Warum gibt es oft unnötige Passwortbeschränkungen?

... komplette Frage anzeigen

4 Antworten

Meine Vermutungen: 

1. Die Beschränkung auf den rein englischen Zeichensatz. Ist ja noch verständlich, da Sonderzeichen alleine bei deutschen, französischen, spanischen oder türkischen Tastaturen vielleicht weltweit schwierig umzusetzen sind. Gleiches gilt, denke ich, für Sonderzeichen, die u. U. für die Dateiverwaltung benutzt werden. 

2. Der menschliche Faktor, sprich, unfähige Programmierer. Jedes technische Problem kann gelöst werden; es ist halt eine Frage des Aufwands. Das BSI empfiehlt ja mindestens 12 Zeichen. 

Wenn aber bei zwei Anbietern beim ersten höchsten 10 Stellen erlaubt sind, aber kein - (Minus), beim nächsten aber 16 Stellen, dafür kein + (Plus), deutet das für mich - bis zum Beweis des Gegenteils - auf unfähige ITler hin. 

Die Länge des PW sollte also kein Kriterium sein, allerdings ist die Länge schon aus technischen Gründen (Speicherkapazität) beschränkt, weil es ja auch noch Platz zum Arbeiten geben muss. 

Gegen Schlamperei seitens des Providers (schlechte Verschlüsselung der Zugangsdaten) oder einen Keylogger auf Deinem Rechner hilft aber das längste PW nicht. 

Zumindest einen Keylogger könnte man austricksen, wenn sich ein Verfahren durchsetzen würde, welches in meiner Firma angewendet wird: 

Bei jedem neuen Einloggen (morgens, nach einer Pause, nach einer Zeit der Inaktivität) muss ich mich mit Eingabe meines PW anmelden, aber nicht, in dem ich das PW im Klartext eingebe. Ich bekomme zwei Alphabete angezeigt, ein "normales" im Klartext und darunter ein verwürfeltes. 

Jetzt muss ich in dem verwürfelten Alphabet die Zeichen suchen, die meinem Klartext-PW entsprechen und diese eingeben. Da dieses Verwürfeln bei jedem Einloggen neu passiert, hat ein Keylogger keine Chance - sagt unsere IT - und klingt für mich als Anwender gut. 

So etwas sollten die IT-"Profis" aller Anbieter, ob Banken, Kaufhäuser, Mail- oder Internetprovider, eigentlich auch auf die Reihe bekommen. Sicherheit geht vor Bequemlichkeit! 

Und bei uns im Unternehmen ist das ist nur der letzte Schritt eines mehrstufigen Sicherheitssystems für die Anmeldung an den UNIX-Datenbanken. 

Antwort bewerten Vielen Dank für Deine Bewertung

Die Passwörter sind somit besser verschlüsselt und - zu Deiner eigenen Sicherheit - schwerer entschlüsselbar

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von LudwigSchindler
13.04.2016, 14:55

Wieso sind kürzere/einfachere Passwörter besser verschlüsselt?

0
Kommentar von MisterRobot
13.04.2016, 14:55

Quatsch.

Wie das Passwort verschlüsselt ist hängt davon überhaupt nicht ab.

Es kommt nicht darauf an, was für ein Passwort der User wählt, sondern auf die Hashmethode.
Das gibt die Stärke der Verschlüsseliung an.

Zumal die Daten gehashed auf dem Server liegen und man sich erstmal da Zugriff holen muss.

0

Weil die Datenbank in der das gespeichert wird eben nur 16 felder groß ist oder keine Sonderzeichen kann

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von MisterRobot
13.04.2016, 14:54

Schwachsinn. Das PW wird gehashed und hat immer eine feste länge.

0

Die Länge ist dazu da, damit kein Flooding mit sau langen passwörtern betrieben werden kann (auch wenn da ein Hash draus berechnet wird, das berechnen kostet auch Rechenzeit).

Betreiber wollen mit großer, kleiner und Zahl sicherstellen, dass das Passwort sicher ist/wird, und nicht  12345678 ist.

Und die anderen beiden Sachen habe ich noch nie gehört.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von LudwigSchindler
13.04.2016, 14:52

Dann sollen sie doch eine Begrenzung von 50 Zeichen machen oder kostet das wirklich so viel?

0