KnolleJupp
Fleet Admiral
- Registriert
- Juni 2007
- Beiträge
- 22.660
Aber Papier kann jeder lesen...
Merkbare Passwörter generieren
- Ersteller ioe
- Erstellt am
Alexander2
Fleet Admiral
- Registriert
- Aug. 2014
- Beiträge
- 12.302
Naja, mit der Hilfe wird es einfach schon mehr Nutzer geben, die dann ein besseres Passwort nutzen. vielleicht nicht viele, vielleicht doch.
Klar ist, das man am ende nicht jedem zu seinem Glück helfen kann :-) Und bis zu einem gewissen Punkt eine mindest Sicherheit an Passwort vorzuschreiben ist wohl auch sinnvoll, wenn auch nicht übertrieben wird (was auch immer das dann ist wodurch Leute ggf. vertrieben würden.
@nen stück Papier Zu Hause mit nem guten Passwort bietet gegen viele Online gefahren zumindest auch ne gute Sicherheit :-)
Es ist schon irgendwo wahrscheinlicher, das bei eiben Online zugegriffen und gehackt wird, als das wer einbricht um sich das Passwort zu holen (meine Einschätzung dazu)
(Und u kannst halt auch groß mitm Edding Schreiben aufm Papier - betreffend der Mitbürger mit zipperlein, wie womöglich auch ich sie noch bekomme
)
Klar ist, das man am ende nicht jedem zu seinem Glück helfen kann :-) Und bis zu einem gewissen Punkt eine mindest Sicherheit an Passwort vorzuschreiben ist wohl auch sinnvoll, wenn auch nicht übertrieben wird (was auch immer das dann ist wodurch Leute ggf. vertrieben würden.
Ergänzung ()
@nen stück Papier Zu Hause mit nem guten Passwort bietet gegen viele Online gefahren zumindest auch ne gute Sicherheit :-)
Es ist schon irgendwo wahrscheinlicher, das bei eiben Online zugegriffen und gehackt wird, als das wer einbricht um sich das Passwort zu holen (meine Einschätzung dazu)
(Und u kannst halt auch groß mitm Edding Schreiben aufm Papier - betreffend der Mitbürger mit zipperlein, wie womöglich auch ich sie noch bekomme
)
- Registriert
- Nov. 2014
- Beiträge
- 169
@KnolleJupp nicht wenn's im Tresor liegt 
Also vom Security her würde ich sagen:
1. Self hosted Bitwardn (wenn man weis was man tut)
2. Stück Papier im Safe
3. Alles Andere
@Alexander2 Richtig. Primär geht es darum potentielle Kunden nicht zu vergraulen
Also vom Security her würde ich sagen:
1. Self hosted Bitwardn (wenn man weis was man tut)
2. Stück Papier im Safe
3. Alles Andere
@Alexander2 Richtig. Primär geht es darum potentielle Kunden nicht zu vergraulen
Krik
Fleet Admiral
- Registriert
- Juni 2005
- Beiträge
- 14.729
@ioe
Wenn eine Person es nicht mal schafft, sich selbst ein Passwort zu vergeben, glaubst du echt, dass die in der Lage ist, überhaupt irgendeine Transaktion auf deiner Seite zu machen? Willst du denen demnächst vielleicht noch das Klopapier hinterher tragen?
Ich habe noch nie gesehen, dass jemanden vom System ein konkretes Passwort nur vorgeschlagen wurde (statt einfach eines zu setzen, das nur 1x funktioniert) und sollte ich das jemals sehen, werde ich das garantiert niemals nehmen. Das ist für mich automatisch unseriös.
Und weißt du, was noch oben drauf kommt? DU bist dann für die Sicherheit des Passwortes verantwortlich! Sollte also irgendwann mal ein Kundenpasswort geknackt werden und dem Kunden dadurch ein Schaden entstanden sein, dann wird er zu DIR kommen und Schadensersatz haben wollen. Denn der Kunde ist davon ausgegangen, dass das vorgegebene Passwort ausreichend sicher ist. Immerhin hast du es ja vorgeschlagen, also muss es ja gut genug sein.
Ich würde mir diesen Bären nicht aufbinden.
Wenn eine Person es nicht mal schafft, sich selbst ein Passwort zu vergeben, glaubst du echt, dass die in der Lage ist, überhaupt irgendeine Transaktion auf deiner Seite zu machen? Willst du denen demnächst vielleicht noch das Klopapier hinterher tragen?
Ich habe noch nie gesehen, dass jemanden vom System ein konkretes Passwort nur vorgeschlagen wurde (statt einfach eines zu setzen, das nur 1x funktioniert) und sollte ich das jemals sehen, werde ich das garantiert niemals nehmen. Das ist für mich automatisch unseriös.
Und weißt du, was noch oben drauf kommt? DU bist dann für die Sicherheit des Passwortes verantwortlich! Sollte also irgendwann mal ein Kundenpasswort geknackt werden und dem Kunden dadurch ein Schaden entstanden sein, dann wird er zu DIR kommen und Schadensersatz haben wollen. Denn der Kunde ist davon ausgegangen, dass das vorgegebene Passwort ausreichend sicher ist. Immerhin hast du es ja vorgeschlagen, also muss es ja gut genug sein.
Ich würde mir diesen Bären nicht aufbinden.
- Registriert
- Nov. 2014
- Beiträge
- 169
Der Registrationsprozess muss so einfach und reibungslos wie möglich sein. Wenn die Person einmal registriert ist, dann hat diese auch mehr Motivation sich mit dem Shop auseinander zu setzen.
Ein zufällig generiertes Passwort das nicht gespeichert wird und via TLS übertragen wurde, ist denke ich für so einen Anwendungsfall seriös genug. Aber das ist nicht der Punkt. Es geht darum dem User eine Lösung für sein Problem anzubieten anstatt nur die Fehlermeldung, dass sein Passwort nicht den Richtlinien entspricht.
Quasi als Fehlermeldung: "Ihr Passwort ist leider zu unsicher für diese Seite. Ein paar Vorschläge für sichere Passwörter wären Hauswirtin8Kontakte-Streckenabschnitte 6probates8BesteuerungGesamtindex2 &Höhlenmalerei6Millionenvermögen3Waldfrucht6"
Vielleicht gibt es den Benutzer ja auch einen Denkanstoß und er erstellt sich ein eigenes nach dem gleichen Schema
Ein zufällig generiertes Passwort das nicht gespeichert wird und via TLS übertragen wurde, ist denke ich für so einen Anwendungsfall seriös genug. Aber das ist nicht der Punkt. Es geht darum dem User eine Lösung für sein Problem anzubieten anstatt nur die Fehlermeldung, dass sein Passwort nicht den Richtlinien entspricht.
Quasi als Fehlermeldung: "Ihr Passwort ist leider zu unsicher für diese Seite. Ein paar Vorschläge für sichere Passwörter wären Hauswirtin8Kontakte-Streckenabschnitte 6probates8BesteuerungGesamtindex2 &Höhlenmalerei6Millionenvermögen3Waldfrucht6"
Vielleicht gibt es den Benutzer ja auch einen Denkanstoß und er erstellt sich ein eigenes nach dem gleichen Schema
KnolleJupp
Fleet Admiral
- Registriert
- Juni 2007
- Beiträge
- 22.660
Es ist doch nicht deine Aufgabe deine Kunden zu erziehen, um nicht bevormunden zu sagen.
Wenn mir eine Webseite das Passwort "&Höhlenmalerei6Millionenvermögen3Waldfrucht6" vorgeben würde, würde ich an einen Scherz denken.
Und das dann als Anregung diese Art Passwörter für sich zu übernehmen?
Du willst eine Lösung für ein Problem das (für dich) gar nicht besteht.
Entweder gibst du gar kein Passwort vor, der Kunde muss sich selbst eines festlegen.
Oder du vergibst ein Einmalpasswort mit der Erklärung dies nach Registrierung und erstmaligem Login ändern zu müssen.
Die einzige Vorgabe, die ich machen würde wäre das das Passwort aus mindestens acht Zeichen bestehen muss.
Darüber hinaus würde ich sicherstellen das alle Klein- und Großbuchstaben, Umlaute, Zahlen und Sonderzeichen erlaubt sind und das Passwort auch in der Länge nicht begrenzt ist.
Merke auch, ein Passwort, das man aufschreiben muss, weil man es sich nicht merken kann, ist unsicher. Dabei spielt es keine Rolle, ob auf ein Stück Papier oder als Textdatei auf dem Rechner.
Deine Absicht und Motivation in allen Ehren. Aber das ist letztlich nicht zielführend.
Menschen sind nunmal Gewohnheitstiere und wollen nur ungerne bevormundet werden.
Wenn mir eine Webseite das Passwort "&Höhlenmalerei6Millionenvermögen3Waldfrucht6" vorgeben würde, würde ich an einen Scherz denken.
Und das dann als Anregung diese Art Passwörter für sich zu übernehmen?
Du willst eine Lösung für ein Problem das (für dich) gar nicht besteht.
Entweder gibst du gar kein Passwort vor, der Kunde muss sich selbst eines festlegen.
Oder du vergibst ein Einmalpasswort mit der Erklärung dies nach Registrierung und erstmaligem Login ändern zu müssen.
Die einzige Vorgabe, die ich machen würde wäre das das Passwort aus mindestens acht Zeichen bestehen muss.
Darüber hinaus würde ich sicherstellen das alle Klein- und Großbuchstaben, Umlaute, Zahlen und Sonderzeichen erlaubt sind und das Passwort auch in der Länge nicht begrenzt ist.
Merke auch, ein Passwort, das man aufschreiben muss, weil man es sich nicht merken kann, ist unsicher. Dabei spielt es keine Rolle, ob auf ein Stück Papier oder als Textdatei auf dem Rechner.
Deine Absicht und Motivation in allen Ehren. Aber das ist letztlich nicht zielführend.
Menschen sind nunmal Gewohnheitstiere und wollen nur ungerne bevormundet werden.
Zuletzt bearbeitet:
Krik
Fleet Admiral
- Registriert
- Juni 2005
- Beiträge
- 14.729
Sag dem Kunden einfach die Regel(n), gegen die sein Passwort verstößt. "Es fehlt mindestens eine Zahl!" "Es fehlt mindestens ein Großbuchstabe." usw.
Wenn du ihm Passwörter vorsetzt, dann fängt er nur an, die mit seinem zu vergleichen. Und dann sieht er eventuell nicht, warum das Beispiel funktioniert aber sein eigenes nicht. Und vielleicht hat er auch gar keinen Bock auf so was.
Und dann hast du den Kunden verloren.
Ich habe schon Leute gesehen, die einen Dienst verflucht haben, weil ihr Passwort nicht akzeptiert wurde. Dabei wurde das von einem PW-Generator erzeugt. Nach einigen Experimenten kam heraus, dass % nicht akzeptiert wurde. Oder dass das PW schlicht zu lang war.
Gib dem Kunden klare Regeln vor und bevormunde ihn nicht! Damit kann jeder Mensch etwas anfangen und es strahlt auch Seriosität aus.
Wenn du ihm Passwörter vorsetzt, dann fängt er nur an, die mit seinem zu vergleichen. Und dann sieht er eventuell nicht, warum das Beispiel funktioniert aber sein eigenes nicht. Und vielleicht hat er auch gar keinen Bock auf so was.
Und dann hast du den Kunden verloren.
Ich habe schon Leute gesehen, die einen Dienst verflucht haben, weil ihr Passwort nicht akzeptiert wurde. Dabei wurde das von einem PW-Generator erzeugt. Nach einigen Experimenten kam heraus, dass % nicht akzeptiert wurde. Oder dass das PW schlicht zu lang war.
Gib dem Kunden klare Regeln vor und bevormunde ihn nicht! Damit kann jeder Mensch etwas anfangen und es strahlt auch Seriosität aus.
Krik
Fleet Admiral
- Registriert
- Juni 2005
- Beiträge
- 14.729
@Sykehouse
Wenn du es besser weißt, bitte, erleuchte uns.
Wenn du es besser weißt, bitte, erleuchte uns.
KnolleJupp
Fleet Admiral
- Registriert
- Juni 2007
- Beiträge
- 22.660
Das ist kein Unfug.
Natürlich ist ein Passwort wie "6probates8BesteuerungGesamtindex2" oder "VGPb§ÖMa#s%@fU9pD8cQ" deutlich sicherer als "herbert".
Das ist gar keine Frage.
Es geht aber auch um Nutzerakzeptanz und Bedienerfreundlichkeit.
Natürlich ist ein Passwort wie "6probates8BesteuerungGesamtindex2" oder "VGPb§ÖMa#s%@fU9pD8cQ" deutlich sicherer als "herbert".
Das ist gar keine Frage.
Es geht aber auch um Nutzerakzeptanz und Bedienerfreundlichkeit.
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.250
Wie kommst du auf die Abschätzung des Suchraums?ioe schrieb:
240.000^3 + 10^3 wäre an der Stelle die pessimistische Abschätzung für den Fall, dass Angreifer ein Muster verwenden, welches deiner Generierungsregel entspricht. Wobei die Angreifer deine Regel kennen sollten, da das Passwort Klientseitig erzeugt werden muss, die Generierungsregel also via Javascript dem Angreifer bekannt ist.
An der Stelle wäre ein zusätzliches Wort aus dem Wörterbuch WEIT effektiver als das Gemauschel mit den Ziffern.
Bei deinem riesigem Wörterbuch ist zu befürchten, dass es ebenso WEIT über den Standardwortschatz der meisten Menschen hinausgeht. Vor allem da von durchschnittlich begabten Menschen der zum Schreiben verwendete bzw. verwendbare Wortschatz deutlich kleiner ist als der Verstandene. Um halbwegs zugänglich zu sein ist ein Basiswörterbuch mit ~5.000 Worten (12..12,5bit Entropie) wesentlich sinnvoller. Was aber auch bedingt, dass >5 Worte benötigt werden um 64bit Entropie zu erreichen.
Wobei die Entropie so ein Ding ist. Für Angreifer die das Login über Zugriffe auf deinen Server erraten wollen brauchst du so oder so ein Ratelimiting. Eben um es Angreifern schwer zu machen und um DDOS vorzubeugen. Ein Pi1 bekommt locker einige hunderte HTTP-Posts in der Sekunde mit Curl zu deinem Server geschoben, dein Blech wird das nicht hinbekommen.
Mein Vorschlag wäre, du gleichst die Nutzerpasswörter mit den "common passwords"-Listen ab (beachte die Referenzen im Artikel, suche vielleicht auch nach deutschen Listen):
https://en.wikipedia.org/wiki/Wikipedia:10,000_most_common_passwords
Wobei der Abgleich über Hashes erfolgen sollte (reproduzierbare Hashes wie die Sha-Familie). Zum Hashing schaust du dir am besten mal an, wie HaveIBeenPowned die Passwörter abgleicht!
Wenn deine Nutzer das nicht hinbekommen, kannst du ein kleines Standardwörterbuch an den Klient senden (wie gesagt eher so 5.000Worte) und daraus ein PW-Vorschlag generieren lassen. Dabei MUSS die Entropie aber vom Klienten kommen und du MUSST sicher stellen, dass das Javascript auf dem Klienten[2] sich dann auch kryptografisch tauglicher Entropie bedient um die Wörter auszuwählen.
[2]Alle Klienten, alle Browser, alle Plattformen, inkl. Fehlerbehandlung wenn der Klient zu wenig Entropie hat, inkl. ausgiebiger Testfälle auf statistische Ausreißer bei den generierten Passphrases.
Krik schrieb:
Diese Regeln sind immens gefährlich. Natürliche Sprachen neigen massiv zu mustern und solche Tips sind derart bekannt, dass die Entropie der erzeugten Passwörter im Mittel weit unter dem einer zufälligen Zeichenkette mit dem selben Zeichensatz liegt.
Das Problem an der Methode ist, dass sie für Anwenderfehler offen ist ohne Ende und die Angreifer die Regel zum Bilden der Passwörter kennen. Damit sinkt die Entropie der erzeugen Passwörter im Mittel deutlich.kieleich schrieb:
Krik
Fleet Admiral
- Registriert
- Juni 2005
- Beiträge
- 14.729
@Piktogramm
Zufällig erzeugte Passwörter sind in jedem Fall sicherer als "künstlich" erzeugte. Wenn das das Argument ist, dann sind alle Passwörter unsicher, die nicht aus einem Generator mit kryptographischem sicheren Zufallsalgorithmus' stammen.
Ich habe schon ganz zu Anfang geschrieben:
Entropie ist ein gutes theoretische Maß. In der Realität setzen Cracker aber auf Wörterbücher, Rainbow tables und die Analyse von Denkweisen und Gewohnheiten. Keinen interessiert Brute Force, warum ist bekannt.
Zufällig erzeugte Passwörter sind in jedem Fall sicherer als "künstlich" erzeugte. Wenn das das Argument ist, dann sind alle Passwörter unsicher, die nicht aus einem Generator mit kryptographischem sicheren Zufallsalgorithmus' stammen.
Ich habe schon ganz zu Anfang geschrieben:
Aber scheinbar zufällige Buchstaben-/Zahlenkombinationen sind sicherer als jedes Passwort, dass aus Wörterbüchern generiert wird. Weil die nämlich nur selten in einem Wörterbuch stehen. Gängige Abkürzungen a la "YOLO" stehen da natürlich trotzdem drin. Aber normale Sätze, aus denen man von jedem Wort nur den x. Buchstaben schreibt, stehen da eher nicht drin.Krik schrieb:
Entropie ist ein gutes theoretische Maß. In der Realität setzen Cracker aber auf Wörterbücher, Rainbow tables und die Analyse von Denkweisen und Gewohnheiten. Keinen interessiert Brute Force, warum ist bekannt.
kieleich
Commander
- Registriert
- Apr. 2020
- Beiträge
- 2.381
Krik schrieb:
Ja. Genau das Problem war schon mehrfach vorgekommen ... von SSH Keys bis Bitcoin Wallets war auch schon alles dabei
Wenns nicht kryptografisch ist dann ist es nicht Zufall ... sondern sieht nur so aus aber der Unterschied ist nun mal gewaltig
Krik schrieb:
Man kommt ja nicht drum herum, ja. Solange die entropie stimmt. Ist egal ob jemand weiss wie du deine Passwörter erzeugst
Bei Lotto Zahlen ist ja auch bekannt, wie diese erzeugt werden. Trotzdem steht zwischen dir und dem Jackpot nun mal die entropie
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.250
@Krik
Das Maß sind nicht komplett zufällige Zeichenketten, die sind im Regelfall nicht handhabbar und fallen daher aufgrund von erwartbarer Nutzerfehler raus. Das Ziel welches es zu erreichen gilt sind Regeln die leicht merkbar sind, wenig Potential für Fehlanwendung bieten und eine solide vorhersagbare Qualität liefern.
Und Regeln die "scheinbar" sichere Passwörter verletzten mindestens die vorhersagbare Qualität und bieten viel Potential für Fehlanwendung.
Passphrasen aus einem Wörterbuch bei zufälliger Auswahl aus dem Wörterbuch sind da deutlich besser. Die zufällige Auswahl bekommen Computer gut hin und jedes Betriebssystem bietet mindestens eine Möglichkeit für kryptografische Entropie als Quelle für eben solche Anwendungen!
Das was du als Cracker bezeichnest. Man muss schon unterscheiden zwischen BruteForce auf Login über den Server und Angreifern, die die Datenbank extrahiert haben. Die erste Variante hält man über Ratelimiting effektiv ab. Im zweiten Fall ist der größte Schaden eh, dass die Datenbank extrahiert wurde und die Angreifer damit vom Ratelimiting nicht abgehalten werden. Da ist der größte Schaden eh schon eingetreten, das weitere Extrahieren von Passwörtern weitet die kommerzielle Verwertbarkeit des Extracts aus für die Angreifer.
In diesem Fall werden größere Wörterbücher genutzt, aber ebenso werden fröhlich Permutationen und Passwortregeln verwendet um Passwörter zu erzeugen, die dann sehr wohl via BruteFoce probiert werden müssen. Denn auch wenn man eine Wortliste nutzt, jeden Eintrag in der Wortliste muss für jeden Passworthash getestet werden, wenn gescheite Hashverfahren zum Einsatz kommen und damit jeder Hash gesalzen ist. Eben wegen des Salzes sind Rainbowtables auch weitestgehend sinnlos.
Rainbowtables wären interessant bei so Dingen wie MD5, Sha... ohne Salz.
Das Maß sind nicht komplett zufällige Zeichenketten, die sind im Regelfall nicht handhabbar und fallen daher aufgrund von erwartbarer Nutzerfehler raus. Das Ziel welches es zu erreichen gilt sind Regeln die leicht merkbar sind, wenig Potential für Fehlanwendung bieten und eine solide vorhersagbare Qualität liefern.
Und Regeln die "scheinbar" sichere Passwörter verletzten mindestens die vorhersagbare Qualität und bieten viel Potential für Fehlanwendung.
Passphrasen aus einem Wörterbuch bei zufälliger Auswahl aus dem Wörterbuch sind da deutlich besser. Die zufällige Auswahl bekommen Computer gut hin und jedes Betriebssystem bietet mindestens eine Möglichkeit für kryptografische Entropie als Quelle für eben solche Anwendungen!
Das was du als Cracker bezeichnest. Man muss schon unterscheiden zwischen BruteForce auf Login über den Server und Angreifern, die die Datenbank extrahiert haben. Die erste Variante hält man über Ratelimiting effektiv ab. Im zweiten Fall ist der größte Schaden eh, dass die Datenbank extrahiert wurde und die Angreifer damit vom Ratelimiting nicht abgehalten werden. Da ist der größte Schaden eh schon eingetreten, das weitere Extrahieren von Passwörtern weitet die kommerzielle Verwertbarkeit des Extracts aus für die Angreifer.
In diesem Fall werden größere Wörterbücher genutzt, aber ebenso werden fröhlich Permutationen und Passwortregeln verwendet um Passwörter zu erzeugen, die dann sehr wohl via BruteFoce probiert werden müssen. Denn auch wenn man eine Wortliste nutzt, jeden Eintrag in der Wortliste muss für jeden Passworthash getestet werden, wenn gescheite Hashverfahren zum Einsatz kommen und damit jeder Hash gesalzen ist. Eben wegen des Salzes sind Rainbowtables auch weitestgehend sinnlos.
Rainbowtables wären interessant bei so Dingen wie MD5, Sha... ohne Salz.
Sykehouse
Commander
- Registriert
- Aug. 2018
- Beiträge
- 2.924
Keine Angst, Erleuchtung habe ich keine. Es gab auch schon genügend fundiertere Stimmen wie z.B. von Piktogramm, die werden ja auch schön ignoriert, damit man bei seinen festgefahrenen Meinungen bleiben kann, wie ein "gutes" Passwort auzusehen hat. Daher spare ich mir die Mühe, schon gesagtes nochmals neu zu formulieren. Immerhin kam noch keiner mit dem Vorschlag, eine regelmässige Passwortänderung zu erzwingen, daher.Krik schrieb:
Am Ende ist der ganze Aufwand ja sowieso zwar gut gemeint, aber für die Katz. Wenn Herbert als Passwort "herbert" verwenden will, dann wird er das tun, solange es die Passwortregeln zulassen. Und jedes Passwort, das nicht regelmässig benutzt oder in einem Passwort Manager gespeichert ist, geht eher früher als später vergessen. Egal wie merkbar es ist. Weil sich niemand 100 merkbare Passwörter merken kann, schon gar nicht zusätzlich zu welchem Login nun welches Passwort gehört.
- Registriert
- Nov. 2014
- Beiträge
- 169
Interessante Beiträge. Per default verwende ich Argon2id mit Salz und Pfeffer + fail2ban + Passwörter mit mindestens 10 Zeichen. Das reicht in der Regel.
Nur betreue ich auch Seiten die Kunden haben, die keine E-Mail Adresse besitzen (die sind noch aus Zeiten wo telefonisch bestellt wurde). Wenn die dann ein neues Passwort per WhatsApp, SMS oder Post bekommen, möchte ich denen einfach ersparen ein Zufällig generiertes Passwort eingeben zu müssen.
Weil Personen (wie Herbert) sich wirklich sehr schwer tun ein Passwort aus Sonderzeichen zu lesen und einzugeben. Das ist, wie gesagt nur ein absoluter edge case.
Wenn ich es mit recht überlege, dann könnte ich denen auch einen 14 stelligen Zahlen Pin senden.
Nur betreue ich auch Seiten die Kunden haben, die keine E-Mail Adresse besitzen (die sind noch aus Zeiten wo telefonisch bestellt wurde). Wenn die dann ein neues Passwort per WhatsApp, SMS oder Post bekommen, möchte ich denen einfach ersparen ein Zufällig generiertes Passwort eingeben zu müssen.
Weil Personen (wie Herbert) sich wirklich sehr schwer tun ein Passwort aus Sonderzeichen zu lesen und einzugeben. Das ist, wie gesagt nur ein absoluter edge case.
Wenn ich es mit recht überlege, dann könnte ich denen auch einen 14 stelligen Zahlen Pin senden.
Ich nutze bei Passwörtern welche die nur aus Kleinbuchstaben bestehen wenn ich befürchte, dass ich das eines Tages mal manuell eingeben muss. Zahlen-PIN geht sicherlich auch.ioe schrieb:
Wenn du das Passwort festlegst und dieses damit eher nicht von der selben Person auf 100 anderen Seiten auch noch verwendet wird, dann ist die Angriffsfläche sowieso schon direkt viel, viel kleiner. Ein Online-Bruteforce Angriff macht generell nicht so schrecklich viel Sinn und sollte auch gar nicht erst möglich sein.
