Dienstrechner an
Boot-Passwort 2x falsch eingegeben
Login-Passwort 1x falsch eingegeben
VPN-Passwort 1x falsch eingegeben
E-Mails geöffnet…
"Ihr #Passwort läuft in 30 Tagen ab! Ändern Sie es!
GNAAAAAAAAA
#Corporate #Bullshit #SecurityTheater
@dat Ah. Es ist also wieder soweit die Zahl am Ende des Passworts um 1 zu erhöhen.
Und klar wird das offensichtliche damit blockiert… dann hast du halt nur noch Leute die 'abc' zu 'def' am Ende abändern und ähnlich "kreatives". Verhindern kann man das Problem damit natürlich nicht.
Und wenn man das stark genug verhindert, haben die Leute halt Post-Its mit ihrem Passwort drauf am Rechner?
Ich sehe jedenfalls nicht wie "regelmäßig Passwort ändern! min. 13 Zeichen! Sonderzeichen, Großbuchstaben und Zahlen müssen zwingend vorkommen!" aktiv irgendwas besser macht. Die Kombination ist nur eine nahezu Garantie dafür dass viele Leute sich das nicht mehr merken werden.
@hjkl @dat Frag mich ja, wie man das technisch realisierten will und gleichzeitig die Passwörter sicher abzulegen.
Also ich dachte immer man legt nur den Hash des Passworts ab, ggf noch mit einem entsprechendem Salt vorher.
Wenn die jetzt aber prüfen wollen, ob es meinem alten PW zu ähnlich ist, wie machen sie das?
Ohne beide Passwörter im Klartext abzulegen.
Generiert man wild eine Hash-Blase mit ähnlichen Passwörtern und prüft?
…und trotzdem absurd bescheuert, weil es die Wahrscheinlichkeit Hashes zu erraten natürlich dutzendfach verbessert.
Davon aber abgesehen machen viele Firmen sowas (und ich vermute eben genau: deren Passwörter auch 2025 noch im plaintext ablegen) und es sagt mir wie ernst ich deren Sicherheits-Theater nehmen sollte.
Nicht. Die Antwort lautet 'nicht'.
@M @dat Wenn man nur das aktuelle und neue Kennwort vergleichen muss, ginge das eventuell noch, wenn beide Kennwörter unverschlüsselt im Speicher liegen. Kennwörter unnötig lange unverschlüsselt im Speicher halten ist natürlich am Ende auch wenig Sicher.
Will man sowas prüfen wie: "nicht die letzten 12 Kennwörter wiederverwenden" geht das natürlich nur, wenn man Kennwörter ohne salt hasht (oder schlimmer: im Klartext ablegt). Auch weniger sicher als mit zufälligen salt hashen.
Also "nur" 10-fach unsicher, weil alte Passwörter gespeichert und nicht zusätzlich "nochmal 20x unsicherer, weil 'ähnliche' Passwörter als Hash abgelegt"
Yay!
- replies
- 0
- announces
- 0
- likes
- 1
Ah, bin also nicht die einzige Person die Montags immer dicke Finger hat...
Wenn jemand deine DB aufmacht, sind 20 abhanden gekommene PW-Hashes schlimmer als ein einzelner Hash
a) Leute verwenden passwörter erneut (der ganze Grund warum du 20 speicherst) - einer dieser Einträge könnte also woanders noch ein aktiv genutztes Passwort sein
b) Leute wandeln Passwörter ab, wenn du ein Muster in den Passwörtern findest, kannst du Rückschlüsse auf zukünftige Passworte der Person nehmen
Und klar… wenn du gut individuell gesalzene Hashes hast und keiner jemals vom Hash Rückschlüsse auf IRGENDEINS der Passworte nehmen kann, ist das "nur" ein theoretisches Problem.
Aber ich find das ist trotzdem eine dumme Idee und man baut Sicherheit nicht nach dem Konzept "wenn alles andere problemlos funktioniert, wird das schon gehen"?
Dieser globale Status für alle Tastaturen ist auch eine grandiose Idee!
Num-Lock tut je nach Tastatur völlig unterschiedliche Dinge? EGAL!
"klassische" Tastatur mit Ziffernblock am Rechner - Num-Lock an (nichts anderes macht heute jemals Sinn!) um damit Zahlen eingeben zu können
Rechner aus, Rechner weggetragen, andere Tastatur dran, Num-Lock ist noch gespeichert!
Und plötzlich hat man einen Login-Screen an dem man auf 'Z' drückt und eine 7 erhält! GEIL!
Und beim internen Keyboard des Notebooks ist's auch kaputt… aber ANDERS KAPUTT!
Mit Num-Lock-Status und "meine Distri denkt dass der Sperrbildschirm zwingend in deutschem QWERTZ sein muss, außer wenn ich bereits angemeldet bin, dann ist er in dem Layout das ich auswählte" sind es also mindestens 4 völlig unterschiedliche Zustände und komplett unterschiedliche Strings, die meine Tastatur ausgibt wenn ich die gleichen Tasten drücke.
Und natürlich hat so ein Screen heute eine Warnung für Capslock, aber nicht für Num-Lock oder "gewählter Nutzer will ein anderes Keyboard-Layout als Systemeinstellung"!
WARUM WÜRDE IRGENDWER SOWAS JEMALS WOLLEN?! /s