"Unerlaubte" Zeichen in Passwörtern?
Moinsen,
meine Frage ist folgende:
Wie lauten die Zeichen/Umlaute, die in Passwörtern ausgelassen werden sollten, da diese Probleme bei Logins bzw. in den jeweiligen Scripten mit sich bringen?
Also bei MySQL sollte man kein $ Zeichen verwenden, da dies ein Steuerzeichen ist.
Könnte mir dementsprechend auch vorstellen, dass man die Zeichen ' '. sowie ein ; auch besser nicht benutzen sollte.
Gibt es hierbei eine Liste, oder ähnliches, welche alle Zeichen beinhalten, welche Probleme bei Programmen bzw. Logins verursachen?
Ich möchte nämlich gerne KeePassXC verwenden und hier in Zukunft den Passwort Generator mit der "sichersten" Einstellung. Also im Endeffekt alle Zeichen einbinden wie auch ASCII und andere Sonderzeichen um möglichst schwere Passwörter zu erstellen. Dabei möchte ich dann gerne nur die einzelnen Zeichen im Filter einsetzen, die Probleme bereiten um eine möglichst große Anzahl an verschiedenen Zeichen einzubinden.
Wäre cool, wenn man hier entweder eine Liste zusammen stellen könnte bzw. jemandem so eine Seite mit den Informationen bekannt ist.
Am besten natürlich für alle Programme und Accounts/Webseiten, die es so gibt.
Habe da nämlich auch schon bei einer Webseite Probleme gehabt, welche die Zeichen nicht gefiltert bzw. angezeigt hat. Hierbei konnte ich das Passwort ohne weiteres per Copy-Paste einspeichern und kam dann nicht mehr mit dem Passwort in den Account. Da dann erstmal drauf zu kommen, dass es daran lag und ich per Passwort -vergessen Funktion dies zum Glück zurücksetzen konnte, hat mich darauf aufmerksam gemacht. Dem möchte ich in Zukunft vorbeugen.
MfG
3 Antworten
Warum es hier Einschränkungen geben sollte, erschließt sich mir als Software-Entwickler nicht. Der Grund kann höchstens sein, dass die Leute Probleme damit haben, die tolle "Komplexitätsanzeige" für Kennwörter auszurechnen, wenn man den kompletten Unicode-Bereich für Kennwörter zulässt.
Generell gilt eigentlich, dass es wurscht sein sollte - wenn der Programmierer es richtig macht, dann werden solche Zeichen gequotet und kommen als nicht auswertbar an, sondern als Plain Text.
Wenn dann noch der Fall auftritt, dass diese Zeichen irgendwie an die Datenbank gehen, ist ohnehin was ganz verkehrt gelaufen, denn Klarschriftkennwörter gehören nicht in eine Datenbank. Ein gesalzener Hash ist das, was in eine Datenbank gehört.
Und selbst wenn, gehören Benutzereingaben ohnehin so bereinigt (z.B. als prepared statement), dass sie keinen Schaden anrichten können, selbst wenn der User eine SQL Injection versucht.
Und es ist nachweislich sogar so, dass eine Beschränkung der erlaubten Sonderzeichen (und sogar noch eine Angabe einer Liste derer, die es sein dürfen), Hackern viel einfacher macht, die Kennwörter brute force herauszufinden.
Tatsächlich habe ich das Problem aber auch über Plesk mit DBs. Naja Mal schauen wie ich das dann bei solchen Diensten löse. Vielleicht lag es ja sonst auch an der Software in PHP die darauf zugreifen sollte und die es dann auch nicht korrekt geqotet hat.
Wäre interessant zu wissen ob es dann wirklich nur am quoten liegt oder ob da auch die DB oder Software an sich Probleme mit hat.
Naja grundsätzlich gebe ich dir Recht, dass die Passwörter dabei unsicherer sein können aber da ich ja nicht alle Zeichen raus nehme sondern nur ein paar ganz bestimmte, glaube ich nicht dass es so viel Unterschied macht, da die Passwörter ja trotzdem sehr lang sind und außerdem so viele Sonderzeichen usw. darin enthalten sind. Ich würde sagen da machen 2-5 Zeichen weniger auch nichts aus. Außerdem müsste der Hacker ja auch wissen welche Zeichen fehlen.
Aber grundsätzlich gebe ich dir da Recht, dass diese Passwort-Richtlinien mit 1 Großbuchstabe, 1 Zahl und 1 Sonderzeichen die ganze Sache schon einschränken um die Passwörter besser zu errechnen.
Vorher habe ich aber bzw. aktuell auch noch, Passwörter genutzt die zum Teil aus persönlichen bestehen, dann noch die Dienste eingebaut und Sonderzeichen. So das diese schon für Normalverbraucher sehr komplex sind aber ich mir diese trotzdem gut merken kann. Und dann für jeden Account Abwandlungen davon.
Da ich aber auch Server betreibe und nicht alle Dienste von überall brauche, dachte ich mir halt, wenn ich mich nicht ständig da einloggen muss und von überall Zugriff haben muss, kann ich die Passwörter auch deutlich schwere und unmerkbar machen, sodass diese was Attacken an geht deutlich schwerer sind. Und halt auch keine merklichen Wiederholungen unter den Accounts lediglich mit Abwandlungen.
Deswegen habe ich jetzt zum Beispiel bei meinem Server Control Panel und dem anderen Kundenpanel 64Zeichen Passwörter eingespeichert. Hier wurde halt auch alles ohne Probleme genommen.
Die Webseite auf der die Login Daten Probleme gemacht haben, war sogar eine Website von einer Firma die halt für meinen Vater einen Kundenaccount hatte und halt zum Produkte bestellen. Da kam nach der Änderung des Passworts einfach der Fehler das die E-Mail nicht vorhanden wäre.
Passwörter wieder geändert auf ein "normales" und Zack ging wieder alles. Schon ziemlich schlecht.
Danke auf jeden Fall für die Antwort auch, wenn ich jetzt trotzdem typische Zeichen für solche Fehler noch nicht kenne.
MfG ✌🏼
Gibt es hierbei eine Liste, oder ähnliches, welche alle Zeichen beinhalten, welche Probleme bei Programmen bzw. Logins verursachen?
Nein gibt es nicht, weil das von der konkreten Umgebung abhängt und nicht allgemeingültig ist.
Die verwendete Software, ggf. das zugrunde liegende Betriebssystem, ...
Kommt auf die verwendete Software an.
Welche Umgebung?