Passwort-Prüfung



  • Hallo,
    die Zwei-Faktor-Authentifizierung wollen und können nicht alle nutzen (u.a., da z.B. kein SmartPhone). Um bei der jetzigen "einfachen" Passwort-Verwaltung eine höhere Sicherheit zu erreichen, schlage ich folgendes vor:

    • zwingende Passwort-Änderung nach z.B. 90 Tagen. Das könnte ggfs. über die Admin-Einstellungen angepasst werden. Wenn Gemeinden das nicht möchten, Einstellung auf "Nein"

    • Prüfung auf "einfache" Passwörter (mind. mit Ziffern, Sonderzeichen, …)


  • admin

    @hja Zweiter Punkt ist super. Regelmäßiges ändern des Passworts bringt erwiesener Maßen nicht viel. Im Gegenteil tendieren Leute dazu einfachere PW zu nutzen, um sie sich besser merken zu können



  • Derartige Passwort Richtlinien sind veraltet und wurden in der Wissenschaft als eher schädlich erkannt.

    Auch das amerikanische NIST (das sind die, die irgendwann mal Groß, Klein, Zahlen, Sonderzeichen ... salonfähig gemacht haben) fordert nur noch "mindestens acht Zeichen" (und KEINE weiteren Anforderungen).

    Dafür gibt es einen ganzen Haufen Anforderungen an die Service Anbieter (wie ChurchTools).
    Ich zitiere mal aus Vorlesungsunterlagen (deshalb auf English):

    • Compare newly chosen passwords with dictionaries and lists of known passwords
    • Secure storage (slow hashing & salting)
    • Restrict number of unsuccessful logins to ~10 (throttling)
    • Password change only if the justified (e.g., a successful attack)

    Wer mehr lesen will, hat hier noch ne Quelle: https://pages.nist.gov/800-63-3/


Log in to reply