dass die Maximallänge auf 120 oder so erhöht wird. Meine Frage war, welche Gründe für die Ablehnung genannt wurden. Ich beispielsweise nutze bei verschiedenen Diensten ein Passwörter, die mindestens 40 Zeichen lang sind. Das sind Serverpasswörter, und die hab ich im Kopf.
Das einzige, was an langen Passwörter unsicher ist, ist die Tatsache, dass sich viele die Passwörter nicht merken konnen und diese dann an einem Zettel an den Bildschirm kleben. Ich bin in der Passwortsicherheitsbranche tätig, also weiß ich, wovon ich rede. Kev777 bringts exakt auf den Punkt.

Hey,

ich glaube was abki euch vermitteln will ist, dass man für einen Chat kein 100 Zeichen langes Passwort benötigt, was ich vollkommen nachvollziehen kann. Natürlich wird ein Passwort um so sicherer, je länger und komplexes es ist. Es hat sicher schon seine Gründe, warum Serverpasswörter so lang sind. Aber wir wollen hier keinen Server schützen, sondern nur einen Account. Selbstverständlich ist dieser nicht unwichtig und man möchte ihn ausreichend schützen. Aber dafür 120 Zeichen zu verwenden, halte ich auch für Sinnfrei. Da sollten es auch 12 Zeichen tun, denke ich.
Demnach ist für mich nicht die Frage, wie lang ein Passwort sein muss, sondern was genau man damit schützen will.

Ich würde es allerdings auch begrüßen, wenn man die Zeichen ein Stück erweitern würde. Ich bin da auch schon paar mal an meine Grenzen gestoßen. Aber dafür sollten 20 und keine 120 Zeichen reichen, wenn ihr mich fragt.


die Kirsche war's...

Ich finde eine PW Länge von 40 Zeichen reicht.. ich verwende idr ausschließlich 40 Stellige Passwörter die allesamt Zufalls generiert sind und ich hab se alle im Kopf.

Wenn ich bedenke dass sich die Sysadmins und die Normalen Admins auch mit 12stelligen Passwörter vergnügen müssen und was passiert wenn jmd dieses Passwort hackt.. Dann gute Nacht

Hallo,

die Chatleitung ist, genau so wie abki oben schon beschrieben hat, auch der Überzeugung, dass 12-Zeichen völlig ausreichend sind um ein sicheres Passwort zu erstellen.
Man muss es eben nur richtig machen.

Es geht ja auch nicht darum es falsch oder richtig zu machen. Dass 123456789101 kein sicheres Passwort ist, das sollte jedem bewusst sein. Im Prinzip wurde es schon gut auf den Punkt gebracht. Es macht einen Unterschied ob ich ein gutes 12 Zeichen langes Passwort habe oder ein gutes 30 Zeichen langes. Wenn jemand versucht an mein Passwort zu kommen, halte ich ihn mit zweiterem deutlich länger auf.
Mit 12 Zeichen kann ich auch ein vergleichsweise sicheres Passwort erstellen, aber es geht eben sicherer.

Wenn ihr eure Email-Account, Accounts von Amazon/Ebay etc. mit Passwörtern verseht versucht ihr doch auch diese möglichst sicher zu gestalten. Mir wären mehr Zeichen auch deutlich lieber ...

Ich muss jetzt dazu nochmal fragen, um was für ein Passwort geht es eigentlich?
Beim Tansystem wird ein Passwort abgefragt? Ich stehe gerade ein bisschen auf dem Schlauch.

Er meint das ganz normale Knuddels-Passwort.
Er möchte damit einfach nur sagen, dass er das Tan-System unwichtiger findet, als ein längeres Passwort.

Hallo,
es geht hier um einen "nebensächlichen" Account. Hier gibt kein Geld zu stehlen!
Ich habe ein Password aus zeichen in einer sinnlosen Reihenfolge; das heißt; für jedes Zeichen gibt es über 80 Möglichkeiten (26 kleinbuchstaben, 26 Großbuchstaaben, 10 Ziffern und ca 25 Sonderzeichen. Also 80 hoch <länge des passwords> mögliche Kombinationen
.
Bei der Tan gibt es nur 26 hoch 3 Möglichkeiten. Das ist aber eine 2. Sicherheitsstufe. Erst müsste der Account gehackt werden und dann noch die richtige TAN eingegeben werden. Damit sind die "Wertsachen" wie Smylies und Knuddels ausreichend gesichert.

Hier gibt es kein Geld zu stehlen, richtig. Aber muss es denn unbedingt etwas materielles sein? Ist ein Nickname, deb man schon seit möglicherweise einem Jahrzehnt besitzt, dem Besitzer denn nicht genau so viel wert wie irgendwelche Geldbeträge? Diebstahl ist Diebstahl, egal ob real oder virtuell. Zumal es User gibt, die monatlich mehrere hundert Euro für Smileys aus, indirekt gibt es also doch Geld zu stehlen.

Wenn die Software vernünftig programmiert wurde (wovon ich jetzt mal ausgehe), muss zur Änderung der Kennwortlänge eine Zahl(!) geändert werden, was wiederum bei einer vernünftigen und sinnvollen Datenhaltung einen Zeitaufwand von maximal einer Minute bedeutet.

Ich finde 12 Stellen für ein Passwort im heutigem Zeitalter auch sehr wenig.
Man sieht immer wieder wie schnell W-Lan- Router gehackt werden können und diese haben meistens weit aus mehr Zeichen.

128 Zeichen für ein Passwort finde ich persönlich zwar auch recht viel ich würde mich mit simplen 24 Stellen schon zufriedengeben.

Aber wie oft werden hier Adminnicks gehackt, obwohl jeder Mensch denkt, mein Passwort ist so einfach nicht zu knacken. Und nun kommt mir nicht der Admin ist selbst schuld, wenn er diverse Seiten anklickt. Das ist in meinen Augen so ein dummes Geschwätz ein Nick kann auch geklaut werden, ohne dass ich nun diverse Seiten angeklickt habe. Im heutigem Zeitalter gibt es Programme die einfach die Möglichkeiten durchtesten die man bei einem Passwort hat sicherlich dauert dies lange aber es geht.

Bei einer längeren Passwortzeichen anzahl brauch dies natürlich länger als bei 10-12 stellen.
Und ich denke fast jeder der hier eine größere administrative Rolle hat ändert sein Passwort regelmäßig.

Aber wie immer muss dann erst was passieren damit, was geändert wird.

das ist schlichtweg falsch.

Mittlerweile hat man hier die möglichkeit ganz offiziell für einen smiley über 3000 euro abzudrücken. Also bitte nicht so einen unfug erzählen vonwegen es gibt hier nix zu klauen.

Jawoll, hier kann das tansystem schützen. Aber was passiert wenn jemand sich zugang verschafft um den accoutn schlicht und ergreifend sperren zu lassen? Die rennerei um dann nachzuweisen das der account von einem fremden missbraucht wurde ist dann natürlich spitze.

3000 € zu fordern ist das eine, jemanden zu finden der das zahlt ist etwas anderes. Da würde ich gerne mal Statistiken zu sehen!

Der Betreiber der Seite kann viel gegen das hacken tun. z. B. nach jedem Fehlversuch eine Pause von 1-2 Sekunden machen, bevor er den nächsten login-versuch annimmt. Dann gingen nur noch 30 Versuchen pro Minute! Dadurch wären auch kurze Passwörter sicher.

Ihr seid alle nerds und wollt maximale Sicherheit. Das geht aber am Bedarf von 99 % der User vorbei. Bei denen ist auch ein Passwort mit 12 Zeichen schon stark. Wer hackt schon "Lieschen Müller"?

ziegt das du das smileysystem nicht voll verstanden hast.

gegen brute force ist schon einiges eingebaut.

es geht ja um keinen zwang, sondern um die möglichkeit bei wunsch längere passwörter zu nutzen. Lieschen Müller kann immernoch ihr subersicheres passwort "hellokitty" nutzen wenn sie will....

Es gibt verschiedenste Möglichkeiten, sich über den "angeblichen" Wert der Smileys zu informieren. Da gibt's auch viel Täuschung und Wunschdenken.

Solange man nicht verkaufen will, kann man sich reich wähnen. Beim Verkauf kommt dann schon mal der Sturz auf den harten Boden der Realität. Eine Ware nur soviel wert, wie ein anderer bereit ist, dafür zu bezahlen. Die Preise sind durch die TB ja schon in den Keller gegangen. Da finden sich auch einige 'Mondpreise'.

Wenn schon einiges gegen brute force eingebaut ist, warum dann weiter oben dieser Comic mit der Beispielangabe '1000 guesses/sec'? Da hättest du schon etwas dazu schreiben können. Wieviel Guesses/sec sind zurzeit beim chat-login etwa möglich?

Ob du's glaubst oder nicht, es gibt User, die 3000€ für einen Smiley zahlen. Oder für mehrere, das aber monatlich. Was meinst du, warum teilweise von ein und dem selben User am Aboday 200 Codes angeboten werden?


Bruteforce wird bereits so gut wie möglich verhindert, nach einer bestimmten Anzahl an Fehlversuchen wird bspw. die Möglichkeit, sich mit der IP-Adresse einzuloggen, genommen. Und aich nur durch die Unterbindung wird ein unsicheres Passwort nicht automatisch sicherer, das ist ziemlicher Crap.


Lieschen Müller ist in deinen Augen also ein sicheres Passwort? Na dann prost Mahlzeit. Nur weil du ein Passwort in diese Richtung verwenden würdest, brauchst du nicht davon auszugehen, dass es auch sicher sei.
Es geht hier aber nicht unbedingt um maximale Sicherheit. Maximale Sicherheit ist hier aber gar nicht benötigt, aber annähernd minimale Sicherheit, wie es aktuell ist, ist zu wenig.

Das Thema Geld kann man hier beenden, das hat nichts mit dem eingentlichen Thema zu tun.

Ich habe mal gerechnet, wielange es dauert alle Möglichkeiten durchzutesten:

angenommen 1000 Versuche pro Sekunde
ein Jahr hat 31.536.000 Sekunden
bei 80 möglichen Zeichen und einer Länge von 12 Zeichen gibt es 68.719.476.736.000.000.000.000 Möglichkeiten
es dauert also 2.179.080.312.531,71 Jahre um alle Möglichkeiten durchzutesten

diese Zeit kann man durch den Einsatz eines Botnetzes verkürzen
aber wer macht das bei allerweltnicks wie "Lieschen Müller", "Max Mustermann" oder "Bei mir ist doch eh nix zu holen"
wer etwas wertvolles hat, kann es auf einem nicht benutzten zweitnick bunkern. Den kenn kein anderer, also greift ihn auch keiner an.

es dauert sogar noch länger.
Das ist nur das Passwort mit 12 Zeichen. Der Hacker muss alle Längen durchtesten als auch alle mit 11 Zeichen Länge, alle mit 10 Zeichen Länge, alle mit 9 Zeichen Länge......

Du bekommst keine 100 Versuche pro Sekunde. Gegen Bruteforce wurde schon einiges unternommen. So wie es ist, ist es schon sicher genug. Mir ist kein Passwortverlust auf Grund einer Hackingmaßnahme bekannt. Die ganzen Passwortverluste fanden auf Grund eines falschen Umgangs mit dem Passwort statt. Entweder logte man sich auf Fakeseiten ein, die genauso wie Knuddels.de aussahen, oder man ließ sich einen Trojaner unterjubeln.

Persönlich habe ich nichts gegen eine Verlängerung der Zeichen. Ob diese Änderung aber weitläufig genutzt wird, ist fraglich. Die Meisten, und wir gehen von Ottonormalverbrauchern aus, haben ein Passwort, welches max. 12 Zeichen hat.

Fazit: Nice to have, aber wirklich notwendig ist es nicht.

Das thema sind doch hier aber nicht nur brute force angriffe, dagegen, wie schon geschrieben wurde, wird ja einiges gemacht.

Es geht einfach darum dem user die möglichkeit zu geben ein längeres passwort wählen zu können.


Ich stell mir immernoch die frage was wirklich dagegen spricht den leuten einfach die möglichkeit zu geben ein längeres passwort zu wählen wenn sie es denn wünschen? Also ich wäre dankbar für nachvollziehbare erklärungen. Und bitte nicht damit kommen das einer sein passowrt vergisst...wie ich ja schon sagte ist es jedem selbst überlassen wie lang sein passwort sein soll.

Hallo zusammen,

Es freut mich sehr, eine solch lange Diskussion losgetreten zu haben.

Mir ist schon bewusst, dass Systembedingt eine Maximallänge für Kennwörter existieren muss, allein wegen Dingen wie Overflows.

Ich, der Master-Kennwörter von über 50 Zeichen hat, muss hier allerdings doch ein paar Anmerkungen machen:

Nur weil das Kennwort maximal 128 Zeichen betragen kann, muss es das nicht zwingend! Wo hab ich denn bitte geschrieben, dass eine Mindestlänge eingeführt werden soll ? Die Möglichkeit längerer Kennwörter muss aber gegeben sein, und in diesem Fall dann gleich lieber mehr als weniger Marge ! Ich kann nicht verstehen wie man das nicht verstehen kann.

Ich sehe keinen einzigen triftigen Grund den Benutzern die Möglichkeit zu verwehren und stehe hier voll und ganz hinter Kev777 und Dreamboy-1996 <3.
Die Frage, ob Kennwörter vernünftig gehashed (mit Salz bitte!) werden, hat sich mir auch schon ein paar Mal gestellt. Kriegen wir hierzu eine Antwort, oder wäre es der Chatleitung unangenehm wenn herauskäme dass das schlecht implementiert wurde ?

Soweit ich sehen konnte findet die Chatleitung die Idee Scheisse, ohne Gründe anzugeben.
Ich möchte mich dazu klipp und klar frei ausdrücken: das ist eine bodenlose Frechheit, sowie verdammt dilettantisch!! Soweit ich mit der Historie von Knuddels vertraut bin sind dies selbst IT-Menschen. Sehr interessant zu sehen wieviel ihnen an ihren Usern liegt !

Meine Vermutung ist hier, dass die Kennwörter ursprünglich beschissen implementiert wurden (wer weiss, vllt werden sie sogar im Klartext abgespeichert), so dass für eine Vergrößerung der Kennwortgrenze das gesamte Kennwortsystem neu gebaut werden müsste.
Wenn das so ist, scheisse gelaufen. Genau dann ist es allerdings wichtig, gar unerlässlich, das System neu zu bauen !!!

Ich bin und bleibe zutiefst entsetzt beim Anblick des Unverständnisses, der hier zum Thema IT-Sicherheit an den Tag gelegt wird.

Gruß,
tehtrb


PS: Wie schon im Rundmail-Thread, lieber abki, ist eine Modifikation nicht gleich zwecklos wenn du selbst ihr keinen Nutzen abnehmen kannst

doch geht, wenn nicht Zettel und Stift.
Das Passwort meines e-mail accounts hat 26 zeichen nachdem nachdem er zuvor 2 mal mittels brutforce geknackt wurde (trotz 12 zeichen, bzw. zuvor nur 6)

im fall von knuddels ist mir das den aufwand allerdings nicht wert ;)