[TYPO3-german] Password cracker/checker

Christian Wolff chris at connye.com
Tue Aug 7 11:48:24 CEST 2007


Am 07.08.2007, 11:20 Uhr, schrieb Elmar Hinz <elmar07 at googlemail.com>:

> Bjoern Pedersen wrote:
>
>>
>> Wäre es nicht vielleicht einfacher, Fehllogins zu protokollieren und
>> nach n (n ~ 3) Fehlversuchen den account zu sperren?
>>
>> Björn
>
> Hi Björn,
>
> auch ein guter Vorschlag. Am besten man kombiniert alle Varianten, um die
> höchste Sicherheit zu erreichen.
>
> Je höher die Investitionen in die Sicherheit, desto wichtier ist es
> übrigens, daß das Masterpasswort, also das vom Chef, einfach und leicht  
> zu
> merken ist. Stell Dir vor, alle Sicherheitmeachnismen greifen, die Leute
> vergessen ihre hochsicheren, komplexen Passwörter und werden nach 3  
> Logins
> ausgesperrt. Wäre doch fatal wenn der Chef sie dann nicht mehr  
> freischalten
> könnte, weil er sein eigenes Passwort vergessen hat. Gute  
> Masterpasswörter
> sind "passwort", "geheim" oder der Vorname der Geliebten. Der steht ja
> sowieso schon auf dem Foto im Portemonai, damit er ihn behält.
>
> Aber auch der Chef ist nur ein Mensch und vergesslich. Er sollte das
> Passwort daher mindestens auch an die Sekretärin weitergeben, damit Sie  
> es
> für ihn aufschreiben kann. Auf einem kleinen Zettel am Monitor, ist es
> immer in der Nähe. Der Chef erhöht die Sicherheit, es nicht zu verlieren
> dadurch, daß er es an weitere vertrauenwürdige Personen verteilt, z.B. an
> Finanzberater, Rechtsanwalt und Ärztin. Gerade bei Masterpasswörtern ist
> überlegte Redundanz wichtig.
>
> Grüße
>
> Elmar

Hi Elmar!
<ironie>
Wenn man schon dabei ist sollte man firmenweit "passwort listen" ausliegen  
haben.
damit die mitarbeiter ihre passworte nicht vergessen! sonst wird chef ja  
ständig belästigt
weil die leute ihre passworte vergessen haben.
</ironie>

ja ich kenne firmen in denen es solche "login-listen" gibt. und die  
passworter für mail accounts.
grundsätzlich auf den namen des besitzer lauten um sie sich leichter zu  
merken.

und damit sowas nicht vorkommt. währe es wünschens wert ein typo3 extension
zu entwicklen. die dafür sorgt das die user "strong passwords"  
verwenden.(der admin natürlich auch)

den ansatz die passworte zu cracken um zu beweisen das sie schwach sind.  
halte ich für wenig
nutzbringend! es sei denn man möchte den usern einen schreck einjagen.  
aber ich glaube so ein schreck
hält vieleicht ein halbes jahr. dann muss mann sie wieder erschrecken.  
also wird der admin zum
berufs erschrecker *g* anstatt mit einer einmaligen lösung (extension)  
dafür zu sorgen das die passworte
nicht mehr so einfach zu knacken sind.

gruss chris




More information about the TYPO3-german mailing list