Benutzer zu Paßwortsicherheit zwingen
Forumsregeln
Bitte keine anklickbaren Direktverlinkungen zu potentieller Malware oder allg. verdächtigen Websites posten!
Bitte keine anklickbaren Direktverlinkungen zu potentieller Malware oder allg. verdächtigen Websites posten!
Benutzer zu Paßwortsicherheit zwingen
In wie weit ist es sinnvoll oder gar nötig, Benutzer von Diskussionsforen oder sozialen Netzwerken zur Verwendung sicherer Paßwörter zu zwingen? Wenn der Benutzer in keinen arbeitsrechtlichen Verhältnis zum Betreiber steht, ist es doch eigentlich Privatsache des Benutzers, ob sein Account geschützt ist oder nicht. Schließlich kann jeder Benutzer seine Zugangsdaten anderen Leuten mitteilen und diesen auch gestatten seinen Account zu nutzen, unabhängig davon, wie sicher das gewählte Paßwort ist.
-
- Chipsocampa
- Beiträge: 3380
- Registriert: Mi 19. Jan 2022, 13:07
- Wohnort: Bergisch Gladbach
- Interessen: Astronomie & Astrofotografie , Tauchen, MTB Downhill
- Kaffee, Tee, Kakao, oder?: ...Hauptsache frisch gemahlene Bohnen!
- Kontaktdaten:
Re: Benutzer zu Paßwortsicherheit zwingen
Zum einen soll es suggerieren, dass die jeweilige Plattform sicher ist und der Betreiber sich Gedanken zum Schutz der User-Daten macht. Das kann man jetzt für sich beurteilen und kommentieren wie man will...
Zum anderen würde ich als Benutzer dieses Forums es nicht wollen, dass sich jemand in meine Konto einloggt, inmenem Namen Beiträge scheibt und mich dadurch in Schwierigkeiten bringt. Erst gestern ka auf einem der privatsendern eine Wiederholung einer Reportage zu den Themen , Internet, Privatsphäre und Darknet.
Der reporter hatte einen selbstversuch gestartet und sein Internetleben durch Hacker aus Heilbronn (oder ar es Heidelberg??) hacken lassen.
Die haben nicht nur sienen Emailaccount gehackt, sondern auch einen Besichtigungsterin für seine neue Wohnung abgesagt und eine eher unschöne Mail an den potentiellen Vermieter gescghickt...nach dem Motto "die wohnung gefällt mir nicht mehr, total überteuert, such dir einen anderen Blöden, den Du über den Tisch ziehen kannst. Außerdem haben sie ihm, anhand seines eigenen Amazon-Accounts viele Sachen bestellt und zuschicken lassen. Die Lieferadressen hätten sie aber auch abändern und die Ware an sich selbst leiten können.
Darüber hinaus zeigten sie ihm, wann er welche Onlineüberweisungen getätigt hat, dass sie diese hätten abfangen, blockieren oder umleiten können...Beträge frei wählbar.
Der Reporter sah schon etwas bedröppelt aus der Wäsche und mahcte ienen ziemlich getsressten Eindruck.
Und genau aus all diesen Gründen sollten wir solche Fragen, ob Account und Passwortschutz Sinn macht, erst gar nicht diskutieren und anzweifeln.
Okay, über die Sicherheit von Passwörten kann man diskutieren, aber jedes gesetzte PW ist besser als kein PW! Letztendlich handelt es sich um die Implementierung und Forumung einer gesellschaftlichen Haltung zum Thema Sicherheit, Privatsphäre und Datenschutz im Internet.
Zum anderen würde ich als Benutzer dieses Forums es nicht wollen, dass sich jemand in meine Konto einloggt, inmenem Namen Beiträge scheibt und mich dadurch in Schwierigkeiten bringt. Erst gestern ka auf einem der privatsendern eine Wiederholung einer Reportage zu den Themen , Internet, Privatsphäre und Darknet.
Der reporter hatte einen selbstversuch gestartet und sein Internetleben durch Hacker aus Heilbronn (oder ar es Heidelberg??) hacken lassen.
Die haben nicht nur sienen Emailaccount gehackt, sondern auch einen Besichtigungsterin für seine neue Wohnung abgesagt und eine eher unschöne Mail an den potentiellen Vermieter gescghickt...nach dem Motto "die wohnung gefällt mir nicht mehr, total überteuert, such dir einen anderen Blöden, den Du über den Tisch ziehen kannst. Außerdem haben sie ihm, anhand seines eigenen Amazon-Accounts viele Sachen bestellt und zuschicken lassen. Die Lieferadressen hätten sie aber auch abändern und die Ware an sich selbst leiten können.
Darüber hinaus zeigten sie ihm, wann er welche Onlineüberweisungen getätigt hat, dass sie diese hätten abfangen, blockieren oder umleiten können...Beträge frei wählbar.
Der Reporter sah schon etwas bedröppelt aus der Wäsche und mahcte ienen ziemlich getsressten Eindruck.
Und genau aus all diesen Gründen sollten wir solche Fragen, ob Account und Passwortschutz Sinn macht, erst gar nicht diskutieren und anzweifeln.
Okay, über die Sicherheit von Passwörten kann man diskutieren, aber jedes gesetzte PW ist besser als kein PW! Letztendlich handelt es sich um die Implementierung und Forumung einer gesellschaftlichen Haltung zum Thema Sicherheit, Privatsphäre und Datenschutz im Internet.
-
- Chipsocampa
- Beiträge: 189
- Registriert: So 16. Jan 2022, 22:39
- Chips?: Weniger, aber andereres Knabberzeug
Re: Benutzer zu Paßwortsicherheit zwingen
Es fällt ja auf den Betreiber zurück, wenn dauernd Konten geknackt werden. In Berichten steht dann nicht, dass die User zu doof waren, das fällt unter den Tisch. Es steht dann dort nur, dass die Plattform unsicher sei und (mal wieder) alle ihr Passwort ändern müssen.
Außerdem kann ich mir vorstellen, dass man so noch weiter in die Plattform eindringen kann.
Außerdem kann ich mir vorstellen, dass man so noch weiter in die Plattform eindringen kann.
Re: Benutzer zu Paßwortsicherheit zwingen
Moin
Mfg
Falsch. Jede Plattform oder soziales Netzwerk hat AGB`s oder Nutzungsbedingungen denen zu zustimmen musst, wenn du dort Interagieren willst. Das was dort steht ist für dich bindend, ob dir das gefällt oder nicht.In wie weit ist es sinnvoll oder gar nötig, Benutzer von Diskussionsforen oder sozialen Netzwerken zur Verwendung sicherer Paßwörter zu zwingen? Wenn der Benutzer in keinen arbeitsrechtlichen Verhältnis zum Betreiber steht, ist es doch eigentlich Privatsache des Benutzers, ob sein Account geschützt ist oder nicht.
Mfg
-
- Chipsocampa
- Beiträge: 101
- Registriert: Di 18. Jan 2022, 10:48
Re: Benutzer zu Paßwortsicherheit zwingen
Noch eine andere Perspektive basierend auf dem Buch "Nudge" von Richard Thaler.
Der Mensch hat diverse Eigenarten, darunter Bequemlichkeit.
Jetzt kann man philosophieren inwiefern es angebracht ist eine Entscheidung so zu leiten, dass eine Entscheidung getroffen wird die sich letzlich als positiv für den Betreffenden erweist und ihm hilft seine Bequemlichkeit zu überwinden. Die Entscheidungsoptionen und -freiheit bleibt dabei bestehen.
So ist es sicherlich sinnvoll starke Passwörter zu verwenden, den die Nachteile wenn man gehackt wird, stehen meist in keinem Verhältnis zu der Bequemlichkeit immer "12345678" zu verwenden.
Den Benutzer nicht unbedingt zu zwingen, aber zu leiten, dann doch etwas anders zu wählen sehe ich somit nicht als verkehrt an.
Ob es aber "nötig" ist, ist wiederum die Frage nach dem Risiko. So sollte es eingängig sein das ich mich besser nicht mit einer schwachen Authentifizierung bei meiner Bank anmelde. Eine zwei Faktor Authentisierung für einen beliebigen Bilderdienst im Internet oder auch dieses Forum kann aber über das Ziel hinausschiessen.
Der Mensch hat diverse Eigenarten, darunter Bequemlichkeit.
Jetzt kann man philosophieren inwiefern es angebracht ist eine Entscheidung so zu leiten, dass eine Entscheidung getroffen wird die sich letzlich als positiv für den Betreffenden erweist und ihm hilft seine Bequemlichkeit zu überwinden. Die Entscheidungsoptionen und -freiheit bleibt dabei bestehen.
So ist es sicherlich sinnvoll starke Passwörter zu verwenden, den die Nachteile wenn man gehackt wird, stehen meist in keinem Verhältnis zu der Bequemlichkeit immer "12345678" zu verwenden.
Den Benutzer nicht unbedingt zu zwingen, aber zu leiten, dann doch etwas anders zu wählen sehe ich somit nicht als verkehrt an.
Ob es aber "nötig" ist, ist wiederum die Frage nach dem Risiko. So sollte es eingängig sein das ich mich besser nicht mit einer schwachen Authentifizierung bei meiner Bank anmelde. Eine zwei Faktor Authentisierung für einen beliebigen Bilderdienst im Internet oder auch dieses Forum kann aber über das Ziel hinausschiessen.
-
- Chipsocampa
- Beiträge: 3380
- Registriert: Mi 19. Jan 2022, 13:07
- Wohnort: Bergisch Gladbach
- Interessen: Astronomie & Astrofotografie , Tauchen, MTB Downhill
- Kaffee, Tee, Kakao, oder?: ...Hauptsache frisch gemahlene Bohnen!
- Kontaktdaten:
Re: Benutzer zu Paßwortsicherheit zwingen
Ich stimme Dir bei allem zu 100% zu, was Du geschrieben hast, Mattusalem!Mattusalem hat geschrieben: ↑Mi 2. Feb 2022, 08:59 Eine zwei Faktor Authentisierung für einen beliebigen Bilderdienst im Internet oder auch dieses Forum kann aber über das Ziel hinausschiessen.
Nur bei dem letzten Satz (siehe Zitat) würde ich gerne von Deiner Meinung abweichen, denn es ist auch eine subjektive Sichtweise. Und nicht aus allen Blickwinkeln "schießt an damit über das Ziel" hinaus.
Da Du dieses Forum als Beispiel anführst würde ich mich für die Meinung von mmk dazu interessieren. Ich denke nicht, dass er es als "Lapalie" ansehen würde, wenn hier Benutzerkonten gehackt würden, dadurch Schadecode eingeschleust wird und letztendlich sein Projekt dadurch stark gefährdet würde. Von dem ganzen entstehenden Mehrausfwand mal ganz zu schweigen.
Re: Benutzer zu Paßwortsicherheit zwingen
Dazu gibt es ja schon eine Diskussion. Als Benutzer dürfte es schwer fallen Schadcode einzuschleusen, den administrativen Zugang abzusichern dürfte daher ausreichen. Ich glaube das war dort die Schlussfolgerung.
-
- Chipsocampa
- Beiträge: 2447
- Registriert: So 16. Jan 2022, 22:40
- Wohnort: VG Kirner-Land
- Interessen: PC, Gartenarbeit, Kochen und Backen und Lesen Querbeet
- Berufliche Tätigkeit: ***
- Mein technisches Equipment: zu Viel
- Betriebssysteme & Version: Win10/11
Re: Benutzer zu Paßwortsicherheit zwingen
Naja ich sage es mal so da ist es so wie mit den Zertifikaten es muss oder müsste sein aber man kann nie ausschließen das was passiert.
https://forum.chip.de/discussion/189569 ... ren-wuerde
https://forum.chip.de/discussion/189569 ... ren-wuerde
-
- Chipsocampa
- Beiträge: 210
- Registriert: Mo 17. Jan 2022, 22:18
- Wohnort: Lindau
- Interessen: Alles außer Sellerie
- Berufliche Tätigkeit: Betriebs- und Verkehrseisenbahner
- Betriebssysteme & Version: Windwos 10 und 11
- Kontaktdaten:
Re: Benutzer zu Paßwortsicherheit zwingen
Sehe ich anders. Da 2FA als nicht knackbar gilt, kann das in Verbindung mit einem einfachen Kennwort durchaus hilfrich sein. Denn bei aktivierten 2FA kann der Hacker das Kennwort knacken solange er will, ohne den Secret für 2FA kann er mit dem geknackten Kennwort alleine nichts anfangen.Mattusalem hat geschrieben: ↑Mi 2. Feb 2022, 08:59 Eine zwei Faktor Authentisierung für einen beliebigen Bilderdienst im Internet oder auch dieses Forum kann aber über das Ziel hinausschiessen.
-
- Chipsocampa
- Beiträge: 101
- Registriert: Di 18. Jan 2022, 10:48
Re: Benutzer zu Paßwortsicherheit zwingen
Das 2FA einen spürbaren Sicherheitsgewinn bringt, gar keine Frage.
Der Punkt ist, auch in Bezug auf die Frage des Thread-Owners, ob es "nötig" ist. Bzw. ob ein reiner Passwortschutz, mit starkem Passwort, für vieles "ausreicht".
Ich persönlich denke da gerne in Nutzen/Kosten, bzw. Aufwand/Risiko Richtung.
Je geringer der Aufwand für 2FA desto eher kann und sollte man es auch für einfachere Dienste einsetzen. Dabei sollte man aber nicht nur als ITler denken, sondern auch an alle mit geringer digitaler Affinität.
Was man wiederum exakt als einfachen Dienst ansieht, bzw. über detaillierte Risikoprofile, da kann man wieder trefflich diskutieren .
Der Punkt ist, auch in Bezug auf die Frage des Thread-Owners, ob es "nötig" ist. Bzw. ob ein reiner Passwortschutz, mit starkem Passwort, für vieles "ausreicht".
Ich persönlich denke da gerne in Nutzen/Kosten, bzw. Aufwand/Risiko Richtung.
Je geringer der Aufwand für 2FA desto eher kann und sollte man es auch für einfachere Dienste einsetzen. Dabei sollte man aber nicht nur als ITler denken, sondern auch an alle mit geringer digitaler Affinität.
Was man wiederum exakt als einfachen Dienst ansieht, bzw. über detaillierte Risikoprofile, da kann man wieder trefflich diskutieren .
-
- Chipsocampa
- Beiträge: 2447
- Registriert: So 16. Jan 2022, 22:40
- Wohnort: VG Kirner-Land
- Interessen: PC, Gartenarbeit, Kochen und Backen und Lesen Querbeet
- Berufliche Tätigkeit: ***
- Mein technisches Equipment: zu Viel
- Betriebssysteme & Version: Win10/11
Re: Benutzer zu Paßwortsicherheit zwingen
2FA alles schön und gut aber dafür benötigt man entsprechende Technik und nicht jeder hat ein Smartphone oder?
Re: Benutzer zu Paßwortsicherheit zwingen
Es gibt auch Authentifizierungsclients, die auf dem PC laufen. Und ewig an geringeren Standards kleben, weil man ja niemanden verprellen möchte kann auch nicht der richtige Weg sein.
-
- Chipsocampa
- Beiträge: 2447
- Registriert: So 16. Jan 2022, 22:40
- Wohnort: VG Kirner-Land
- Interessen: PC, Gartenarbeit, Kochen und Backen und Lesen Querbeet
- Berufliche Tätigkeit: ***
- Mein technisches Equipment: zu Viel
- Betriebssysteme & Version: Win10/11
Re: Benutzer zu Paßwortsicherheit zwingen
Mhhh und was ist mit google die wenn ich mich richtig erinnere seit Nov.21 dies verlangen verpflichtend?
https://www.spiegel.de/netzwelt/web/zwe ... df73ac47f9
https://www.spiegel.de/netzwelt/web/zwe ... df73ac47f9
-
- Chipsocampa
- Beiträge: 120
- Registriert: Mo 17. Jan 2022, 10:03
- Wohnort: Thiersee (Tirol)
- Berufliche Tätigkeit: Rentner
- Mein technisches Equipment: ASUS
TUF Gaming B550-Pro
Ryzen 5 3600
2x16GB Crucial Ballistix 3200
Corsair MP600-Pro 1TB
Creative Sound Blaster Zx
Grafik AMD Radeon R7 250
BQ Straight Power 11 Platinum 550W
EIZO Flexscan EV2333W 23" - Betriebssysteme & Version: Windows 10 22H2
Re: Benutzer zu Paßwortsicherheit zwingen
Ein Smartphone ist nicht notwendig, für eine SMS reicht ein 10 € Mobiltelefon!
Und zur ganzen Diskussion:
es gibt Seiten, die die User zu einem sicheren Passwort zwingen: wenn das PW nicht sicher genug ist, wird es keinen Zugang gewährt!
Warum also nicht bei allen?
MfG, Thiersee
-
- Chipsocampa
- Beiträge: 2447
- Registriert: So 16. Jan 2022, 22:40
- Wohnort: VG Kirner-Land
- Interessen: PC, Gartenarbeit, Kochen und Backen und Lesen Querbeet
- Berufliche Tätigkeit: ***
- Mein technisches Equipment: zu Viel
- Betriebssysteme & Version: Win10/11
Re: Benutzer zu Paßwortsicherheit zwingen
@Thiersee die Frage stelle ich mir schon länger und es wäre wirklich gut wenn das überall eingeführt würde das man kein PW vergeben könnte das nicht sicher ist.
-
- Chipsocampa
- Beiträge: 120
- Registriert: Mo 17. Jan 2022, 10:03
- Wohnort: Thiersee (Tirol)
- Berufliche Tätigkeit: Rentner
- Mein technisches Equipment: ASUS
TUF Gaming B550-Pro
Ryzen 5 3600
2x16GB Crucial Ballistix 3200
Corsair MP600-Pro 1TB
Creative Sound Blaster Zx
Grafik AMD Radeon R7 250
BQ Straight Power 11 Platinum 550W
EIZO Flexscan EV2333W 23" - Betriebssysteme & Version: Windows 10 22H2
Re: Benutzer zu Paßwortsicherheit zwingen
@karlos3
Eben, aber dann mit den selben Regeln" für alle!
Nicht dass bei Seite A der "#" nicht gilt, bei Seite B das "@" , usw.
MfG, Thiersee
Eben, aber dann mit den selben Regeln" für alle!
Nicht dass bei Seite A der "#" nicht gilt, bei Seite B das "@" , usw.
MfG, Thiersee
-
- Chipsocampa
- Beiträge: 3380
- Registriert: Mi 19. Jan 2022, 13:07
- Wohnort: Bergisch Gladbach
- Interessen: Astronomie & Astrofotografie , Tauchen, MTB Downhill
- Kaffee, Tee, Kakao, oder?: ...Hauptsache frisch gemahlene Bohnen!
- Kontaktdaten:
Re: Benutzer zu Paßwortsicherheit zwingen
Na ja...die unterschiedlichen Anbieter definieren "Sicheres Passwort" unterschiedlich...und anhand ihres Dienstes und als wie Schützenswert sie diesen erachten.
...und ja...eine Vereinheitlichung wünsche ich mir auch sehr, insofern manche Zeichen nicht erlaubt sind ..das versteht wirklich keiner, warum solche PW Tools für Seiten noch erlaubt sind.
immerhin kann man mit PW Managern wie zB KeePass "sichere" Passwörter auch generieren...aber wehe dann funktioniert KP nicht oder man hat die kxdb-Datei "verloren".. .dann man ist man schon froh, die Dienste mit seinen "gemerkten" und nicht zufällig generierten PWs zu erreichen. Wobei...die PW-vergessen-Funktion könnte ja auch noch helfen...
...und ja...eine Vereinheitlichung wünsche ich mir auch sehr, insofern manche Zeichen nicht erlaubt sind ..das versteht wirklich keiner, warum solche PW Tools für Seiten noch erlaubt sind.
immerhin kann man mit PW Managern wie zB KeePass "sichere" Passwörter auch generieren...aber wehe dann funktioniert KP nicht oder man hat die kxdb-Datei "verloren".. .dann man ist man schon froh, die Dienste mit seinen "gemerkten" und nicht zufällig generierten PWs zu erreichen. Wobei...die PW-vergessen-Funktion könnte ja auch noch helfen...
-
- Chipsocampa
- Beiträge: 120
- Registriert: Mo 17. Jan 2022, 10:03
- Wohnort: Thiersee (Tirol)
- Berufliche Tätigkeit: Rentner
- Mein technisches Equipment: ASUS
TUF Gaming B550-Pro
Ryzen 5 3600
2x16GB Crucial Ballistix 3200
Corsair MP600-Pro 1TB
Creative Sound Blaster Zx
Grafik AMD Radeon R7 250
BQ Straight Power 11 Platinum 550W
EIZO Flexscan EV2333W 23" - Betriebssysteme & Version: Windows 10 22H2
Re: Benutzer zu Paßwortsicherheit zwingen
Ich verwende seit Jahren Passwort Manager von Acebit und habe nie Probleme gehabt; nur dieses Jahr werde ich auf die aktuelle Version 16 nicht upgraden, weil es fast dreimal so viel wie vorher.