Kennwortlänge & TAN-System

Hallo zusammen,


Ich möchte hier gern meinen Unmut über das ab einem gewissen 'Spielstand' aufgedrückte TAN-System äussern. Ohne die besonders für Knuddels zweifellose Sinnhaftigkeit eines allgemeinen TAN-Systems schmälern zu wollen, finde ich dieses im Hinblick auf die maximal zulässige Kennwortlänge (was sind das, 10 Zeichen !??) offen gesagt sehr scheinheilig.

Wäre es ein solcher Akt, eine vernünftig längere Grenze für Kennwörter zu ziehen/implementieren ? 32 fänd ich optimal, 64 besser, 128 wär doch mal schön
Bitte teilt eure Meinungen ! eine Abstimmung wäre auch sehr cool.


lieben Gruß,
--tehtrb

Hallo tehtrb,

nach mehrfacher Rücksprache muss ich dir leider mitteilen, dass eine Verlängerung des Passwortes nicht umgesetzt wird. Was ich persönlich auch gut nachvollziehen kann, ich finde die Anzahl der jetzigen Zeichen mehr als ausreichend. 32 Zeichen hätte ich zwar auch als in Ordnung empfunden, jedoch finde ich, dass 128 Zeichen als Passwortlänge etwas weit hergeholt sind. Das kann sich doch kein Mensch mehr merken...

Kurz und knapp wird deine Idee hiermit abgelehnt.

Danke trotzdem.

Liebe Grüße
Vany
(Ideen-Team)

Aus welchen Gründen wird denn eine Verlängerung nicht umgesetzt? Richtig sichere Passwörter haben ihre Mindestlänge bei 12 Zeichen, hier ist 12 die Maximallänge. Was ich im übrigen auch nicht nachvollziehen kann. Im Normalfall liegt die Auswahl der Passwortlänge bei dem User selbst, da sollte eigentlich kein Diensteanbieter irgendwie eine Maximalzahl an Zeichen festlegen. Wäre also schön, ein paar Gründe zu erfahren.

Meine persönliche Meinung wäre, weil es ein absolut unnötiger technischer Aufwand wäre. Ein Passwort, dass aus 12 Zeichen besteht, ist nicht automatisch weniger sicher, als ein Passwort, welches aus über 100 Zeichen (nur ein Beispiel) besteht. Es kommt also nicht drauf an, wie lang das Passwort ist. Man kann schon ein sehr gutes/sicheres Passwort haben, wenn man nur 12 Zeichen benutzt. Wenn sich jemand das Passwort (mit Hilfe von Trojanern) eines anderen Usern aneignet, dann spielt es keine Rolle, wie lang das Passwort ist, da das Passwort in so einem Fall so oder so geknackt wird.

Hinzukommt ein großer Nachteil: Wenn jemand zum Beispiel ein derartig langes Passwort verwendet, ist es sicher wahrscheinlicher, dass das Passwort vergessen wird. Wenn man zum Beispiel (wie hier angesprochen) ein Passwort bestehend aus über 100 Zeichen nutzen könnte, könnte ich mir nicht vorstellen, dass es so einfach wäre, sich dieses zu merken. Gut, das ist dann zwar jedem selbst überlassen, ob so ein langes Passwort verwendet wird und eventuell können sich dies auch ein paar merken, aber wie gesagt, sicherer ist so ein langes Passwort nicht. Ob nun 12 Zeichen, oder 120, spielt absolut keine Rolle. Daher kann ich es auch gut nachvollziehen, dass das Ganze nicht dahingehend erweitert wird, dass man x Zeichen verwenden kann. Ich persönlich hätte auch nichts dagegen, wenn man zum Beispiel 15-20 Zeichen nutzen könnte, weil ich auch schon oft Passwörter wählen wollte, weil die aber zu lang waren, aber ein Muss ist das absolut nicht.

Wie gesagt, ist jetzt meine persönliche Meinung davon und spiegelt nicht die Ansichten von doubtfully oder der Chatleitung wieder. Eventuell kann doubtfully ja noch ein bisschen mehr dazu sagen, da sie es war, die Rücksprache gehalten hat. Dies bleibt abzuwarten.

Und du bist in der lage auch nur annähernd den aufwand dafür einschätzen zu können?

Achso, klar, einpasswort was aus 4 zeichen besteht ist auch nicht sicherer als eins was aus 12 zeichen besteht...logisch....nicht.
Jap, genau, totaler quatsch lange passwörter zu verwenden.

Nicht von sich auf andere schließen. Es wäre ja immernoch jedem user selbst überlassen was für ein passwort er wählt. Aber pauschal mal dem user vorzuschreiben das er kein längeres verweden darf ist schlicht und ergreifend dumm. Und Deine Aussage erklärst du ja im grunde schon selbst für null und nichtig mit:

Siehe oben. Am besten wäre doch wenn wir eine maximale passwortlänge von 1 vorschreiben. Ist doch genau so sicher wie eins mit 12 stellen. Die länge spielte ja keine rolle, ne? Oder doch? :x




Ich hätt dazu noch ne frage: Wird denn das passwort überhaupt bei knuddels gespeichert? Ich dachte eigentlich immer das nur ein hash vom passwort gespeichert wird? Und wäre es denn dann nicht jacke ob der hash von einem passwort mit 12 oder 120 zeichen gespeichert wird? Der hash hat ja im normalfall eh immer die gleiche länge.

Natürlich kenne ich den genauen Aufwand nicht, aber Knuddels bietet neben dem Passwort auch noch andere Möglichkeiten, um den Nick zu schützen, was eine Verlängerung des Passwortes noch mal ein bisschen mehr unnötig macht. Zum einen das Tan-System - und zum anderen wird auch über das Thema allgemein informiert. Zum Beispiel anhand von Funktionen wie: /h Passwortsicherheit, /h Passwortklau, /h Passwortinfo und natürlich /h Passworttest. Ich finde, solche Funktionen, die einen darüber so gut es eben geht aufklären, bringen einen viel mehr, als ein Passwort, das aus so vielen Zeichen besteht. Wenn man sich richtig informiert und weiß, wie man sich vor Nick-Diebstahl schützen kann, dann braucht man auch kein so langes Passwort, da Wissen meiner Meinung nach immernoch den besseren Schutz bietet. Bisher kommt man ja auch wunderbar mit der maximalen Länge von 12 Zeichen aus. Wer trotzdem Opfer eines Nick-Diebes wird, der hat sich einfach allgemein falsch verhalten/nicht genug informiert. Da hätte auch kein Passwort mit x Zeichen etwas gebracht.

Ich selber hätte gar keine Probleme damit, mir so ein extrem langes Passwort zu merken, da ich sowas niemals verwenden würde. Ich bin bisher super mit 12 Zeichen ausgekommen - und das kann ich auch weiterhin. Ich versteh auch nicht, wieso eine so krasse Veränderung gewünscht wird. Ich kann verstehen, dass man den eigenen Account sehr gut schützen möchte, aber doch nicht dahingehend. 12 Zeichen sind ausreichend. 20-24 wären auch noch in Ordnung. Alles dadrüber wäre absolut utopisch und irgendwie auch sinnlos (tut mir leid, wenn ich das mal erwähnen muss).

Und natürlich ist ein Passwort, welches nur aus einem Zeichen besteht, nicht sicher, aber eines, das aus 12 Zeichen besteht, ist es. Selbst 8 Zeichen wären schon vollkommen ausreichend, um ein gutes und sicheres Passwort zu haben. Natürlich sollte man dann nicht sowas simples wie "12345678" oder "ABCDEFGH" verwenden.

Was deine Frage angeht, darauf kann ich dir keine Antwort geben, da ich mich damit zum einen nicht auskenne - und zum anderen hat dies auch nicht wirklich etwas mit dem hier angesprochenen Thema zu tun.

die frage ging auch nicht an dich, das war mir schon klar das du davon kein plan hast.

doch hat es, kannst du aber nicht wissen da du ja keine ahnung hast, wie du ja auch selbst festgestellt hast.

siehe dazu:
[img]http://imgs.xkcd.com/comics/password_strength.png[/img]

Wie viele Zeichen hatvdenn dein Passwort abki? Dann zeig ich dir, wie viel sicherer ein Passwortit vielen Zeichen ist
Spaß bei Seite. Wie ich in meinem letzten Beitrag schon schrieb, ist es gar nicht mein Anliegen, dass die Maximallänge auf 120 oder so erhöht wird. Meine Frage war, welche Gründe für die Ablehnung genannt wurden. Ich beispielsweise nutze bei verschiedenen Diensten ein Passwörter, die mindestens 40 Zeichen lang sind. Das sind Serverpasswörter, und die hab ich im Kopf.
Das einzige, was an langen Passwörter unsicher ist, ist die Tatsache, dass sich viele die Passwörter nicht merken konnen und diese dann an einem Zettel an den Bildschirm kleben. Ich bin in der Passwortsicherheitsbranche tätig, also weiß ich, wovon ich rede. Kev777 bringts exakt auf den Punkt.

Hey,

ich glaube was abki euch vermitteln will ist, dass man für einen Chat kein 100 Zeichen langes Passwort benötigt, was ich vollkommen nachvollziehen kann. Natürlich wird ein Passwort um so sicherer, je länger und komplexes es ist. Es hat sicher schon seine Gründe, warum Serverpasswörter so lang sind. Aber wir wollen hier keinen Server schützen, sondern nur einen Account. Selbstverständlich ist dieser nicht unwichtig und man möchte ihn ausreichend schützen. Aber dafür 120 Zeichen zu verwenden, halte ich auch für Sinnfrei. Da sollten es auch 12 Zeichen tun, denke ich.
Demnach ist für mich nicht die Frage, wie lang ein Passwort sein muss, sondern was genau man damit schützen will.

Ich würde es allerdings auch begrüßen, wenn man die Zeichen ein Stück erweitern würde. Ich bin da auch schon paar mal an meine Grenzen gestoßen. Aber dafür sollten 20 und keine 120 Zeichen reichen, wenn ihr mich fragt.


die Kirsche war's...

Ich finde eine PW Länge von 40 Zeichen reicht.. ich verwende idr ausschließlich 40 Stellige Passwörter die allesamt Zufalls generiert sind und ich hab se alle im Kopf.

Wenn ich bedenke dass sich die Sysadmins und die Normalen Admins auch mit 12stelligen Passwörter vergnügen müssen und was passiert wenn jmd dieses Passwort hackt.. Dann gute Nacht

Hallo,

die Chatleitung ist, genau so wie abki oben schon beschrieben hat, auch der Überzeugung, dass 12-Zeichen völlig ausreichend sind um ein sicheres Passwort zu erstellen.
Man muss es eben nur richtig machen.

Es geht ja auch nicht darum es falsch oder richtig zu machen. Dass 123456789101 kein sicheres Passwort ist, das sollte jedem bewusst sein. Im Prinzip wurde es schon gut auf den Punkt gebracht. Es macht einen Unterschied ob ich ein gutes 12 Zeichen langes Passwort habe oder ein gutes 30 Zeichen langes. Wenn jemand versucht an mein Passwort zu kommen, halte ich ihn mit zweiterem deutlich länger auf.
Mit 12 Zeichen kann ich auch ein vergleichsweise sicheres Passwort erstellen, aber es geht eben sicherer.

Wenn ihr eure Email-Account, Accounts von Amazon/Ebay etc. mit Passwörtern verseht versucht ihr doch auch diese möglichst sicher zu gestalten. Mir wären mehr Zeichen auch deutlich lieber ...

Ich muss jetzt dazu nochmal fragen, um was für ein Passwort geht es eigentlich?
Beim Tansystem wird ein Passwort abgefragt? Ich stehe gerade ein bisschen auf dem Schlauch.

Er meint das ganz normale Knuddels-Passwort.
Er möchte damit einfach nur sagen, dass er das Tan-System unwichtiger findet, als ein längeres Passwort.

Hallo,
es geht hier um einen "nebensächlichen" Account. Hier gibt kein Geld zu stehlen!
Ich habe ein Password aus zeichen in einer sinnlosen Reihenfolge; das heißt; für jedes Zeichen gibt es über 80 Möglichkeiten (26 kleinbuchstaben, 26 Großbuchstaaben, 10 Ziffern und ca 25 Sonderzeichen. Also 80 hoch <länge des passwords> mögliche Kombinationen
.
Bei der Tan gibt es nur 26 hoch 3 Möglichkeiten. Das ist aber eine 2. Sicherheitsstufe. Erst müsste der Account gehackt werden und dann noch die richtige TAN eingegeben werden. Damit sind die "Wertsachen" wie Smylies und Knuddels ausreichend gesichert.

Hier gibt es kein Geld zu stehlen, richtig. Aber muss es denn unbedingt etwas materielles sein? Ist ein Nickname, deb man schon seit möglicherweise einem Jahrzehnt besitzt, dem Besitzer denn nicht genau so viel wert wie irgendwelche Geldbeträge? Diebstahl ist Diebstahl, egal ob real oder virtuell. Zumal es User gibt, die monatlich mehrere hundert Euro für Smileys aus, indirekt gibt es also doch Geld zu stehlen.

Wenn die Software vernünftig programmiert wurde (wovon ich jetzt mal ausgehe), muss zur Änderung der Kennwortlänge eine Zahl(!) geändert werden, was wiederum bei einer vernünftigen und sinnvollen Datenhaltung einen Zeitaufwand von maximal einer Minute bedeutet.

Ich finde 12 Stellen für ein Passwort im heutigem Zeitalter auch sehr wenig.
Man sieht immer wieder wie schnell W-Lan- Router gehackt werden können und diese haben meistens weit aus mehr Zeichen.

128 Zeichen für ein Passwort finde ich persönlich zwar auch recht viel ich würde mich mit simplen 24 Stellen schon zufriedengeben.

Aber wie oft werden hier Adminnicks gehackt, obwohl jeder Mensch denkt, mein Passwort ist so einfach nicht zu knacken. Und nun kommt mir nicht der Admin ist selbst schuld, wenn er diverse Seiten anklickt. Das ist in meinen Augen so ein dummes Geschwätz ein Nick kann auch geklaut werden, ohne dass ich nun diverse Seiten angeklickt habe. Im heutigem Zeitalter gibt es Programme die einfach die Möglichkeiten durchtesten die man bei einem Passwort hat sicherlich dauert dies lange aber es geht.

Bei einer längeren Passwortzeichen anzahl brauch dies natürlich länger als bei 10-12 stellen.
Und ich denke fast jeder der hier eine größere administrative Rolle hat ändert sein Passwort regelmäßig.

Aber wie immer muss dann erst was passieren damit, was geändert wird.

das ist schlichtweg falsch.

Mittlerweile hat man hier die möglichkeit ganz offiziell für einen smiley über 3000 euro abzudrücken. Also bitte nicht so einen unfug erzählen vonwegen es gibt hier nix zu klauen.

Jawoll, hier kann das tansystem schützen. Aber was passiert wenn jemand sich zugang verschafft um den accoutn schlicht und ergreifend sperren zu lassen? Die rennerei um dann nachzuweisen das der account von einem fremden missbraucht wurde ist dann natürlich spitze.

3000 € zu fordern ist das eine, jemanden zu finden der das zahlt ist etwas anderes. Da würde ich gerne mal Statistiken zu sehen!

Der Betreiber der Seite kann viel gegen das hacken tun. z. B. nach jedem Fehlversuch eine Pause von 1-2 Sekunden machen, bevor er den nächsten login-versuch annimmt. Dann gingen nur noch 30 Versuchen pro Minute! Dadurch wären auch kurze Passwörter sicher.

Ihr seid alle nerds und wollt maximale Sicherheit. Das geht aber am Bedarf von 99 % der User vorbei. Bei denen ist auch ein Passwort mit 12 Zeichen schon stark. Wer hackt schon "Lieschen Müller"?

ziegt das du das smileysystem nicht voll verstanden hast.

gegen brute force ist schon einiges eingebaut.

es geht ja um keinen zwang, sondern um die möglichkeit bei wunsch längere passwörter zu nutzen. Lieschen Müller kann immernoch ihr subersicheres passwort "hellokitty" nutzen wenn sie will....