Passwort zu lang.. ohje

Schreibt hier die Kategorien und Themen rein, die euch momentan hier noch fehlen.
Antworten
Deny
Beiträge: 9
Registriert: 24.04.2017 14:25:53

Passwort zu lang.. ohje

Beitrag von Deny » 24.04.2017 14:28:28

Hallo.

Frisch angemeldet, ein schönes langes Passwort ausgedacht... bekomme ich das....

"Das angegebene Passwort ist zu lang.
Die angegebene Bestätigung des Passworts ist zu lang."


Da wundere ich mich schon. Darf man kein langes wirklich deutlich sicheres Passwort benutzen?

Vielelicht bessert sich das aber noch ;-)

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Passwort zu lang.. ohje

Beitrag von uname » 24.04.2017 14:31:29

Ich kenne die Passwortlänge nicht. Wirklich wichtig ist die Länge und Komplexität bei Passwörtern übrigens nicht. Wichtiger ist, dass du hier im Forum ein eigenes Passwort und nicht z.B. dein E-Mail-Passwort verwendest.

Benutzeravatar
Meillo
Moderator
Beiträge: 8765
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Passwort zu lang.. ohje

Beitrag von Meillo » 24.04.2017 14:39:29

uname hat geschrieben:Wirklich wichtig ist die Länge und Komplexität bei Passwörtern übrigens nicht.
Na, du behauptest so Zeugs!
Wichtiger ist, dass du hier im Forum ein eigenes Passwort und nicht z.B. dein E-Mail-Passwort verwendest.
Das mag *auch* wichtig sein, okay, aber bei Sicherheitsaspekten sollte man nicht die einen gegen die anderen Aspekte ausspielen.


Inzwischen ist man sich doch einig, dass es der Sicherheit abtraeglich ist, wenn man Passwortlaengen begrenzt. Es gibt auch keine technischen Gruende dafuer. Man kann das IMO lediglich als Begrenztheit des Programmierers oder als Schikane ansehen.
Use ed once in a while!

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Passwort zu lang.. ohje

Beitrag von Lord_Carlos » 24.04.2017 14:44:08

Beim kurzen suchen meinte Jemand das es aus Performance gruenden bei phpBB auf 40 Zeichen begrenzt ist. Aber so oft logt man auch nicht ein und aus, kann mir schwer vorstellen das genau dies die Datenbank so stark in Anspruch nimmt.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Deny
Beiträge: 9
Registriert: 24.04.2017 14:25:53

Re: Passwort zu lang.. ohje

Beitrag von Deny » 24.04.2017 14:46:53

Also mir ist die Sicherheit sehr wichtig.

Ich logge mich deshalb auch nur mit SSH mit schönen langen Schlüssel Dateien ein. 2048 bit und höher

AAAAB3NzaC1yc2EAAAABJ......lieber gekürtzt.............== rsa-key-20170424


Und das ist auch die Quelle meiner Passwörter. Und ich füge meist noch ein paar Sonderzeichen ein.

Gespeichert wird das dann in einer verschlüsselten PW-Datei.

Oh wie ich gerade sehe, gibt es was neues:

ssh-ed25519 und
ecdsa-sha2-nistp521

Aber lieber noch nicht ;-)

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Passwort zu lang.. ohje

Beitrag von uname » 24.04.2017 14:47:34

a.) Passwort mitgelesen
Bei unverschlüsselten Verbindungen oder Schadcode kann das passieren.
Komplexität des Passwortes egal.
E-Mail-Passwort wahrscheinlich interessanter.

b.) Angreifer versucht sich anzumelden
Wie lange braucht man bei automatisierter Anmeldung für sagen wir 36^4 = 1.6 Millionen Versuche (nur 4 Zeichen lang). Wann fällt sowas auf? Wie viele Anmeldungen schafft man pro Sekunde?

c.) Debianforum wird gehackt, Passwort-Datenbank wird entwendet
Wie lange braucht man alle Passwörter zu hacken, hier durchschnittlich vielleicht 36^8 = 3 Billionen Möglichkeiten, Groß-/Kleinschreibung und Sonderzeichen wären besser

d.) Debianforum wird gehackt, Anmeldedaten werden in Klartext mitgelesen (wahrscheinlich Manipulation nur einer PHP-Datei)
Passwortlänge egal

Kritisch ist eigentlich nur, dass die E-Mail-Adressen auch gespeichert sind. Identische Passwörter zum E-Mail-Account sind gefährlich.

Deny
Beiträge: 9
Registriert: 24.04.2017 14:25:53

Re: Passwort zu lang.. ohje

Beitrag von Deny » 24.04.2017 14:50:53

Lord_Carlos hat geschrieben:Beim kurzen suchen meinte Jemand das es aus Performance gruenden bei phpBB auf 40 Zeichen begrenzt ist. Aber so oft logt man auch nicht ein und aus, kann mir schwer vorstellen das genau dies die Datenbank so stark in Anspruch nimmt.
Das muss aber eine ältere Notiz sein. Allein das SSL dieser Seite dürfte mehr Performance benötigen, als der login selbst. So oder so, wird es ja am ende gesalzen/gepfeffert. Und dadurch auch wieder durch sha gekürzt. Deshalb ist es um so wichtiger, ein komplexes Passwort zu benutzen. Um aus der wahrscheinlichkeit von 0.0001 noch 0.000001% zu machen ;-)

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Passwort zu lang.. ohje

Beitrag von uname » 24.04.2017 14:51:49

Werden die Passwörter nicht ge-hasht? Dann sollte die Länge doch egal sein, oder?

Deny
Beiträge: 9
Registriert: 24.04.2017 14:25:53

Re: Passwort zu lang.. ohje

Beitrag von Deny » 24.04.2017 14:52:47

uname hat geschrieben:....
b.) Angreifer versucht sich anzumelden
Wie lange braucht man bei automatisierter Anmeldung für sagen wir 36^4 = 1.6 Millionen Versuche (nur 4 Zeichen lang). Wann fällt sowas auf? Wie viele Anmeldungen schafft man pro Sekunde?....

Aber ein vierstelliges Passwort kann man fix mal mitlesen. Je länger um so schwerer.

Ich fands einfach nur interessant. Das diese grenze bestand. Hätte es gerade hier nicht erwartet.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Passwort zu lang.. ohje

Beitrag von Lord_Carlos » 24.04.2017 14:56:52

uname hat geschrieben:Werden die Passwörter nicht ge-hasht? Dann sollte die Länge doch egal sein, oder?
Nein, weil beim knacken hasht du ja selber jedes PW das du versuchst.
Das geht alles mit hilfe von GPU Beschleunigung.

Wenn dann jemand mehrere Titan der neusten Generation hat geht das relativ fix. Aber wohl immernoch zu langsam gegen 40 Zufallszeichen.
Gutes Video dazu: https://www.youtube.com/watch?v=7U-RbOKanYs

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Meillo
Moderator
Beiträge: 8765
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Passwort zu lang.. ohje

Beitrag von Meillo » 24.04.2017 14:58:56

Man macht es Angreifern schwerer, wenn das eigene Passwort aus deren ueblichem Rahmen rausfaellt. Wenn also die Scriptkiddie-Angriffssoftware nur Passwoerter bis 25 oder 40 oder 256 oder ... Zeichen Laenge verarbeitet und man hat ein laengeres, dann ist das gut. Analog fuer alle anderen Aspekte von Passwoerter. Wenn aber die Anwendungen dafuer sorgen, dass man mit seinem Passwort nicht aus dem Rahmen fallen kann, dann erleichtern sie die Arbeit der Angreifer. Darum sollte man die Laenge nicht begrenzen.

@uname: Natuerlich darf man nicht vergessen an den anderen wichtigen Stellen auch anzusetzen. Sicherheit ist halt ein Gesamtkonzept.
Use ed once in a while!

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Passwort zu lang.. ohje

Beitrag von uname » 24.04.2017 15:00:41

Aber ein vierstelliges Passwort kann man fix mal mitlesen. Je länger um so schwerer.
Wie liest man das vierstellige Passwort mit? Schaut dir jemand auf die Finger beim Eingeben des Passwortes? Kannst du mit 10 Fingern schreiben?

Deny
Beiträge: 9
Registriert: 24.04.2017 14:25:53

Re: Passwort zu lang.. ohje

Beitrag von Deny » 24.04.2017 15:09:29

uname hat geschrieben:
Aber ein vierstelliges Passwort kann man fix mal mitlesen. Je länger um so schwerer.
Wie liest man das vierstellige Passwort mit? Schaut dir jemand auf die Finger beim Eingeben des Passwortes? Kannst du mit 10 Fingern schreiben?
Jemand der neben dir sitzt ;-) Wenn du aber ein riesen langes Passwort copy&paste einfügst, gibts da keine Chance. Ich kan mir nebenbei bis zu 12 stellen noch gut merken. Doofe angewohnheit ;-)

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Passwort zu lang.. ohje

Beitrag von uname » 24.04.2017 15:12:53

Ich möchte mal behaupten, dass ich die Zeichen so schnell eingebe, dass niemand ein 4-stelliges Passwort mitlesen kann. Zudem achte ich natürlich auch darauf, ob mir jemand über die Schultern schaut.

geier22

Re: Passwort zu lang.. ohje

Beitrag von geier22 » 24.04.2017 15:55:47

Verständnisfrage:
Ich verwalte beim Debian Forum nicht mein Vermögen, noch habe ich hier meine Adressdatenbank oder sonstiges gespeichert.
Mein hiesiges Passwort wird weder bei meinem Mail- Accounts noch noch bei meinen Bankzugängen genutzt.

Wenn jemand also mein Passwort hackt, kann er doch höchstens hier in meinem Namen irgend etwas dummes schreiben (fällt das auf? :mrgreen: )

Ich verstehe nicht, was hier für ein Unwesen mit der Kryptographie getrieben wird.

Übersehe ich da was?????

uname
Beiträge: 12036
Registriert: 03.06.2008 09:33:02

Re: Passwort zu lang.. ohje

Beitrag von uname » 24.04.2017 16:02:23

Sehe ich genauso. Daher halte ich gute Passwörter hier auch nicht für so wichtig.

Ich gehe sogar noch einen Schritt weiter. Da ich gar nicht darauf achte wer was für einen Unsinn schreibt könnten wir auch alle als "Anonymous" schreiben.

Benutzeravatar
feltel
Webmaster
Beiträge: 10362
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Passwort zu lang.. ohje

Beitrag von feltel » 27.04.2017 09:33:59

Die Passwortlänge kann man im phpBB konfigurieren. Der Standardwert lag bei 30 Zeichen und ich hatte nie die Notwendigkeit, diesen anzupassen. Auf vielfachen Wunsch hin :P habe ich die maximale Passwortlänge jetzt auf 60 Zeichen eingestellt.

guennid

Re: Passwort zu lang.. ohje

Beitrag von guennid » 27.04.2017 09:42:30

Sehe ich genauso. Daher halte ich gute Passwörter hier auch nicht für so wichtig.
+1

Aber wem halt der Weg das Ziel ist ...

oder wie hatte ich mal in anderen Zusammenhängen gelesen: "Ich mach' das, weil ich's kann!"

Jedem Tierchen sein Pläsierchen! :mrgreen:

wanne
Moderator
Beiträge: 7438
Registriert: 24.05.2010 12:39:42

Re: Passwort zu lang.. ohje

Beitrag von wanne » 27.04.2017 21:58:15

Wir hatten das Thema schonmal:
viewtopic.php?f=14&t=149799
Da sind die meisten Fragen beantwortet worden:
uname hat geschrieben:Wie lange braucht man bei automatisierter Anmeldung für sagen wir 36^4 = 1.6 Millionen Versuche (nur 4 Zeichen lang). Wann fällt sowas auf? Wie viele Anmeldungen schafft man pro Sekunde?
Die Antwort von mir damals war ca. 10 Minuten für ein übliches vierstelliges Passwort ohne chinesische Zeichen. Auffallen tut das niemand. Denn ich habe es ausprobiert.
uname hat geschrieben:Werden die Passwörter nicht ge-hasht? Dann sollte die Länge doch egal sein, oder?
Ja. Das Problem ist wohl, dass phpBB das Passwort zuerst in die Datenbank schreibt dann hashed und dann das Klartextpasswort löscht. Weiß der Kuckuck warum.
uname hat geschrieben:Wie liest man das vierstellige Passwort mit? Schaut dir jemand auf die Finger beim Eingeben des Passwortes? Kannst du mit 10 Fingern schreiben?
4 stellige Passwörter bekomme ich bei praktisch jedem mitgelesen. Auch im 10 Finger System. Zumindest bei 2 mal hingucken. Haben wir schon getestet. Nicht die Reihenfolge aber wohl welche Tasten gedrückt wurden. Dann sind es noch 24Möglichkeiten.
geier22 hat geschrieben:Übersehe ich da was?????
Viele nutzen halt irgend welche Generatoren. Und die sind halt systembedingt ganz gerne mal fest auf 32 Zeichen eingestellt.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
seep
Beiträge: 544
Registriert: 31.10.2004 14:21:08
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: HSK

Re: Passwort zu lang.. ohje

Beitrag von seep » 28.04.2017 11:24:25

feltel hat geschrieben:Die Passwortlänge kann man im phpBB konfigurieren. Der Standardwert lag bei 30 Zeichen und ich hatte nie die Notwendigkeit, diesen anzupassen. Auf vielfachen Wunsch hin :P habe ich die maximale Passwortlänge jetzt auf 60 Zeichen eingestellt.
:THX: Endlich kann ich "geheim1234geheim1234geheim1234geheim1234geheim1234geheim1234" verwenden. :mrgreen:

raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: Passwort zu lang.. ohje

Beitrag von raa » 28.04.2017 18:33:18

seep hat geschrieben:Endlich kann ich "geheim1234geheim1234geheim1234geheim1234geheim1234geheim1234" verwenden. :mrgreen:
Huch? Wie hast du mein Passwort mitgelesen? 8O

Antworten