[TYPO3-german] Password cracker/checker
Christian Wolff
chris at connye.com
Tue Aug 7 11:48:24 CEST 2007
Am 07.08.2007, 11:20 Uhr, schrieb Elmar Hinz <elmar07 at googlemail.com>:
> Bjoern Pedersen wrote:
>
>>
>> Wäre es nicht vielleicht einfacher, Fehllogins zu protokollieren und
>> nach n (n ~ 3) Fehlversuchen den account zu sperren?
>>
>> Björn
>
> Hi Björn,
>
> auch ein guter Vorschlag. Am besten man kombiniert alle Varianten, um die
> höchste Sicherheit zu erreichen.
>
> Je höher die Investitionen in die Sicherheit, desto wichtier ist es
> übrigens, daß das Masterpasswort, also das vom Chef, einfach und leicht
> zu
> merken ist. Stell Dir vor, alle Sicherheitmeachnismen greifen, die Leute
> vergessen ihre hochsicheren, komplexen Passwörter und werden nach 3
> Logins
> ausgesperrt. Wäre doch fatal wenn der Chef sie dann nicht mehr
> freischalten
> könnte, weil er sein eigenes Passwort vergessen hat. Gute
> Masterpasswörter
> sind "passwort", "geheim" oder der Vorname der Geliebten. Der steht ja
> sowieso schon auf dem Foto im Portemonai, damit er ihn behält.
>
> Aber auch der Chef ist nur ein Mensch und vergesslich. Er sollte das
> Passwort daher mindestens auch an die Sekretärin weitergeben, damit Sie
> es
> für ihn aufschreiben kann. Auf einem kleinen Zettel am Monitor, ist es
> immer in der Nähe. Der Chef erhöht die Sicherheit, es nicht zu verlieren
> dadurch, daß er es an weitere vertrauenwürdige Personen verteilt, z.B. an
> Finanzberater, Rechtsanwalt und Ärztin. Gerade bei Masterpasswörtern ist
> überlegte Redundanz wichtig.
>
> Grüße
>
> Elmar
Hi Elmar!
<ironie>
Wenn man schon dabei ist sollte man firmenweit "passwort listen" ausliegen
haben.
damit die mitarbeiter ihre passworte nicht vergessen! sonst wird chef ja
ständig belästigt
weil die leute ihre passworte vergessen haben.
</ironie>
ja ich kenne firmen in denen es solche "login-listen" gibt. und die
passworter für mail accounts.
grundsätzlich auf den namen des besitzer lauten um sie sich leichter zu
merken.
und damit sowas nicht vorkommt. währe es wünschens wert ein typo3 extension
zu entwicklen. die dafür sorgt das die user "strong passwords"
verwenden.(der admin natürlich auch)
den ansatz die passworte zu cracken um zu beweisen das sie schwach sind.
halte ich für wenig
nutzbringend! es sei denn man möchte den usern einen schreck einjagen.
aber ich glaube so ein schreck
hält vieleicht ein halbes jahr. dann muss mann sie wieder erschrecken.
also wird der admin zum
berufs erschrecker *g* anstatt mit einer einmaligen lösung (extension)
dafür zu sorgen das die passworte
nicht mehr so einfach zu knacken sind.
gruss chris
More information about the TYPO3-german
mailing list