Willkommen im User-Forum von mailbox.org
 

Passwörter: Warum Einschränkung Sonderzeichen?

2232235 hat dies geteilt, 2 Jahren her
unbeantwortet

Mein Password-Manager generiert mir ein tolles, langes Passwort mit Sonderzeichen.


Doch dann kommt die Fehlermeldung von mailbox.org:


Fehler: Das Passwort enthält unerlaubte Zeichen. Erlaubt sind A-Z, a-z, 0-9 und folgende Sonderzeichen: ! $ " % & / ( ) = * + - # . , ; : @ ? { } [ ]


Die neuen NIST-Empfehlungen:


Applications must allow all printable ASCII characters, including spaces, and should accept all UNICODE characters, too, including emoji!


Wegen der Sonderzeichen-Einschränkung habe ich Sonderzeichen deaktiviert beim PW-Generieren. Somit habe ich ein superlanges Passwort ohne Sonderzeichen. Mein PW-Manager ratet es als sehr stark.


Und jetzt mailbox.org:


Fehler: Das Passwort ist zu einfach oder zu systematisch


Also dann geb ich halt noch ein paar erlaubte Sonderzeichen ein von Hand, aber immer noch die gleiche Fehlermeldung.


Am Schluss versuchte ich es nochmals mit PW-Manager-Passwort mit Sonderzeichen, mit etwas Glück generierte er mir eins mit erlaubten Sonderzeichen.


Warum die Einschränkungen und die Fehlermeldungen? Mühsam und schwächt das Passwort.


Danke

Kommentare (5)

Foto
2

Die nutzbaren Sonderzeichen für Passworte sind eingeschränkt, um Injection Angriffe auf den Code zur Verarbeitung der Passworte zu verhindern.

Unsere Admins und Entwickler können nicht garantieren, dass sämtliche verwendete Software vom PHP Code des Forums über Open-Xchange, Mailserver usw. 100% fehlerfrei programmiert wurde. Deshalb wurden die nutzbaren Sonderzeichen eingeschränkt, da die Sicherheit der System einen hohen Stellenwert hat.

Bezüglich des unterschiedlichen Ratings ihres generierten Passwortes kann ich nichts sagen, da ich das Passwort nicht kenne, den verwendeten Passwortgenerator nicht kenne. Generell werden unetrschiedliche Heuristiken bei der Bewertung eines Passwortes genutzt, es gibt keinen Standard zur mathematischen Bewertung der Passwortstärke.

Unsere Hinweise zum Passwort sollen verhindern, dass Nutzer zu einfache Passworte wählen. Dazu verwenden wir eine einfache Heuristik. Deise Heuristik verhindert, dass jemand Passwörter wie "password" oder "12345678" verwendet, das ist das Ziel.

Foto
1

Danke für den ausführlichen Kommentar.


Heute habe ich nochmals versucht mit dem PW-Generator und funktionierte überraschend, auch keine Fehlermeldung wie "Das Passwort ist zu einfach oder zu systematisch" kam mehr, obwohl gleich generiert.


Wie hasht und verschlüsselt ihr die Passwörter zur Sicherheit? Oder ist dies geheim?

Foto
2

Troy Hunt (https://haveibeenpwned.com) schreibt dazu:


Typically, certain characters are disallowed as a means of defending against potential attacks. For example, angle brackets may be used in XSS attacks and an apostrophe may be used in SQL injection attacks. However, both of these arguments show serious shortcomings in the security profile of the site in question because firstly, passwords should never be re-displayed in the UI where an XSS risk could be exploited and secondly, because they should never be sent to the database without being hashed which would mean only alphanumeric characters prevail. Plus of course you have output encoding and parameterisation even if you were inappropriately handling passwords by re-displaying them in the UI and saving them in plain text to the database.

NIST is pretty clear on this - don't do it:


"All printing ASCII [RFC 20] characters as well as the space character SHOULD be acceptable in memorized secrets. Unicode [ISO/ISC 10646] characters SHOULD be accepted as well."

URL: https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/


Hat er und das NIST unrecht?

Foto
1

Der Beitrag oben ist verwirrend. Der Autor übergeht die definierten Wortbedeutungen und schreibt "Applications must allow all printable characters...", aber im (von ihm verlinkten Dokument) NIST 800-63b[1][2] steht unter 5.1.1.2

All printing ASCII [RFC 20] characters as well as the space character SHOULD be acceptable in memorized secrets. Unicode [ISO/ISC 10646] characters SHOULD be accepted as well.

Im Dokument[1] ganz oben erklären sie auch wie SHOULD, MUST, etc. zu verstehen sind (überraschenderweise, da sonst immer auf die RFC2119 verwiesen wird).

Hier steht:

The terms “SHOULD” and “SHOULD NOT” indicate that among several possibilities one is recommended as particularly suitable, without mentioning or excluding others, or that a certain course of action is preferred but not necessarily required, or that (in the negative form) a certain possibility or course of action is discouraged but not prohibited.

Von dem her, ist Mailbox.org hier immernoch "NIST treu", selbst wenn sie gewisse Zeichen ausschließen.

[1] http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf

[2] https://github.com/usnistgov/800-63-3

Foto
1

Ich habe ein ähnliches Problem. Mein gewünschtes (im Kopf merkbares) Passwort ist über 20 Stellen lang inklusive Groß/Kleinschreibung, Zahlen und Sonderzeichen. Das System dahinter sollte (für meine Begriffe; M.Sc. Informatik) sehr schwer zu durchschauen sein. Dennoch wird es als "zu einfach oder zu systematisch" eingestuft.

Kurioserweise bleibt das sogar dann so, wenn ich an das Passwort noch einen 10-stelligen Suffix aus per Passwortmanager genierten Zufallszeichen anhänge.