Frage:
Warum muss ich für solche Websites ein "sicheres" Passwort haben?
SPM
2014-12-02 21:58:05 UTC
view on stackexchange narkive permalink

Ich teile keine persönlichen Informationen mit StackExchange. Ich mache mir keine Sorgen darüber, dass jemand versucht, mein Konto zu hacken, und ich sehe keinen Anreiz dafür Das stärkste, das ich je gesehen habe.

Warum bestehen diese und andere Websites auf sicheren Passwörtern? Was ist der Grund dafür? Ich kann verstehen, warum meine Bank auf hoher Sicherheit besteht, aber liegt es nicht an mir, wie sicher ich hier sein möchte?

Ihre Frage setzt voraus, dass jeder potenzielle Risiken versteht und sie richtig einschätzen und dann sein Verhalten entsprechend ändern kann. Die meisten nicht-technischen Leute, die ich kenne, haben keine wirkliche Ahnung von den tatsächlichen potenziellen Risiken oder wie man sie herausfindet. Wer hat am meisten von einem peinlichen Verstoß gegen Benutzerdaten zu verlieren, eine zufällige Person oder das Unternehmen, das die Websites betreibt und einen guten Ruf hat?
Wenn Sie fragen, weil Sie sich persönlich nicht an einen langen Durchgang für Stack-Sites erinnern möchten, empfehle ich die Verwendung eines Kennwortmanagers (letzter Durchgang oder 1 Kennwort). dann wirst du niemals über solche Dinge nachdenken. Ich betrachte Passwortbeschränkungen als absolut positiv - je mehr desto besser (solange sie sinnvoll sind).
Die Auszeichnung für "die meisten Passwortbeschränkungen für einen Onlinedienst" geht natürlich an Apple. Sinnvoll, da Sie dort Kreditkarteninformationen haben und Telefone häufig verloren gehen.
Ich mag auch keine komplexen Passwortanforderungen auf den meisten Websites. Was mir am meisten auffällt, ist, dass es nur die Wiederverwendung von Passwörtern fördert und die Wiederverwendung von Passwörtern (1) die Stärke eines Passworts zunichte macht und (2) für die Website nicht überprüfbar ist.
Die eigentliche Frage sollte sein, warum SE eine Idee von starken Passwörtern erzwingt, die FALSCH FALSCH FALSCH ist.
Lustigerweise bestehen die meisten Banken darauf, dass Sie schwache Passwörter wählen. PNC erlaubt maximal 20 Zeichen, was ziemlich lächerlich ist.
@Cubic Ich hatte Banken mit maximal 8 Zeichen. Aber ich muss sagen, dass meine Favoriten diejenigen sind, bei denen [email protected] ein "schwaches" Passwort ist, aber "Password11" ist "stark". : Gesichtspalme:
@Cubic Meine Bank hat die Einschränkung: Ein Passwort muss genau 5 Zeichen entsprechen. wo nichts anderes als Zahlen und Kleinbuchstaben erlaubt sind>. <
Ich erinnere mich, dass ich irgendwo gelesen habe, dass StackOverflow es als Anreiz für Leute verwendet, stattdessen OpenId zu verwenden. Mein Google-Fu hat mich hier gescheitert.
@aitchnyu Ich denke, dass OpenId veraltet ist; Ich erinnere mich, dass ich eine E-Mail von SO erhalten habe, um zu einer anderen Authentifizierungsmethode zu wechseln
"MyOpenID" ist veraltet, aber es gibt Dutzende anderer OpenID-Anbieter, die Stack Exchange unterstützt. Verwechseln Sie das OpenID-Protokoll / den OpenID-Standard nicht mit der "MyOpenID" -Implementierung dieses Protokolls durch Janrain.
Bitte recherchieren Sie mehr, bevor Sie fragen. Dies wurde bereits zuvor ausführlich gefragt, beantwortet und analysiert. Wenn Sie nach einer technischen Analyse der Kennwortanforderungen für einen Anmeldeanbieter oder Websites im Allgemeinen fragen, lesen Sie http://security.stackexchange.com/q/3913/971 (von StackExchange-Mitarbeitern gebeten, ihnen bei der Auswahl ihrer Richtlinien zu helfen). Wenn Sie speziell nach StackExchange-Sites fragen, gehört diese Frage zu Meta.StackExchange und nicht zu Security.SE. In diesem Fall siehe http://meta.stackexchange.com/q/187759/160917 und http://meta.stackexchange.com/q/110678/160917.
Wenn sich Ihre Frage speziell auf Stackexchange bezieht, können Sie sie dann auf Meta.stackexchange migrieren? Wenn es nur um SE geht, denke ich nicht, dass dies der beste Ort dafür ist. Wenn sich Ihre Frage nicht speziell auf Stackexchange bezieht, haben Sie Einwände gegen die Bearbeitung, sodass es sich nicht speziell um Stackexchange handelt, sondern allgemeiner gilt?
Acht antworten:
#1
+57
Andrew Hoffman
2014-12-03 01:36:33 UTC
view on stackexchange narkive permalink

Erinnerst du dich an Anfang dieses Jahres, als Apples Cloud gehackt wurde?

Nun, Apples Cloud wurde nicht gehackt. Einige Prominente mit wirklich schwachen Passwörtern hatten ihre Passwörter erraten.

Aber die Schlagzeilen werden immer noch lauten, dass Apples Cloud gehackt wurde. Und deshalb erlauben Sie Benutzern nicht, wirklich schwache Passwörter zu verwenden.

Diese Antwort würde von einigen Zitaten oder einer externen Bestätigung profitieren, dass das Erraten von Passwörtern die Methode des Exploits war.
Danke @DigitalChris, Entschuldigung, ich nahm an, dass dies bereits weithin bekannt war. Sie sind sehr PR-versiert und nicht so dreist wie ich, um schwache Passwörter zu beschuldigen, aber der letzte Absatz fordert die Benutzer dazu auf, starke Passwörter zu verwenden, um diese Art von Angriff zu verhindern.
Ich bin nicht überzeugt, dass es schwache Passwörter waren. Die Veröffentlichung sprach auch über "Sicherheitsfragen". Sicherheitsfragen sind defakto sekundäre Passwörter und für die meisten Prominenten können die Antworten leicht gefunden werden.
Sie scheinen zu implizieren, dass die Sicherheit von Apple gut ist. Bitte lesen Sie dies: http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/all/
@MartinArgerami Ich will das nicht implizieren, ich bin nicht mit ihrer Umgebung vertraut.
@Andrew Hoffman Ihre Bild-Hut-Kombination ist fantastisch xD
#2
+21
Mike Scott
2014-12-02 22:04:16 UTC
view on stackexchange narkive permalink

Einige Benutzer geben keine persönlichen Daten an und kümmern sich nicht darum, ob ihr Konto gehackt wird. Andere werden. Es ist einfach, von jedem sichere Passwörter zu verlangen, und es ist schwierig herauszufinden, welche Benutzer in welche Kategorie fallen und nur von der letzteren Gruppe sichere Passwörter benötigen. Warum sollten sie sich also die Mühe machen, es auf die schwierige Art und Weise zu tun?

Bearbeitet, um hinzuzufügen: Welche Erfahrung zeigt uns, dass Sie sich definitiv nicht darauf verlassen können, dass Benutzer ihre eigenen Sicherheitsanforderungen bewerten und wählen Sie sichere Passwörter, wenn sie Sicherheit benötigen. Viele Benutzer, die ein hohes Maß an Sicherheit wünschen und erwarten, wählen dennoch schwache Passwörter aus, wenn sie dazu berechtigt sind.

Gut gesagt, Mike. Nur weil SIE das Risiko der Nutzung einer Website richtig einschätzen und Vorsichtsmaßnahmen treffen können, bedeutet dies nicht, dass jeder dies kann oder will. Aber wenn der Strand auftritt, werden nicht die Benutzer untersucht und kritisiert, sondern die Site-Manager.
Was ist, wenn Benutzer auf vielen Websites dasselbe sichere Kennwort verwenden?
Dann ist es kein sicheres Passwort. Natürlich ist es schwer, dies zu überprüfen, aber es ist trotzdem schwach
#3
+11
Abe Miessler
2014-12-02 22:22:32 UTC
view on stackexchange narkive permalink

Nur weil es für Sie nicht wichtig ist, heißt das nicht, dass es für niemanden wichtig ist. Ich habe von der StackExchange-Website einen Kick-Ass-Job bekommen, der hauptsächlich auf meinem Ruf auf den StackExchange-Websites basiert. Wenn mein Konto kompromittiert würde, könnte dies sehr reale Konsequenzen für Leute wie mich haben.

Unabhängig davon, ob Sie daran interessiert sind, dass Ihr Konto kompromittiert wird oder nicht, wenn eine Site ein Passwort benötigt, warum sollten sie das nicht benötigen? es sicher sein? Dies nicht zu verlangen, wäre eine Übung im Sicherheitstheater.

Wollte das Gleiche sagen; Für Personen, die ihren richtigen Namen verwenden (egal ob auf SE oder anderswo), kann ein Kompromiss ihres Kontos ihrem echten Ruf ziemlich schaden.
Es sei denn, Sie heißen Bob Brown. Es gibt eine Menge Bob Browns. (Das Bild ist auch echt; es soll einen Disambiguator geben.)
Dies beantwortet die Frage nicht wirklich. Es steht Ihnen frei, Ihre Stack Exchange-Reputation zu schützen, indem Sie ein Kennwort verwenden, das die Mindestanforderungen für Stack Exchange überschreitet.
@emory, ist Ihr Punkt, dass Benutzer wählen können, sicherer zu sein, wenn sie wollen? Wenn ja, würde ich argumentieren, dass die Sicherheit nicht in den Händen des Benutzers liegen sollte. Wenn die Site etwas enthält, das möglicherweise wertvoll ist, sollte sie geschützt werden.
@AbeMiessler Wenn StackOverflow mindestens 8 Zeichen erfordert, aber kein Maximum vorschreibt, kann der Benutzer sicherer sein, wenn er dies wünscht. Vielleicht bewertet SPM sein SE-Konto mit 100 USD, Ihr Konto mit 50.000 USD und mein Konto mit 1.000.000 USD. Dann könnte SPM sagen, dass die Kennwortrichtlinien von SE zu streng sind, Sie könnten sagen, dass sie genau richtig sind, und ich könnte sagen, dass sie zu locker sind. Nach Ihrer Logik sollte SE jedoch die Kennwortrichtlinien verschärfen, um mein Millionen-Dollar-Konto zu schützen, und Sie sollten gezwungen sein, Ihr Kennwort zu verlängern.
@emory - Ich denke nicht, dass Ihr "SE-Konto -> $ value" realistisch ist, aber ja - wenn das Konto tatsächlich $ 1.000.000 wert ist, sollten Passwortanforderungen bestehen. Ich denke, mein Punkt ist, dass, wenn die Site möglicherweise etwas von Wert haben könnte, die Passwortanforderungen dies widerspiegeln sollten und, was noch wichtiger ist, ** die Sicherheit nicht in den Händen des Endbenutzers bleiben sollte **. Ich denke, es ist durchaus möglich, dass jemand da draußen denkt, dass "Passwort" ein sicheres Passwort ist. Nur aus Neugier - welche Art von Passwort sollte die Website der Bank of America haben, wenn Ihr Konto 1 US-Dollar enthält?
@AbeMiessler Ich bin mit den Passwortrichtlinien von SE nicht einverstanden, nur mit Ihrer Antwort. Wenn Ihr SE-Konto für Sie 50.000 USD und für SE 1,00 USD wert ist, bleibt die Sicherheit letztendlich in Ihren Händen.
@emory, Sie stimmen nicht zu, dass die Sicherheit nicht in der Verantwortung der Endbenutzer liegen sollte?
Sicherheit ist letztendlich eine Geschäftsentscheidung. Ich schätze mein SE-Konto nicht sehr, verwende jedoch einen Passwort-Manager, sodass die Kosten für ein Passwort mit hoher Entropie niedrig sind. Ohne einen Passwort-Manager würde ich wahrscheinlich ein Passwort mit niedriger Entropie verwenden. Die SE-Richtlinie muss Kosten (strengere Anforderungen werden einige neue Benutzer abschrecken) und Vorteile (weniger gehackte Konten) haben.
#4
+7
Falco
2014-12-03 15:52:48 UTC
view on stackexchange narkive permalink

Ihr Passwort schützt nicht nur Ihr Konto , sondern auch die gesamte Community und den Ruf dieser Website. - Wenn viele Benutzer, die sich nicht um ihre Konten kümmern, nur "123" als Passwort verwenden würden, könnte ein Angreifer wahrscheinlich leicht auf einige hundert SE-Konten zugreifen. Alle Arten von SPAM-Schutz könnten durch die Verwendung verifizierter Benutzerkonten umgangen werden, und die gesamte Seite könnte mit Werbung, Verleumdung oder für extremste Politik überflutet werden.

Darüber hinaus könnten solche Aktionen das gesamte SE-Netzwerk schlecht widerspiegeln , da sie leicht zuließen, dass ihr Dienst gehackt und die ganze Seite für extremistische Schokoladenpropaganda verwendet wurde! Darüber hinaus bieten viele Seiten Möglichkeiten zum Senden von E-Mails, Hochladen von Dateien oder auf andere Weise, die ein Problem darstellen, wenn sie über eine große Anzahl gehackter Konten missbraucht werden.

Konten können möglicherweise zum Hosten illegaler Inhalte oder zum Senden von SPAM missbraucht werden zu anderen Seiten.

Ich vermute, es wäre ungefähr so ​​einfach, Leute dafür zu bezahlen, sich für SE-Konten anzumelden und genügend Material zu veröffentlichen, um "vom Benutzer verifiziert" zu werden.
Ich weiß nicht, wie restriktiv die Anmelderichtlinien sind. Und es ist nicht trivial, für die meisten Funktionen auf der Website genügend Ruf zu erlangen. Sie brauchen also mindestens Leute, die akzeptables Englisch schreiben und genug verstehen, um gute Antworten zu veröffentlichen, um sich einen guten Ruf zu verschaffen. Für tausend Konten und einen Lohn von 1 $ pro Stunde sprechen Sie wahrscheinlich von ein paar tausend Dollar. Das Hacken trivialer Passwörter scheint billiger zu sein.
#5
+2
SPRBRN
2014-12-02 22:19:43 UTC
view on stackexchange narkive permalink

Sie können sich mit Google Mail oder Facebook anmelden, glaube ich. Dann gelten diese Regeln. Warum zwingen sie uns? Weil sie wollen. Sie machen sich nicht nur Sorgen, dass Ihr Konto gehackt wird, sondern sie könnten sich auch Sorgen machen, dass Ihr Konto gehackt wird. Für Sie - 1 Punkt SE Starter - kein wirkliches Problem. Für SE - in Ihrem Fall - wenn Sie kein aktiver Benutzer werden - kein Problem.

Sie fangen hier an, finden gute Antworten und Unterstützung, genießen es, werden ein aktiver und guter Benutzer mit einem schwachen Passwort. Dann haben Sie Glaubwürdigkeit und Ihr Konto wird gehackt, Spam wird veröffentlicht. Ich weiß nicht, was dann passiert, aber vielleicht ist Ihr Konto geschlossen oder gelöscht. Es ist eine Menge Ärger, SE muss Ihre Identität überprüfen - verschwendete Zeit und Energie!

Abgesehen von der Tatsache, dass alle Ihre Punkte verloren gehen, können Sie mit guten Punkten auf Probleme aufmerksam machen, die verloren gegangen sind. SE verliert etwas an Glaubwürdigkeit. Dann haben sie zwei weitere Anreize, uns zu zwingen, gute Passwörter zu verwenden. Erstens ist es für Cracker weniger attraktiv, in Konten einzubrechen, und je schwieriger es ist, desto weniger Menschen werden dies versuchen. Die zweite betrifft Marketing und Bildung: Sie lehren uns, die Techniker, die dies sowieso tun sollten, gute Passwörter zu verwenden und Lösungen zu finden, damit wir uns an sie erinnern können.

#6
+2
JH Webb
2014-12-04 02:22:26 UTC
view on stackexchange narkive permalink

Meine Frau und ich sprechen ständig mit unseren Kindern über Gewohnheiten. "Du wirst tun, was du übst". Meine Gewohnheit ist, dass ich LastPass Premium für alle Online-Passwörter verwende und wenn möglich die Google-Authentifizierung oder andere Unterstützung für die Multi-Faktor-Authentifizierung aktiviere.

Ehrlich gesagt gibt es nur sehr wenige Passwörter, die ich tatsächlich kenne oder die ich gerne kenne. LastPass generiert ein sicheres Passwort und ich muss mich nicht daran erinnern. Zum Beispiel "8G62USWh @ C! PDP ^ F @".

Auch ich verwende gerne Open ID wie Google ID, zum Beispiel auf Stack. Dadurch kann ich eine starke und vielschichtige Authentifizierung verwenden.

Aber auf zynische Weise haben Sie Recht, diese Site ist für die Sicherheit nicht wirklich wichtig. Aber welche Gewohnheit üben Sie?

In der Praxis verwende ich zwar einen Passwort-Manager, aber ich habe die Frage nicht als Schimpfen, sondern als intellektuelle Neugier interpretiert. Warum übertreffen die Mindestanforderungen an das Passwort von Stack Exchange (offensichtlich) die der meisten Banken? Sollte es nicht umgekehrt sein? Vielleicht weiß SE, dass die meisten Benutzer Passwort-Manager verwenden und mit strengeren Anforderungen davonkommen können. Möglicherweise melden sich SE-Benutzer, die ihr Passwort vergessen haben, einfach für ein neues Konto an, während Bankkunden, die ihr Passwort vergessen haben, 2 Stunden Zeit benötigen, um es zurückzusetzen. Es muss eine geschäftliche Erklärung geben.
emory - ein Vergleich mit Banken ist einfach falsch. Sie können nicht davon ausgehen, dass alle Banken es richtig machen. Außerdem sind die Banken, mit denen ich zusammengearbeitet habe, ein langes Passwort (mehrere Passwörter) plus 2FA für Aktivitäten mit höherem Risiko.
#7
  0
Jeff Burdges
2014-12-04 00:44:53 UTC
view on stackexchange narkive permalink

Zuerst sollten Sie Passwörter auf Ihre Bankkonten schreiben, damit weltliche persönliche Informationen wie Ihr Geburtstag nicht einfach gegen Sie verwendet werden können.

Zweitens sollten Sie einen Passwort-Manager wie KeePassX.org haben, der das Speichern vernünftiger, aber nicht überkritischer Passwörter relativ einfach macht.

Drittens, Sie ' Es ist absolut richtig, dass typische Websites kein sicheres Passwort benötigen, selbst wenn sie es wollen.

Im Fall von Stack Exchange gibt es jedoch eine careers.stackoverflow.com -Seite, auf der Sie möglicherweise persönliche Informationen teilen. Sie sollten Ihr Passwort hier wahrscheinlich ungefähr so ​​sicher sichern, wie Sie Ihr Facebook-Passwort sichern, aber nicht so genau, wie Sie es sichern, sagen Sie Ihr Google Mail-Passwort.

#8
  0
bwDraco
2014-12-04 12:53:05 UTC
view on stackexchange narkive permalink

Auf einigen Websites, einschließlich Stack Exchange, können Benutzer Berechtigungen erwerben, die bei Missbrauch der gesamten Website und der Benutzerbasis außerordentlich schädlich sein können. Wenn ein böswilliger Benutzer die Kontrolle über das Konto erlangt. Unter der Annahme, dass die Site Kennwörter beim Speichern ordnungsgemäß hascht, ist es nicht einfach, die Kennwortstärke (ohne Verwendung eines ressourcen- und zeitaufwändigen Brute-Force-Angriffs auf der Serverseite) zu messen, sobald das Kennwort übermittelt wurde (theoretisch könnte der Wert für die Kennwortstärke sein Wird bei der Anmeldung gespeichert, damit Sie später darauf zurückgreifen können. Dies ist jedoch eine sehr ungewöhnliche Maßnahme, die ich in dieser Antwort ignorieren werde.)

Angenommen, ein Stack Exchange-Benutzer hat ein schwaches Kennwort. Was ist, wenn der Benutzer über einen bestimmten Zeitraum stark teilnimmt und letztendlich als ♦ Moderator auf einer bestimmten SE-Site gewählt oder ernannt wird?



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...