ä ist traurig, weil ä zählt als Sonderzeichen und doch irgendwie nicht. Schluss mit Sonderzeichen zweiter Klasse!

  • rhabarba@feddit.org
    link
    fedilink
    arrow-up
    26
    ·
    2 months ago

    Faustregel: Wenn dein Passwort Sonderzeichen enthalten muss, ist der Hashalgorithmus des Unternehmens scheiße.

    • needanke@feddit.org
      link
      fedilink
      arrow-up
      27
      ·
      2 months ago

      Was hat das mit dem hash zu tuen? Dachte es geht darum die entropie des PWs zu erhöhehn?

      • macniel@feddit.org
        link
        fedilink
        arrow-up
        12
        ·
        edit-2
        2 months ago

        Die Entropie erhöhst du mit Länge, denn ein Zeichen ist ein Zeichen. Nur bei Wörterbuch Angriffen sind Zeichenklassen interessant.

        • mistermanko@lemmy.world
          link
          fedilink
          arrow-up
          21
          ·
          2 months ago

          Die Entropie wird durch beides beeinflusst. Aber Länge schlägt Zeichen.

          aaaa = 18 bits aaa! = 20 bits aaaaa = 23 bits

        • finn_der_mensch@discuss.tchncs.de
          link
          fedilink
          arrow-up
          10
          ·
          2 months ago

          Aber welcher Angreifer ist denn so doof und benutzt keine Wörterbücher? Und dann fängt man doch bestimmt mit dem an, in dem keine Sonderzeichen drin sind…?

          • ceiphas@lemmy.world
            link
            fedilink
            arrow-up
            21
            ·
            2 months ago

            Yes, If the attacker doesn’t know if you used a special char or not, it does not matter if you do…

          • Ooops@feddit.org
            link
            fedilink
            arrow-up
            8
            ·
            2 months ago

            Es wird noch schlimmer: dA%6f}y bei freier Wahl des Passworts ist ein besseres Passwort als dA%6f}y, wenn du Sonderzeichen, Zahlen, Groß- und Kleinschreibung verwenden must…

          • Eunie@feddit.orgOP
            link
            fedilink
            arrow-up
            7
            ·
            2 months ago

            Basically if B is the number of possible symbols and n the length of your password then the number of possible passwords is B^n

            This number grows faster for increasing n than for increasing B. So even passwords on only two symbols will be more secure than passwords containing any possible unicode symbol - as long as they are long enough.

            In the case where an attacker doesn’t even know whether you are using fewer possible symbols or not the number n is even more important. Also if people are forced to use certain characters they tend to use shorter passwords just to be able to memorize them. However if an attacker correctly assumes that you are only using lower case letters he will still have an easier time guessing your pwd just because you followed a strategy.

            Humans are generally bad at thinking about randomness. Most would assume that AAAAAA is a less random phrase than €jK6%g but they are equally likely and therefore equally safe - if your enemy isn’t also a human / knows that you are one and tries AAAAAA first before testing random phrases.

  • foopac@discuss.tchncs.de
    link
    fedilink
    arrow-up
    23
    ·
    edit-2
    2 months ago
    • mindestens 8 12 26 Zeichen
    • Buchstaben
    • Zahlen
    • Groß und Kleinschreibung
    • Sonderzeichen
    • Darf weder den Mädchennamen der Mutter noch des ersten Pferdes enthalten
    • Alle 2 Monate erneuern, (aber nicht die letzten 108 Passwörter wiederholen!!)

    Sicherheit accomplished🎉

    Aber das mit der E-Mail Adresse ist ein bisschen unfair. Wenn sie doch alle geforderten Kriterien erfüllt?

    • federal reverse@feddit.org
      link
      fedilink
      arrow-up
      16
      ·
      edit-2
      2 months ago

      Erhöhung des Schwierigkeitsgrades: Mindestens 26 Zeichen sind gefordert, aber alle Zeichen nach dem 12. werden bei der Registrierung trunkiert. Keine Sorge, bei normalen Anmeldungen werden keine Zeichen trunkiert.

      Für noch mehr Freude: Nur bei normalen Anmeldungen trunkieren, aber nicht bei der Registrierung.

      • ___qwertz___@feddit.org
        link
        fedilink
        arrow-up
        6
        ·
        2 months ago

        Bei Paypal war es vor Jahren so, dass die mein Passwort nach 20 Stellen ohne Benachrichtigung bei der Registrierung abgeschnitten haben.

        Beim Login aber natürlich nicht.

    • pulsey@feddit.org
      link
      fedilink
      arrow-up
      6
      ·
      2 months ago

      Ich schreibe dir eine Webseite bei der du dein Passwort überprüfen kannst, dazu musst du nur die Webseite, deinen Usernamen und dein Passwort angeben. Ganz einfach!

  • lowdude@discuss.tchncs.de
    link
    fedilink
    arrow-up
    17
    ·
    2 months ago

    Falls du das Spiel andersherum bespielen möchtest, probier es doch mal mit einem Passwortverwalter:

    • „Das Passwort darf maximal 25 Zeichen lang sein“
    • „Das enthaltene Sonderzeichen wird zwar benötigt, aber muss in der Menge {.?!-€&@„()} enthalten sein“
    • „Nein, Leerzeichen nehmen wir hier aus Prinzip nicht, genauso wenig wie Kommata, sonst kommt die Excel in der wir das speichern nicht zurecht“
    • „Mir egal wie lang dein Passwort ist, ich schneide das irgendwo einfach ab und sage es dir nicht. Tja, keine Ahnung warum du dich bei dem neu erstellten Konto nicht anmelden kannst, hast du schon versucht es zurückzusetzen? Dann schicken wir dir das per elektronischer Post im Klartext zu.“
    • “Da du dir das Passwort eh nicht merken kannst, hinterlege doch bitte noch eine Sicherheitsfrage, die entweder so generisch ist, dass sie jeder Fisch erraten kann, oder ambivalent und deswegen im gleichen Passwortverwalter landen wird“
  • pantherina@feddit.org
    link
    fedilink
    Deutsch
    arrow-up
    5
    ·
    2 months ago

    Und lustigerweise bekommt man “silent errors” wenn man ein VPN benutzt. Dann erscheint das Bahnbonus Programm nicht, oder man kann sich gar nicht einloggen weil “Error 503”.

    Absoluter Scheißverein

  • superkret@feddit.org
    link
    fedilink
    arrow-up
    4
    ·
    2 months ago

    Der Programmierer der die Abfrage für Sonderzeichen im Passwort geschrieben hat, hat den deutschen Zeichensatz verwendet.

    Der der die Abfrage für die grünen Häkchen geschrieben hat nicht.