Benutzer zu Paßwortsicherheit zwingen

[Toliman]

In wie weit ist es sinnvoll oder gar nötig, Benutzer von Diskussionsforen oder sozialen Netzwerken zur Verwendung sicherer Paßwörter zu zwingen? Wenn der Benutzer in keinen arbeitsrechtlichen Verhältnis zum Betreiber steht, ist es doch eigentlich Privatsache des Benutzers, ob sein Account geschützt ist oder nicht. Schließlich kann jeder Benutzer seine Zugangsdaten anderen Leuten mitteilen und diesen auch gestatten seinen Account zu nutzen, unabhängig davon, wie sicher das gewählte Paßwort ist.

[Merlino72]

Zum einen soll es suggerieren, dass die jeweilige Plattform sicher ist und der Betreiber sich Gedanken zum Schutz der User-Daten macht. Das kann man jetzt für sich beurteilen und kommentieren wie man will...

Zum anderen würde ich als Benutzer dieses Forums es nicht wollen, dass sich jemand in meine Konto einloggt, inmenem Namen Beiträge scheibt und mich dadurch in Schwierigkeiten bringt. Erst gestern ka auf einem der privatsendern eine Wiederholung einer Reportage zu den Themen , Internet, Privatsphäre und Darknet.

Der reporter hatte einen selbstversuch gestartet und sein Internetleben durch Hacker aus Heilbronn (oder ar es Heidelberg??) hacken lassen.
Die haben nicht nur sienen Emailaccount gehackt, sondern auch einen Besichtigungsterin für seine neue Wohnung abgesagt und eine eher unschöne Mail an den potentiellen Vermieter gescghickt...nach dem Motto "die wohnung gefällt mir nicht mehr, total überteuert, such dir einen anderen Blöden, den Du über den Tisch ziehen kannst. Außerdem haben sie ihm, anhand seines eigenen Amazon-Accounts viele Sachen bestellt und zuschicken lassen. Die Lieferadressen hätten sie aber auch abändern und die Ware an sich selbst leiten können.

Darüber hinaus zeigten sie ihm, wann er welche Onlineüberweisungen getätigt hat, dass sie diese hätten abfangen, blockieren oder umleiten können...Beträge frei wählbar.

Der Reporter sah schon etwas bedröppelt aus der Wäsche und mahcte ienen ziemlich getsressten Eindruck.

Und genau aus all diesen Gründen sollten wir solche Fragen, ob Account und Passwortschutz Sinn macht, erst gar nicht diskutieren und anzweifeln.
Okay, über die Sicherheit von Passwörten kann man diskutieren, aber jedes gesetzte PW ist besser als kein PW! Letztendlich handelt es sich um die Implementierung und Forumung einer gesellschaftlichen Haltung zum Thema Sicherheit, Privatsphäre und Datenschutz im Internet.

[Vista64]

Es fällt ja auf den Betreiber zurück, wenn dauernd Konten geknackt werden. In Berichten steht dann nicht, dass die User zu doof waren, das fällt unter den Tisch. Es steht dann dort nur, dass die Plattform unsicher sei und (mal wieder) alle ihr Passwort ändern müssen.
Außerdem kann ich mir vorstellen, dass man so noch weiter in die Plattform eindringen kann.

[Com.Data]

Moin

In wie weit ist es sinnvoll oder gar nötig, Benutzer von Diskussionsforen oder sozialen Netzwerken zur Verwendung sicherer Paßwörter zu zwingen? Wenn der Benutzer in keinen arbeitsrechtlichen Verhältnis zum Betreiber steht, ist es doch eigentlich Privatsache des Benutzers, ob sein Account geschützt ist oder nicht.

Falsch. Jede Plattform oder soziales Netzwerk hat AGB`s oder Nutzungsbedingungen denen zu zustimmen musst, wenn du dort Interagieren willst. Das was dort steht ist für dich bindend, ob dir das gefällt oder nicht.

Mfg

[Mattusalem]

Noch eine andere Perspektive basierend auf dem Buch "Nudge" von Richard Thaler.

Der Mensch hat diverse Eigenarten, darunter Bequemlichkeit.

Jetzt kann man philosophieren inwiefern es angebracht ist eine Entscheidung so zu leiten, dass eine Entscheidung getroffen wird die sich letzlich als positiv für den Betreffenden erweist und ihm hilft seine Bequemlichkeit zu überwinden. Die Entscheidungsoptionen und -freiheit bleibt dabei bestehen.

So ist es sicherlich sinnvoll starke Passwörter zu verwenden, den die Nachteile wenn man gehackt wird, stehen meist in keinem Verhältnis zu der Bequemlichkeit immer "12345678" zu verwenden.

Den Benutzer nicht unbedingt zu zwingen, aber zu leiten, dann doch etwas anders zu wählen sehe ich somit nicht als verkehrt an.

Ob es aber "nötig" ist, ist wiederum die Frage nach dem Risiko. So sollte es eingängig sein das ich mich besser nicht mit einer schwachen Authentifizierung bei meiner Bank anmelde. Eine zwei Faktor Authentisierung für einen beliebigen Bilderdienst im Internet oder auch dieses Forum kann aber über das Ziel hinausschiessen.

[Merlino72]

Eine zwei Faktor Authentisierung für einen beliebigen Bilderdienst im Internet oder auch dieses Forum kann aber über das Ziel hinausschiessen.

Ich stimme Dir bei allem zu 100% zu, was Du geschrieben hast, Mattusalem!
Nur bei dem letzten Satz (siehe Zitat) würde ich gerne von Deiner Meinung abweichen, denn es ist auch eine subjektive Sichtweise. Und nicht aus allen Blickwinkeln "schießt an damit über das Ziel" hinaus.
Da Du dieses Forum als Beispiel anführst würde ich mich für die Meinung von mmk dazu interessieren. Ich denke nicht, dass er es als "Lapalie" ansehen würde, wenn hier Benutzerkonten gehackt würden, dadurch Schadecode eingeschleust wird und letztendlich sein Projekt dadurch stark gefährdet würde. Von dem ganzen entstehenden Mehrausfwand mal ganz zu schweigen.

[Incanus]

Dazu gibt es ja schon eine Diskussion. Als Benutzer dürfte es schwer fallen Schadcode einzuschleusen, den administrativen Zugang abzusichern dürfte daher ausreichen. Ich glaube das war dort die Schlussfolgerung.

[karlos3]

Naja ich sage es mal so da ist es so wie mit den Zertifikaten es muss oder müsste sein aber man kann nie ausschließen das was passiert.

https://forum.chip.de/discussion/189569 ... ren-wuerde

[mumpel23]

Eine zwei Faktor Authentisierung für einen beliebigen Bilderdienst im Internet oder auch dieses Forum kann aber über das Ziel hinausschiessen.

Sehe ich anders. Da 2FA als nicht knackbar gilt, kann das in Verbindung mit einem einfachen Kennwort durchaus hilfrich sein. Denn bei aktivierten 2FA kann der Hacker das Kennwort knacken solange er will, ohne den Secret für 2FA kann er mit dem geknackten Kennwort alleine nichts anfangen.

[Mattusalem]

Das 2FA einen spürbaren Sicherheitsgewinn bringt, gar keine Frage.

Der Punkt ist, auch in Bezug auf die Frage des Thread-Owners, ob es "nötig" ist. Bzw. ob ein reiner Passwortschutz, mit starkem Passwort, für vieles "ausreicht".

Ich persönlich denke da gerne in Nutzen/Kosten, bzw. Aufwand/Risiko Richtung.

Je geringer der Aufwand für 2FA desto eher kann und sollte man es auch für einfachere Dienste einsetzen. Dabei sollte man aber nicht nur als ITler denken, sondern auch an alle mit geringer digitaler Affinität.

Was man wiederum exakt als einfachen Dienst ansieht, bzw. über detaillierte Risikoprofile, da kann man wieder trefflich diskutieren .

[karlos3]

2FA alles schön und gut aber dafür benötigt man entsprechende Technik und nicht jeder hat ein Smartphone oder?

[Incanus]

Es gibt auch Authentifizierungsclients, die auf dem PC laufen. Und ewig an geringeren Standards kleben, weil man ja niemanden verprellen möchte kann auch nicht der richtige Weg sein.

[mumpel23]

2FA alles schön und gut aber dafür benötigt man entsprechende Technik und nicht jeder hat ein Smartphone oder?

2FA ist ja auch nur eine Option, ohne Zwangsnutzung.

[karlos3]

Mhhh und was ist mit google die wenn ich mich richtig erinnere seit Nov.21 dies verlangen verpflichtend?
https://www.spiegel.de/netzwelt/web/zwe ... df73ac47f9

[Thiersee]

2FA alles schön und gut aber dafür benötigt man entsprechende Technik und nicht jeder hat ein Smartphone oder?

Ein Smartphone ist nicht notwendig, für eine SMS reicht ein 10 € Mobiltelefon!

Und zur ganzen Diskussion:
es gibt Seiten, die die User zu einem sicheren Passwort zwingen: wenn das PW nicht sicher genug ist, wird es keinen Zugang gewährt!
Warum also nicht bei allen?

MfG, Thiersee

[karlos3]

@Thiersee die Frage stelle ich mir schon länger und es wäre wirklich gut wenn das überall eingeführt würde das man kein PW vergeben könnte das nicht sicher ist.

[Thiersee]

@karlos3

Eben, aber dann mit den selben Regeln" für alle!
Nicht dass bei Seite A der "#" nicht gilt, bei Seite B das "@" , usw.

MfG, Thiersee

[Merlino72]

Na ja...die unterschiedlichen Anbieter definieren "Sicheres Passwort" unterschiedlich...und anhand ihres Dienstes und als wie Schützenswert sie diesen erachten.
...und ja...eine Vereinheitlichung wünsche ich mir auch sehr, insofern manche Zeichen nicht erlaubt sind ..das versteht wirklich keiner, warum solche PW Tools für Seiten noch erlaubt sind.
immerhin kann man mit PW Managern wie zB KeePass "sichere" Passwörter auch generieren...aber wehe dann funktioniert KP nicht oder man hat die kxdb-Datei "verloren".. .dann man ist man schon froh, die Dienste mit seinen "gemerkten" und nicht zufällig generierten PWs zu erreichen. Wobei...die PW-vergessen-Funktion könnte ja auch noch helfen...

[mumpel23]

Eben, aber dann mit den selben Regeln" für alle!
Nicht dass bei Seite A der "#" nicht gilt, bei Seite B das "@" , usw.

Meine Bank z.B. unterstützt ja noch nicht einmal Buchstaben mit Akut. Da wird es auch nichts mit "alle Sonderzeichen".

[Thiersee]

Ich verwende seit Jahren Passwort Manager von Acebit und habe nie Probleme gehabt; nur dieses Jahr werde ich auf die aktuelle Version 16 nicht upgraden, weil es fast dreimal so viel wie vorher.