On 2023-03-14 10:04, Helmut Richter <
hr.u...@email.de> wrote:
> On Sun, 12 Mar 2023, Peter J. Holzer wrote:
>
>> On 2023-03-11 18:32, Helmut Richter <
hr.u...@email.de> wrote:
>> > Jeder, der Dienste anbietet, die er mit Passwörtern schützen will, erfindet
>> > Regeln, die die Benutzer dabei einhalten sollen. Das dümmste mir bis jetzt
>> > begegnete Schema ist:
>>
>> ...
>>
>> > Aber das sollte nur ein Beispiel sein, was man sich alles ausdenken kann.
>> > Jetzt meine Frage: wie verhalten sich Programme, die neue, sichere Passwörter
>> > generieren und speichern, gegenüber solcher Forderungen? Gibt es einen aus
>> > der Erfahrung (nicht durch ein Normungsgremium) etablierten Mindeststandard,
>> > wie zufällig ein Passwort mindestens sein muss und höchstens sein kann?
>> > Vermutlich nicht. Aber ohne das kann man keine Regeln festlegen, die dann
>> > auch von den Passwortspeichern eingehalten werden können.
>>
>> HTML kennt drei Attribute, mit denen Anforderungen an das Passwort dem
>> User-Agent (und damit auch einem Passwort-Manager) mitgeteilt werden
>> können:
>>
>> minlength
>> maxlength
>> pattern
[...]
> Meine Frage war weniger technisch gemeint (wie setze ich meine Regeln
> durch?), sondern eher praktisch (was für Regeln kann ich sinnvollerweise
> verwenden?): ich kann als Betreiber von passwortgeschützten Diensten nicht
> von meinen Benutzern verlangen, dass sie mindestens eine Ziffer oder ein
> Sonderzeichen im Passwort haben, und dann kriegen sie von einem
> Passwortspeicher, z.B. einem Browser, ein „sicheres“ Passwort
> vorgeschlagen, das diese Bedingung nicht erfüllt und deswegen von meinem
> Dienst nicht akzeptiert wird.
Ich würde außer der Länge nichts vorschreiben. Diese
"Komplexitätsregeln" verhindern schlechte Passwörter nicht aber
verhindern oft gute ("Passwort1" wäre nach unseren Regeln zulässig,
"6fw6ykqndh67cj0" nicht).
Etwas, was ich seit längerem vorhabe, aber noch nie umgesetzt habe, ist
Passwörter gegen die Liste von haveibeenpwned abzugleichen. Wenn ein
Passwort darin vorkommt, sollte man es nicht verwenden.
> Ich habe auch beim Testen des Formulars die Erfahrung gemacht, dass
> zumindest Firefox nicht in jedem generierten Passwort eine Ziffer hat, und
> anscheinend gibt es überhaupt keine Passwörter jenseits von [0-9A-Za-z]*.
Interessant. Ich habe Passwörter im Passwort-Manager, die sicher von
Firefox generiert wurden und Interpunktionszeichen enthalten. Beim
aktuellen Firefox bekomme ich aber auch nur Buchstaben und Ziffern.
Offenbar wurde das vor nicht allzulanger Zeit geändert.
> Außerdem war ich verwundert, öfters dasselbe „sichere“ Passwort angeboten
> bekommen zu haben.
> Das wäre eine böse Sicherheitslücke, wenn unter
> denselben Bedingungen (gleiches altes Passwort, gleiches Zielsystem)
> tatsächlich vorhersagbare Passwörter generiert würden, aber ich will das
> nicht behaupten, ohne es systematisch getestet zu haben – bis jetzt ist
> das nur eine zufällige Beobachtung.o
Hmm. Ich bekomme ein anderes Passwort, wenn ich einen neuen Tab öffne
oder deb Browser neu starte und auch wenn ich im gleichen Tab auf eine
andere Domain wechsle. Wenn ich hingegen im gleichen Formular
hintereinander mehrere Passwörter generieren lasse (auch mit anderen
Usernamen) bekomme ich immer das gleiche Passwort. Offenbar merkt sich
Firefox das Passwort und schlägt es wieder vor, wenn er der Meinung ist,
dass es das gleiche sein sollte. Ich sehe da definitiv Situationen, wo
das nach hinten los gehen könnte.
hp