AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Algorithmen, Datenstrukturen und Klassendesign Prüfen ob Anforderung an ein neues Passwort erfüllt wurden
Thema durchsuchen
Ansicht
Themen-Optionen

Prüfen ob Anforderung an ein neues Passwort erfüllt wurden

Ein Thema von Jumpy · begonnen am 2. Mai 2013 · letzter Beitrag vom 4. Mai 2013
Antwort Antwort
Seite 2 von 2     12   
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#11

AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden

  Alt 2. Mai 2013, 16:31
Darf nicht mit den letzten x Passworten übereinstimmen oder Ähnlichkeiten zu diesen enthalten.
Die erste Anforderung finde ich vernünftig, die zweite erscheint mir in manchen Umgebungen bedenklich: Es wäre nötig, Passwörtern im Klartext / ungehasht zu speichern und das wird eigentlich als Bad Practice angesehen. Das gilt insbesondere bei vielen "anonymen" Usern der Fall, weil die dazu neigen, Passwörter anderer Dienste/Anwendungen wiederzuverwenden.
Wenn die User bekannt sind, könntest du alternativ das Vorkommen von speziellen Zeichenketten testen (Geburtsdatum, Name des Kunden, Namen der Anwendung, Namen der Firma, Variationen davon).

Aber wenn er dann trotzdem "123" als Kennwort setzen will, dann soll er halt.
Wenn das Passwort den Wartungszugang eines Atomkraftwerk sichert, sehe ich das anders
Intellekt ist das Verstehen von Wissen. Verstehen ist der wahre Pfad zu Einsicht. Einsicht ist der Schlüssel zu allem.
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#12

AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden

  Alt 2. Mai 2013, 17:08
Man könnte automatisch Variationen eines Passworts erstellen (z.B. eine im Passwort vorkommende 1 durch eine 2,3,4,5, usw. ersetzen) und diese hashen und dann vergleichen. Problem ist natürlich nur, dass, bei einer vernünftigen Passwortlänge, das extrem viele Kombinationen wären, wenn man genügend Fälle abdecken will.

Aber anders geht es imo eigentlich nicht... man könnte zwar stattdessen das Passworts irgendwie komprimieren in der Art „abc-123456-def“ → „abc-<ZAHLEN>-def“ (so SoundEx-mäßig) und dann den komprimierten String hashen und vergleichen, aber da der komprimierte String deutlich kürzer als das Passwort sein müsste, könnte ein Angreifer das Muster relativ leicht bruteforcen und so Informationen über die Struktur des Passworts erhalten, was kontraproduktiv für die Sicherheit wäre.

Geändert von Namenloser ( 2. Mai 2013 um 17:12 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#13

AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden

  Alt 2. Mai 2013, 20:32
Also ich würde so vorgehen:
Schritt 1:
Eine Klasse schreiben, die ein Passwort bewertet und dafür Punkte vergibt.
Als Vorlage was man wie bewertet kann man z.B. http://www.passwordmeter.com/ verwenden.
Es gibt da viele verschiedene Algorithmen; hier ein Beispielcode (PHP): http://www.sikosoft.com/item/writing...ngth_algorithm
Schritt 2:
Die Punkte werden dem Benutzer als farbigen (rot, gelb, grün) Balken oder als Ampel dargestellt.
Dafür gibt es eine eigene Klasse, die die Punktzahl als Input bekommt und als Output auf einem Canvas zeichnet.
Schritt 3:
Optional kann der Admin eine Mindestpunktzahl vorgeben.
Falls die geforderte Punktzahl nicht erreicht wird, wird das PW als zu schwach abgelehnt.
Schritt 4:
die letzten 5 Passwörter werden als Hash gespeichert.
So kann überprüft werden ob ein altes PW neu verwendet wird.
Wenn das neue PW dem alten PW nur ähnlich ist, würde ich das nicht als negativ bewerten.
Ein Ähnlichkeitsanalyse halte ich nicht für sinnvoll.
Vorallem müsste man für einen Vergleich der Ähnlichkeit die Passwörter selbst speichern (und nicht nur den Hash).
Das stellt aber einen eheblichen Schwachpunkt dar, weil ein Hacker so an jede Menge alter Passwörter kommen könnte, die der Benutzer auf anderen System evtl. noch im Einsatz hat.
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#14

AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden

  Alt 2. Mai 2013, 21:05
Eigentlich hat Jumpy ja schon ausgeschlossen, das an der Passwortbewertung etwas geändert wird:
Bzgl. der Passworte-Regelungen ist halt der Kunde König und da es sich in dem Fall um Banker handelt, die eh etwas paranoider sind als andere, ist dat halt so.
Die Erarbeitung des Sicherheitskonzept kostete die Bank eventuell mehr als das Programm


@Jumpy: Wenn du da nicht zu Verschwiegenheit verpflichtest bist: Es würde mich schon interessieren, wie die Ähnlichkeit dann letztendlich festgestellt wird.
Intellekt ist das Verstehen von Wissen. Verstehen ist der wahre Pfad zu Einsicht. Einsicht ist der Schlüssel zu allem.
  Mit Zitat antworten Zitat
Benutzerbild von p80286
p80286

Registriert seit: 28. Apr 2008
Ort: Stolberg (Rhl)
6.659 Beiträge
 
FreePascal / Lazarus
 
#15

AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden

  Alt 3. Mai 2013, 11:56
Wie wäre es die Kölner Phonetik zu nutzen ist einfach zu implementieren und kann gut an die eigenen Bedürfnisse angepasst werden. (0-O, E-3, etc.)

Gruß
K-H
Programme gehorchen nicht Deinen Absichten sondern Deinen Anweisungen
R.E.D retired error detector
  Mit Zitat antworten Zitat
blablab

Registriert seit: 3. Jan 2006
509 Beiträge
 
Delphi 7 Enterprise
 
#16

AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden

  Alt 4. Mai 2013, 11:15
OT:
Großer Gott, wie ich diese Passwort-Anforderungen hasse. Dieser XKCD-Comic bringt es wirklich auf den Punkt.
Und am schlimmsten sind Einschränkungen wie keine Leerzeichen, Umlaute usw. Mein Onlinebanking z.B. erlaubt nur A-Z und _ und es wird nichtmal zwischen Groß- und Kleinschreibung unterschieden. Und warum, WARUM gibt es oft eine Maximallänge für Passwörter? Hab zuletzt sogar eine Maximallänge von 8 Zeichen gesehen! Ich kanns ja verstehen dass es ab 50 Zeichen etwas merkwürdig wird, aber wen juckt's?

Und wirklich leicht zu merkende aber sichere Passwörter wie aus dem Comic werden zum Großteil alle verboten durch die "tollen" Anforderungen wie Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen und und und...

Ich würde zwar auch eine Meldung bringen wenn ein Passwort schlecht zu sein scheint, aber man muss es dann ja nicht immer gleich verbieten.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:43 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz