HAHA, hab gerade mitbekommen (wegen popper), dass die Paranoiden im URZ wieder neue Regeln für die Passwortvergabe eingeführt haben..


Quelle

Wer hat sich denn schon wieder so etwas ausgedacht? Reichen keine 2.821.109.907.456 (in Worten: knapp 3 Billion) Möglichkeiten für ein Passwort?
Wozu braucht man 5.595.818.096.650.401 (wir sind bei der Billiarde angekommen) Möglichkeiten?
Welche Sau interessiert sich für den bekloppten URZ Login anderer?
Gibt es jetzt ein erhöhtes Sicherheitsrisiko für das URZ, weil sich jetzt mehr Nutzer das Passwort aufschreiben (OMG!!!) ?
Wird bei diesen Leuten jetzt öfter eingebrochen?
Findet der Einbrecher das Passwort jetzt schneller?
Benutzt er das Passwort auch um Zugang zum URZ zu bekommen?
Weiß er überhaupt was das ist?

Gibt mal wieder einen Daumen und ein Bienchen ins Muttiheft von mir

ich hab seit jahr und tag dasselbe passwort und immernoch erfüllt es alle kriterien..

Die wollen uns armen Studenten einfach nur die kostbare Zeit rauben!
Ich saß mehrere Tag, um mein Passwort zu generieren, bis es endlich angenommen worden ist!
Und jetzt? Jetzt hab ich's vergessen... Die haben echt einen am Kopf!

aber ändern muss ich das jetz nich nachträglich oder?

naja diese Regeln gibt es ja doch schon etwas länger (glaube zumin. die 4. Regel) und ob sie nun die ganzen Datensätze durchstöbern weiß ich nich

mein passwort hat 8 kleinbuchstaben und eine zahl..aber is auch schon ~4,5 jahre alt

Aber ich weiß es, denn ich vermute mal sehr stark, dass die Passwörter als Hashes und nicht im Klartext abgespeichert werden. Dadurch gibt es keine Möglichkeiten die bisherigen auf die Regeln zu überprüfen. Die einzige Möglichkeit, die es gibt, ist wenn man das Passwort verwendet, so dass dort zwischengesetzte Systeme das überprüfen könnten.

Alternativ könnte man Passwortcracker mit Brute-Force-Wörterbuchattacken drüberjagen, was in den meisten Fällen schon reicht.

URZ (bzw. ZIH)-Passwort braucht man ja zumindestens als Inf prinzipiell gar nicht, sondern nur für LSKonline, der Rest lässt sich ja mit dem Infaccount erledigen und die Unimailadresse sollte man sowieso weitergeleitet haben...

C'ya,

Christian

is nix eingebaut ala 5 Freiversuche und dann muss man persönlich vorsprechen?
und bei der Passwortvergabe könnte man dann noch anhand von Wörterbüchern 'echte' Wörter ausschließen..

zumindest die Weberbau Erzw Rechenzentren sperren Accounts nach 5 Fehlversuchen.
ich hab Sonderzeichen, Buchstaben,zahlen etc.
aber ich mag halt auch Muster der Form


(ja dadurch werden die sehr lang...und nein ihr habt jetzt ausser dass ich gerne Rahmungen verwende keinen anhalstpunkt auf wichtige Passwörter von mir)

P4§§w0rt

die spinnen die römer^^

Mein Passwort ist auch so kryptisch geworden, dass ich jetzt keine Ahnung mehr habe, wie es war. Das wäre ja nicht das erste Mal, dass ich persönlich vorsprechen muss. Im URZ Willersbau werden die Accounts auch gesperrt, ich glaube nach 3 Fehlversuchen ^^

Na immerhin sind wir jetzt vor den Bruteforce-Terroristen sicher, die heimlich mit unseren Accounts das Internet nutzen und ihre eMails abholen. Damn!

Einzig unsinnig ist die Vorgabe, dass es genau 8 Zeichen lang sein muß. Alle anderen Vorgaben sind sinnhaft und entsprechen normalen Sicherheitsanforderungen an ein Passwort.

Es ist eine Tatsache, dass viele Nutzer gern Passworte verwenden, die absolut unsicher sind: Geburtstage oder solche, die in jeder Wörterbuch-Datenbank stehen. Meist sind diese schwachen Passworte auch biographisch hinterlegt.

Zumal bei Deinem Studienfach verwundert mich Deine Verwunderung. Wie würden denn Deine Passwortvorgaben aussehen, loco?

Um vielleicht doch ansatzweise auf die Frage zu antworten, warum das ZIH diese Richtlinen vorgibt: Es gibt an der TUD sicher einen großen Teil von Nutzern, deren Accounts relativ uninteressant sein dürften. Andererseits gewährt ein Login auch Zugang zu Bereichen, die spannend sein könnten (...)
Zweitens gibt es sicherlich Mitarbeiter, die an brisanten Projekten arbeiten (frag mal z.B. mibi) und bei denen eine Kompromitierung fatal wäre.

tzz

~abd

wenn ich mcih nich täusche liegt das an dem unixsystem was im hintergrund läuft. größer geht nich und kleiner is unsicher. zumindest bin ich schon öfter darauf gestoßen, dass ein passwort nicht länger als 8 zeichen sein durfte.