Passwort zu lang.. ohje

[Deny]

Hallo.

Frisch angemeldet, ein schönes langes Passwort ausgedacht... bekomme ich das....

"Das angegebene Passwort ist zu lang.
Die angegebene Bestätigung des Passworts ist zu lang."


Da wundere ich mich schon. Darf man kein langes wirklich deutlich sicheres Passwort benutzen?

Vielelicht bessert sich das aber noch

[uname]

Ich kenne die Passwortlänge nicht. Wirklich wichtig ist die Länge und Komplexität bei Passwörtern übrigens nicht. Wichtiger ist, dass du hier im Forum ein eigenes Passwort und nicht z.B. dein E-Mail-Passwort verwendest.

[Meillo]

Wirklich wichtig ist die Länge und Komplexität bei Passwörtern übrigens nicht.

Na, du behauptest so Zeugs!

Wichtiger ist, dass du hier im Forum ein eigenes Passwort und nicht z.B. dein E-Mail-Passwort verwendest.

Das mag *auch* wichtig sein, okay, aber bei Sicherheitsaspekten sollte man nicht die einen gegen die anderen Aspekte ausspielen.


Inzwischen ist man sich doch einig, dass es der Sicherheit abtraeglich ist, wenn man Passwortlaengen begrenzt. Es gibt auch keine technischen Gruende dafuer. Man kann das IMO lediglich als Begrenztheit des Programmierers oder als Schikane ansehen.

[Lord_Carlos]

Beim kurzen suchen meinte Jemand das es aus Performance gruenden bei phpBB auf 40 Zeichen begrenzt ist. Aber so oft logt man auch nicht ein und aus, kann mir schwer vorstellen das genau dies die Datenbank so stark in Anspruch nimmt.

[Deny]

Also mir ist die Sicherheit sehr wichtig.

Ich logge mich deshalb auch nur mit SSH mit schönen langen Schlüssel Dateien ein. 2048 bit und höher

AAAAB3NzaC1yc2EAAAABJ......lieber gekürtzt.............== rsa-key-20170424


Und das ist auch die Quelle meiner Passwörter. Und ich füge meist noch ein paar Sonderzeichen ein.

Gespeichert wird das dann in einer verschlüsselten PW-Datei.

Oh wie ich gerade sehe, gibt es was neues:

ssh-ed25519 und
ecdsa-sha2-nistp521

Aber lieber noch nicht

[uname]

a.) Passwort mitgelesen
Bei unverschlüsselten Verbindungen oder Schadcode kann das passieren.
Komplexität des Passwortes egal.
E-Mail-Passwort wahrscheinlich interessanter.

b.) Angreifer versucht sich anzumelden
Wie lange braucht man bei automatisierter Anmeldung für sagen wir 36^4 = 1.6 Millionen Versuche (nur 4 Zeichen lang). Wann fällt sowas auf? Wie viele Anmeldungen schafft man pro Sekunde?

c.) Debianforum wird gehackt, Passwort-Datenbank wird entwendet
Wie lange braucht man alle Passwörter zu hacken, hier durchschnittlich vielleicht 36^8 = 3 Billionen Möglichkeiten, Groß-/Kleinschreibung und Sonderzeichen wären besser

d.) Debianforum wird gehackt, Anmeldedaten werden in Klartext mitgelesen (wahrscheinlich Manipulation nur einer PHP-Datei)
Passwortlänge egal

Kritisch ist eigentlich nur, dass die E-Mail-Adressen auch gespeichert sind. Identische Passwörter zum E-Mail-Account sind gefährlich.

[Deny]

Beim kurzen suchen meinte Jemand das es aus Performance gruenden bei phpBB auf 40 Zeichen begrenzt ist. Aber so oft logt man auch nicht ein und aus, kann mir schwer vorstellen das genau dies die Datenbank so stark in Anspruch nimmt.

Das muss aber eine ältere Notiz sein. Allein das SSL dieser Seite dürfte mehr Performance benötigen, als der login selbst. So oder so, wird es ja am ende gesalzen/gepfeffert. Und dadurch auch wieder durch sha gekürzt. Deshalb ist es um so wichtiger, ein komplexes Passwort zu benutzen. Um aus der wahrscheinlichkeit von 0.0001 noch 0.000001% zu machen

[uname]

Werden die Passwörter nicht ge-hasht? Dann sollte die Länge doch egal sein, oder?

[Deny]

....
b.) Angreifer versucht sich anzumelden
Wie lange braucht man bei automatisierter Anmeldung für sagen wir 36^4 = 1.6 Millionen Versuche (nur 4 Zeichen lang). Wann fällt sowas auf? Wie viele Anmeldungen schafft man pro Sekunde?....

Aber ein vierstelliges Passwort kann man fix mal mitlesen. Je länger um so schwerer.

Ich fands einfach nur interessant. Das diese grenze bestand. Hätte es gerade hier nicht erwartet.

[Lord_Carlos]

Werden die Passwörter nicht ge-hasht? Dann sollte die Länge doch egal sein, oder?

Nein, weil beim knacken hasht du ja selber jedes PW das du versuchst.
Das geht alles mit hilfe von GPU Beschleunigung.

Wenn dann jemand mehrere Titan der neusten Generation hat geht das relativ fix. Aber wohl immernoch zu langsam gegen 40 Zufallszeichen.
Gutes Video dazu: https://www.youtube.com/watch?v=7U-RbOKanYs

[Meillo]

Man macht es Angreifern schwerer, wenn das eigene Passwort aus deren ueblichem Rahmen rausfaellt. Wenn also die Scriptkiddie-Angriffssoftware nur Passwoerter bis 25 oder 40 oder 256 oder ... Zeichen Laenge verarbeitet und man hat ein laengeres, dann ist das gut. Analog fuer alle anderen Aspekte von Passwoerter. Wenn aber die Anwendungen dafuer sorgen, dass man mit seinem Passwort nicht aus dem Rahmen fallen kann, dann erleichtern sie die Arbeit der Angreifer. Darum sollte man die Laenge nicht begrenzen.

@uname: Natuerlich darf man nicht vergessen an den anderen wichtigen Stellen auch anzusetzen. Sicherheit ist halt ein Gesamtkonzept.

[uname]

Aber ein vierstelliges Passwort kann man fix mal mitlesen. Je länger um so schwerer.

Wie liest man das vierstellige Passwort mit? Schaut dir jemand auf die Finger beim Eingeben des Passwortes? Kannst du mit 10 Fingern schreiben?

[Deny]

Aber ein vierstelliges Passwort kann man fix mal mitlesen. Je länger um so schwerer.

Wie liest man das vierstellige Passwort mit? Schaut dir jemand auf die Finger beim Eingeben des Passwortes? Kannst du mit 10 Fingern schreiben?

Jemand der neben dir sitzt Wenn du aber ein riesen langes Passwort copy&paste einfügst, gibts da keine Chance. Ich kan mir nebenbei bis zu 12 stellen noch gut merken. Doofe angewohnheit

[uname]

Ich möchte mal behaupten, dass ich die Zeichen so schnell eingebe, dass niemand ein 4-stelliges Passwort mitlesen kann. Zudem achte ich natürlich auch darauf, ob mir jemand über die Schultern schaut.

[geier22]

Verständnisfrage:
Ich verwalte beim Debian Forum nicht mein Vermögen, noch habe ich hier meine Adressdatenbank oder sonstiges gespeichert.
Mein hiesiges Passwort wird weder bei meinem Mail- Accounts noch noch bei meinen Bankzugängen genutzt.

Wenn jemand also mein Passwort hackt, kann er doch höchstens hier in meinem Namen irgend etwas dummes schreiben (fällt das auf? )

Ich verstehe nicht, was hier für ein Unwesen mit der Kryptographie getrieben wird.

Übersehe ich da was?????

[uname]

Sehe ich genauso. Daher halte ich gute Passwörter hier auch nicht für so wichtig.

Ich gehe sogar noch einen Schritt weiter. Da ich gar nicht darauf achte wer was für einen Unsinn schreibt könnten wir auch alle als "Anonymous" schreiben.

[feltel]

Die Passwortlänge kann man im phpBB konfigurieren. Der Standardwert lag bei 30 Zeichen und ich hatte nie die Notwendigkeit, diesen anzupassen. Auf vielfachen Wunsch hin habe ich die maximale Passwortlänge jetzt auf 60 Zeichen eingestellt.

[guennid]

Sehe ich genauso. Daher halte ich gute Passwörter hier auch nicht für so wichtig.

+1

Aber wem halt der Weg das Ziel ist ...

oder wie hatte ich mal in anderen Zusammenhängen gelesen: "Ich mach' das, weil ich's kann!"

Jedem Tierchen sein Pläsierchen!

[wanne]

Wir hatten das Thema schonmal:
viewtopic.php?f=14&t=149799
Da sind die meisten Fragen beantwortet worden:

Wie lange braucht man bei automatisierter Anmeldung für sagen wir 36^4 = 1.6 Millionen Versuche (nur 4 Zeichen lang). Wann fällt sowas auf? Wie viele Anmeldungen schafft man pro Sekunde?

Die Antwort von mir damals war ca. 10 Minuten für ein übliches vierstelliges Passwort ohne chinesische Zeichen. Auffallen tut das niemand. Denn ich habe es ausprobiert.

Werden die Passwörter nicht ge-hasht? Dann sollte die Länge doch egal sein, oder?

Ja. Das Problem ist wohl, dass phpBB das Passwort zuerst in die Datenbank schreibt dann hashed und dann das Klartextpasswort löscht. Weiß der Kuckuck warum.

Wie liest man das vierstellige Passwort mit? Schaut dir jemand auf die Finger beim Eingeben des Passwortes? Kannst du mit 10 Fingern schreiben?

4 stellige Passwörter bekomme ich bei praktisch jedem mitgelesen. Auch im 10 Finger System. Zumindest bei 2 mal hingucken. Haben wir schon getestet. Nicht die Reihenfolge aber wohl welche Tasten gedrückt wurden. Dann sind es noch 24Möglichkeiten.

Übersehe ich da was?????

Viele nutzen halt irgend welche Generatoren. Und die sind halt systembedingt ganz gerne mal fest auf 32 Zeichen eingestellt.

[seep]

Die Passwortlänge kann man im phpBB konfigurieren. Der Standardwert lag bei 30 Zeichen und ich hatte nie die Notwendigkeit, diesen anzupassen. Auf vielfachen Wunsch hin habe ich die maximale Passwortlänge jetzt auf 60 Zeichen eingestellt.

Endlich kann ich "geheim1234geheim1234geheim1234geheim1234geheim1234geheim1234" verwenden.

[raa]

Endlich kann ich "geheim1234geheim1234geheim1234geheim1234geheim1234geheim1234" verwenden.

Huch? Wie hast du mein Passwort mitgelesen?