Die Passwörter-Ändern Odyssee

[derchris]

Mit iOS und macOS 15 wurde ja von Apple die "Passwörter" App neu aufgelegt (darum soll es aber nun nicht gehen), welche ich auch gleich mal angefangen habe für alle Passwörter zu nutzen. Rund 350 Passwörter von anderen Browsern migriert und gleich mit ein paar Warnungen begrüßt worden.

• ein paar kompromittiert
• einige zu einfach
• viele Passwörter doppelt verwendet

Doppelt verwendet? Ja, teilweise stimmt das, aber hier waren auch viele dabei wo es auf domain.de bzw domain.com gespeichert war. Eins davon gelöscht und bei dem anderen die andere TLD hinzugefügt. Easy fix.

Zu "einfach". Ja z.b. die Deutsche Bank erlaubt als "PIN" (das N steht für Nummer!) eine genau fünfstellig Zahl, Buchstaben oder Kombination. Wow. Da ist alles "einfach".

Wie kann man so etwas 2024 noch anbieten als eine Bank? Ja es gibt noch mehrere Faktoren, aber das finde ich echt aus dem letzten Jahrtausend.

Dann gibt es noch die Seiten, wo die Bedingungen schlecht oder schlicht falsch erklärt sind.

Die letzte Bedingung (eine ODER Bedingung) ist ganz klar erfüllt, weil eine Zahl drinnen vor kommt, also muss es keins der Sonderzeichen der Liste haben - auch ist da nicht erwähnt, dass andere Sonderzeichen nicht gültig sind.

Das meint auch ChatGPT - nur als Backup um die Bedingung zu überprüfen. Das es anders gemeint ist, war dann klar als ich die "-" durch was anderes ersetzt habe.

Dann gibt es noch die, die eine Liste mit Sonderzeichen spezifizieren, aber auch das nicht wirklich schlüssig ist.

Offensichtlich gehören die ( ) nicht zu der Auflistung der Sonderzeichen, sondern dienen lediglich der Begrenzung, also scheitert die Überprüfung. Füge ich ein anderes Sonderzeichen, was innerhalb der Klammern steht, hinzu ist es aber kein Problem mehr, dass die da drinnen sind.

Aber wenn man erst mal einige gelöscht und die "sicherheitsrelevanten" Dinge angegangen hat, dann kann man sich schon mal etwas sicherer fühlen.

Am besten würde ich es noch finden, wenn es bei dam Apple Passwortmanager noch ein Indikator geben würde, bei welchem gespeicherten Anbieter man noch 2FA aktivieren kann.

Will hier keinen entmutigen seine Passwörter sicher zu machen, aber es wäre einfach, wenn die Anbieter/Webseiten sich da mal auf einen einheitlichen und sicheren Standard einigen könnten, dass man nicht jedes mal versuchen muss zu verstehen, was der Developer sagen wollte.

Es gibt ein Projekt, wo die Regeln von einigen Seiten hinterlegt sind.

 

[F1database]

benutzt du dann diesen Komfort-Login? https://www.deutsche-bank.de/pk/kon...t-im-online-banking/sicherheitsverfahren.html

Gibt ja auch noch andere Möglichkeiten bei denen

 

[derchris]

@F1database ja ich habe diesen Komfortlogin. Trotzdem hat es immer noch den fünfstelligen PIN, den die DB als so innovativ und sicher anpreist - muss halt bei der Kontoabfrage von Outbank nur alle 90 Tage ein PhotoTAN scannen.

Ist eine fünfstellige PIN noch sicher? Warum haben PINs bei Ihnen nicht acht oder mehr Stellen?

Ja, eine fünfstellige PIN ist sicher. Wenn Sie für Ihre PIN die komplette Auswahl von Groß- und Kleinbuchstaben sowie die Zahlen Null bis Neun nutzen, so gibt es dafür 625 Kombinationsmöglichkeiten, also etwa 916 Millionen mögliche verschiedene PINs. Ihre PIN kann außerdem nicht einfach durch Ausprobieren herausgefunden werden. Ihr Zugang zum Online-Banking wird nach drei Fehlversuchen gesperrt und kann nur durch Ihre kontoführende Filiale oder durch Eingabe der korrekten PIN und der angeforderten TAN wieder entsperrt werden.

 

[Tzk]

Wegen diesem Quatsch mit den Sonderzeichen und ähnlichen Regeln habe ich mir fürs Generieren von Passwörtern im Keepass eine eigene Regel angelegt, die a-z, A-Z, 0-9 und maximal die Sonderzeichen ! $ + enthält. Das klappt (fast) überall, ganz im Gegensatz zu z.B. ' * ? # / \ | Gerade die Raute wird nicht überall genommen. Außerdem hab ich noch ähnlich aussehende Zeichen gesperrt. Also O und 0, l I | (kleines L, großes i und den senkrechten Trennstrich), weil die nur Ärger machen.

 

[Khorneflakes]

Es ist leider in der Tat so, dass da viel gestümpert wird. Es ist meistens gut gemeint, aber das ist ja nicht automatisch gut gemacht. Das Problem ist natürlich, dass man als Anbieter eine Balance finden muss. Leider nutzt noch lange nicht jeder einen Passwortmanager. Sich Passwörter merken, die dann, je nach Person, mal mehr oder weniger einfach sein müssen, oder Passwörter aufschreiben ist immer noch ganz groß in Mode. Solchen Leuten willst du trotzdem Zugang zu was auch immer ermöglichen, sie aber nicht zu unsicheren Praktiken animieren.

Manche Leute müsste man einfach zurücklassen und aussperren oder gar nicht erst als Kunden akzeptieren, aber dann hast du Supportanfragen ohne Ende bzw. dir gehen Kunden flöten. Willst du beides nicht.

Da Sonderzeichen in der Tat noch nicht überall akzeptiert werden sind die auch nicht Teil meiner Standardregel in Keepass. Dafür habe ich bestimmt ein Dutzend Passwörter, die mit einem ! enden, weil da dann Sonderzeichen nicht nur akzeptiert, sondern auch verpflichtend sind. Für die Sicherheit hat das natürlich keine großen Auswirkungen, ein einzigartiges Passwort mit 20 willkürlichen Stellen ist mit oder ohne ! am Ende genau gleich sicher oder unsicher.

Es ist ein Elend.

 

[Tzk]

Wir haben in der Firma sogar Anwendungen, die nicht mehr als 8 Zeichen (nur Buchstaben + Ziffern) als Passwort haben dürfen... Aber aus "Sicherheitsgründen" läuft das PW dann alle 30 Tage ab 🤡

Richtig lustig ist das wenn sich mehrere Anwendungen dieses PW teilen. Man kann bei Passwortwechsel in ein paar davon >8 Zeichen oder eben Sonderzeichen eingeben, das zerlegt aber den Login in dem Teil der auf 8 Zeichen begrenzt ist. Kannste dir nicht ausdenken den Käse.

 

[Sebbi]

Dann gibt es noch die, die eine Liste mit Sonderzeichen spezifizieren, aber auch das nicht wirklich schlüssig ist.

Offensichtlich gehören die ( ) nicht zu der Auflistung der Sonderzeichen, sondern dienen lediglich der Begrenzung, also scheitert die Überprüfung. Füge ich ein anderes Sonderzeichen, was innerhalb der Klammern steht, hinzu ist es aber kein Problem mehr, dass die da drinnen sind.

Das Problem, das manche Sonderzeichen nicht als Passwort dienen können, kann die interne Verarbeitung der Webseite sein, in dem solche Sonderzeichen bei Angriffen genutzt werden, um Code einzuschleusen auf dem Server, weil der diese Zeichen speziell interpretiert.
Daher werden Sonderzeichen vorgegeben, was aber dummerweise dann wieder die Zeichentabelle einschänkt und damit die Entropie.

 

[chrigu]

Du wirst von Apple darauf hingewiesen! Das kannst du entweder ändern oder ignorieren um später zu merken das dieses Konto (wahrscheinlich onlineshops) übernommen wird.
Wie schon geschrieben… es sind Hinweise und kein Befehl.

Was du tun kannst…. Jedes bemängelte Login ändern oder löschen.