|
AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden
Zitat:
Wenn die User bekannt sind, könntest du alternativ das Vorkommen von speziellen Zeichenketten testen (Geburtsdatum, Name des Kunden, Namen der Anwendung, Namen der Firma, Variationen davon). Zitat:
|
AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden
Man könnte automatisch Variationen eines Passworts erstellen (z.B. eine im Passwort vorkommende 1 durch eine 2,3,4,5, usw. ersetzen) und diese hashen und dann vergleichen. Problem ist natürlich nur, dass, bei einer vernünftigen Passwortlänge, das extrem viele Kombinationen wären, wenn man genügend Fälle abdecken will.
Aber anders geht es imo eigentlich nicht... man könnte zwar stattdessen das Passworts irgendwie komprimieren in der Art „abc-123456-def“ → „abc-<ZAHLEN>-def“ (so SoundEx-mäßig) und dann den komprimierten String hashen und vergleichen, aber da der komprimierte String deutlich kürzer als das Passwort sein müsste, könnte ein Angreifer das Muster relativ leicht bruteforcen und so Informationen über die Struktur des Passworts erhalten, was kontraproduktiv für die Sicherheit wäre. |
AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden
Also ich würde so vorgehen:
Schritt 1: Eine Klasse schreiben, die ein Passwort bewertet und dafür Punkte vergibt. Als Vorlage was man wie bewertet kann man z.B.  http://www.passwordmeter.com/ verwenden.Es gibt da viele verschiedene Algorithmen; hier ein Beispielcode (PHP): http://www.sikosoft.com/item/writing...ngth_algorithmSchritt 2: Die Punkte werden dem Benutzer als farbigen (rot, gelb, grün) Balken oder als Ampel dargestellt. Dafür gibt es eine eigene Klasse, die die Punktzahl als Input bekommt und als Output auf einem Canvas zeichnet. Schritt 3: Optional kann der Admin eine Mindestpunktzahl vorgeben. Falls die geforderte Punktzahl nicht erreicht wird, wird das PW als zu schwach abgelehnt. Schritt 4: die letzten 5 Passwörter werden als Hash gespeichert. So kann überprüft werden ob ein altes PW neu verwendet wird. Wenn das neue PW dem alten PW nur ähnlich ist, würde ich das nicht als negativ bewerten. Ein Ähnlichkeitsanalyse halte ich nicht für sinnvoll. Vorallem müsste man für einen Vergleich der Ähnlichkeit die Passwörter selbst speichern (und nicht nur den Hash). Das stellt aber einen eheblichen Schwachpunkt dar, weil ein Hacker so an jede Menge alter Passwörter kommen könnte, die der Benutzer auf anderen System evtl. noch im Einsatz hat. |
AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden
Eigentlich hat Jumpy ja schon ausgeschlossen, das an der Passwortbewertung etwas geändert wird:
Zitat:
@Jumpy: Wenn du da nicht zu Verschwiegenheit verpflichtest bist: Es würde mich schon interessieren, wie die Ähnlichkeit dann letztendlich festgestellt wird. |
AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden
Wie wäre es die
Kölner Phonetik zu nutzen ist einfach zu implementieren und kann gut an die eigenen Bedürfnisse angepasst werden. (0-O, E-3, etc.)Gruß K-H |
AW: Prüfen ob Anforderung an ein neues Passwort erfüllt wurden
OT:
Zitat:
Und wirklich leicht zu merkende aber sichere Passwörter wie aus dem Comic werden zum Großteil alle verboten durch die "tollen" Anforderungen wie Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen und und und... Ich würde zwar auch eine Meldung bringen wenn ein Passwort schlecht zu sein scheint, aber man muss es dann ja nicht immer gleich verbieten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:37 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz