Der Beitrag enthält Aussagen oder Andeutungen, welche als Beleidigung angesehen werden könnten und im Zusammenhang unpassend und unnötig sind. Bei dem Ort hier handelt es sich um ein offizielles Support-Forum der Miranus GmbH für den Betrieb der Xobor Foren.
Beleidigungen, jedoch auch bereits kleinere Sticheleien, haben hier keinen Ort und stören den Zweck des Forums.
Dieser Beitrag enthält unerwünschte Werbung.
Dieser Beitrag verstößt gegen die Netiquette des Forums.
Beiträge, die IN GROßBUCHSTABEN oder fett geschrieben sind bitte vermeiden.
{[userwarning_empty_error]}
Es wird der oben genannte Grund verwendet. Klicken Sie hier, um den Inhalt der privaten Nachricht anzupassen
Legen Sie hier den Inhalt der PN-Benachrichtigung fest.
Hinweis: Dieses Mitglied wurde bereits 2 Mal verwarnt. Bei einer weiteren Verwarnung wird das Mitglied automatisch gesperrt.
Mitgliedern ist gerade aufgefallen (und ich habe das nun auch geprüft), dass nur 8 Zeichen ausreichen und danach ist es völlig egal, was man eingibt, man kann sich trotzdem einloggen. Ist das normal?? Düfte doch eigentlich nicht sein, oder? Gibt es eine Mindestzeichezahl für das Passwort?
Es ist derzeitig so festgelegt das maximal 8 Zeichen für das Passwort ausreichen. Es können zwar mehr Zeichen eingegeben werden, jedoch ändert das nichts am Resultat.
Wenn Sie darin etwas schlechtes sehen sollten, können wir Sie beruhigen, es würde Jahre dauern um das Passwort zu knacken, wenn es 8 Zeichen (Bestehend aus Zahlen, Buchstaben und Sonderzeichen) sein würden. Alles hat so seinen Sinn, auch wenn er nicht auf dem ersten Blick erkennbar ist ;-)
Mich beruhigt das in keiner Weise, ich sehe darin sogar eine eklatante Sicherheitslücke. Der technische Fortschritt geht rasant weiter, resultierend in immer höheren Geschwindigkeiten, sodass ein Passwort mit nur 8 Zeichen nicht mehr als sicher angesehen werden kann. Was spricht denn dagegen, alle Zeichen eines Passworts zu überprüfen? Die Umstellung dürfte doch eine Sache von wenigen Minuten sein, der zusätzliche Prüfungsaufwand ist ebenfalls lächerlich gering. Hier wird definitv am falschen Ende gespart.
Ich würde mal vermuten, dass es gegenwärtig wenig Sinn macht, den technischen Aufwand zu betreiben ein 8 stelliges Passwort für ein normales Forum zu knacken (falls das überhaupt möglich wäre). Schließlich könnte ein Forum jederzeit mit Hilfe des Backups wiederhergestellt werden. Ein echter Schaden ist somit nicht zu verursachen. Darüber hinaus habe ich hier mal irgendwo gelesen, dass bei 3 Fehlversuchen bei der Passworteingabe automatisch die Catpcha - Sicherheitsabfrage startet. das ist nochmal eine große Hürde. Ich fühle mich daher bei Homepagemodules sicher.
Die Probleme liegen meist an anderer Stelle. Es werden leicht zu erratende Passwörter genutzt oder diese sogar noch weitergegeben. Hinterher ist das Geschrei groß: Hilfe, mein Forum wurde gehackt!
Ich empfehle daher, ein Passwort mit zufällig gewählter Buchstaben und Zahlenkombination. Darüber hinaus sollte man sein Passwort in regelmäßigen Abständen mal wechseln.
Der technische Aufwand, ein Passwort zu knacken (egal wieviele Zeichen es hat), ist nicht hoch, insbesondere, wenn bereits Skripte zur Verfügung stehen, die nur angepasst werden müssen.
Die Möglichkeit, den Forenzustand vor dem Knacken eines Passworts wiederherzustellen, hilft auch nur dann, wenn das Knacken des Passworts überhaupt bemerkt wird. Denn nur absolute Dilettanten tun mit einem geknackten Passwort Dinge, die man sofort bemerkt. Profis dagegen verhalten sich absolut unauffällig - verändern höchstens hier ein paar Worte, dort ein paar Links - das bemerkt man bestenfalls per Zufall, insbesondere in einem größeren Forum.
Sicher, in irgendeinem Tier-Forum kann damit kein großer Schaden angerichtet werden, aber es gibt auch Foren mit sehr sensiblen Inhalten, z.B. Finanzforen. Da können im Extremfall wenige Worte über zigtausend Euro entscheiden.
Die Capcha-Eingabe ist in der Tat eine zusätzliche Hürde, doch muss man bedenken, dass prinzipiell auch die Capchas von Programmen entziffert werden können, die Frage ist nur, wie lange das dauert. Ein speziell auf die von HPM verwendeten Capchas zugeschnittenes Ausleseprogramm dürfte sehr hohe Trefferraten erzielen.
Ein Passwort, das aus einer zufällig gewählten Zeichenkombination besteht, ist zwar sicherer, aber auch sehr schwer zu merken. Und wenn man sich das Passwort irgendwo aufschreiben muss, um es nicht zu vergessen, kann man es auch gleich ganz bleiben lassen. Dasselbe gilt, wenn man das Passwort in regelmäßigen Abständen ändert. Erstens macht sich diese Mühe kaum jemand, und zweitens ist die Gefahr groß, das gerade aktuelle Passwort einfach zu vergessen.
All diese Probleme und Unwägbarkeiten lassen sich umgehen, wenn Passwörter mit mehr als 8 Zeichen eindeutig erkannt werden. Und der Aufwand hierfür ist noch dazu lächerlich gering. Die Begrenzung auf 8 Zeichen stammt vermutlich noch aus dem vorigen Jahrtausend. Seitdem hat sich die Technik jedoch rasant weiterentwickelt.
Beachten Sie bitte den vorhergehenden Beitrag von Mir.
Um hier ein Passwort knacken zu können, bzw. besser ausgedrückt: um sich Zugang zum Forum zu verschaffen, muss man das Passwort kennen oder erst in Erfahrung bringen. Dies kann durch mehrere Wege passieren:
1.) Administrator kann sich keine Passwörter merken und schreibt diese auf Zettel, welche hier und da mal verschwinden können.
2.) Passwort ist zu einfach, zb. Geburtsdatum, Name der Tochter, Branchen typisches Passwort, etc.
3.) Passwort ist sehr kurz und kann dadurch leicht erraten werden.
4.) Personen verschaffen sich unerlaubten Zugang zum Rechner.
5.) Passwörter werden mit Keylogger erfasst.
6.) Brute-Force-Attack*
7.) Passwörter werden zu selten oder gar nie gewechselt.
8.) Personen gelangen unerlaubt in Email-Accounts und verschaffen sich dadurch Zugang zum Forum.
9.) etc.
* Diese Methode wird angewendet, wenn keine Verknüpfung zur eigentlichen Person hergestellt werden kann. Diese Methode "probiert" Passwörter aus. Da das meist Programme sind, welche das durchführen, sind diese genauso leicht aufzuspüren, aufgrund der erhöhten Anfragen an die Server. Wie schon genannt, springt nach dem dritten Fehlversuch die automatische Sicherheitsabfrage an, und erschwert den Versuch des einloggen.
Es wurde auch genannt, das Ausleseprogramme im Stande wären diese Abfrage sicher durchzuführen. Selbstverständlich! Man schaue sich einfach nur solche Programme wie JDownloader, Cryptload, etc. an und es gibt auch diese Programme und Bibliotheken frei im Internet. Teils gibt es auch Profianwendungen.
Wenn nun ein Passwort (8 Zeichen) bestehend aus Alphanumerischen und Sonder Zeichen, Groß- und Kleinschreibung enthalten, ohne irgendwelchen Sinn - So ist dieses Passwort ernsthaft sicherer, als ein billig hergenommenes Passwort.
Selbstverständlich wäre ein Passwort mit mehr als 8 Zeichen sicherer, jedoch stellt sich ab dieser Anzahl von Zeichen wirklich die Frage des Sinnes danach, wenn Passwörter mit einer Länge von zb. 128 Zeichen eingegeben werden.
Und argumentieren Sie bitte nicht mit den Worten, dass die Leute sich sinnlose Passwörter nicht merken können - vllt. nicht sofort, jedoch sicherlich in kürzester Zeit einprägbar!
Auch sind so Passwörter mit langen Zeichenketten anschließend leichter einprägsam, zb. Passwörter mit 24 oder mehr Zeichen.
Dies soll kein Angriff sein, hier wird nur die Situation dargestellt. Dies heißt ebenfalls nicht, dass der derzeitige Status nicht entsprechend überdacht wird und an einer Lösung gearbeitet wird!
Niemand hat verlangt, dass ein Passwort 128 Zeichen haben soll (nicht mal 24). An anderer Stelle schrieb ich, dass bereits eine Verdoppelung der überprüften Zeichenzahl von 8 auf 16 (oder von mir aus auch auf 20) völlig ausreichen würde. Die Gesamtlänge des Passwortes könnte ebenfalls auf 16 (oder 20) Zeichen begrenzt werden. Längere Passwörter sind aufgrund des hohen Eingabeaufwandes sowieso unpraktisch.
Stichwort Eingabeaufwand: Wichtig ist bei einem Passwort nicht nur, dass es sich leicht merken lässt, sondern auch, dass es sich schnell eingeben lässt. Bei Passwörtern, die viele kryptische Zeichen enthalten, artet die Eingabe jedoch in echte Fingerakrobatik aus. Daher nehme ich lieber ein etwas längeres Passwort, das ich mir leicht merken und das ich leicht eingeben kann, als ein kurzes, das nur aus kryptischen Zeichen besteht, und bei dessen Eingabe ich regelmäßig abenteuerliche Fingerverrenkungen durchführen muss.
(
Gast
)
