Willkommen im User-Forum von mailbox.org
 

Veraltete Regeln/Richtlinie für Passwörter

7796115 hat dies geteilt, 19 Monaten her
veröffentlicht

Die jetzige Passwortrichtlinie sieht es vor, dass Groß- und Kleinbuchstaben sowie eine Zahl vorhanden sein müssen. Dies mag bei einer Passwortlänge von <=12 vielleicht noch irgendwie sinnvoll sein. Wenn man jedoch Passphrases verwendet, also eine Kombination von mindestens 4 Wörtern die in keinem Wörterbuch zu finden ist, dann wirkt diese Regel ehr hinderlich. Weiterhin kann man anscheinend keine Umlaute sowie ß benutzen.


Das folgende Passwort ist nach Eurer Richtlinie in Ordnung:


Asdf4321


Dieses Password aber nicht:


untermeinembettsliegteingelberball


Idealvorstellung: Den vollen UTF-8 Zeichensatz in Passwörtern erlauben. Passwörter anhand der enthaltenen Entropie unter Berücksichtigung von häufig verwendeten Passwörtern bewerten anstatt starre Regeln zu definieren.

Kommentare (12)

Foto
1

Würde ich so gerne noch einmal bumpen. Ich wollte mir endlich mal ein gescheites Passwort zulegen, aber die Passwort-Richtlinien sind hier sehr hinderlich, wenn man statt eines Passwortmanagers sein Hirn verwenden will!

Foto
1

Regeln für Passworte sind eh' nur Schikane. Mündige Bürger sind für sich selbst, also auch für ihre Passworte verantwortlich.

Foto
1

Es ist in der Tat sehr umstritten, ob Passwortrichtlinien die Sicherheit der Passwörter erhöhen, oder nicht. Man findet für beide Seiten gute Argumente und auch wir stellen das immer wieder auf den Prüfstand.


/WENN/ jeder Nutzer sorgsam Passwörter wählt, dann wäre ja fein.


Wir sehen aber, dass viele Passwörter eklatant zu unsicher sind, wenn wir nicht etwas steuernd eingreifen. Auch wenn der technische Nutzer es nicht glauben mag, aber es ist für viele Nutzer tatsächlich NICHT (selbst-) verständlich sichere Passwörter zu benutzen. Und damit meine ich auch wortwörtlich: "es ist nicht verständlich". Auch im Jahr 2018 diskutiere ich auf Veranstaltungen und anderen Events die Frage "wann ist denn ein Passwort sicher" und "wie soll man sich das merken" und "ich habe eines für alles" aus.


mailbox.org hat den Anspruch Sicherheit für alle herzustellen - auch für die, die sich technisch nicht auskennen.


Und: Gehakcte Accounts gefährden ganze Provider. Wenn Spam über solche Accounts verschickt wird haben wir Nachts Alarm und Admin-Einsätze und die Reputation unserer Mailserver und damit die Zustellqualität der Mails aller Nutzer sinkt. Und dafür wird mailbox.org verantwortlich gemacht.


Die Idee, schlechte Passwörter seien doch (ausschließlich) deren Verantwortung und (deren) Problem, ist schlichtweg nicht zutreffend.

Foto
1

Das Argument, dass ein seriöser Mailanbieter sichere Passwörter braucht ist sehr nachvollziehbar!

Allerdings scheint es so, dass Passwörter sogar zu lang sein können, gleichzeitig aber auch nur siebenstellige(!) PWs möglich sind? Umlaute scheinen leider auch momentan rauszufallen.

Ich würde mich freuen wenn die Richtlinien mittelfristig geändert würden. Vielleicht wäre es möglich die Mindestlänge zu erhöhen und UTF-8 zu erlauben. Ersteres dürfte wohl nur ein paar Klicks entfernt sein, zweiteres könnte komplexer sein. Allerdings will ich mir auch nicht anmaßen zu wissen wie man einen Mailservice mit >99,9% Uptime zu fahren hat und ob man so etwas sensibles im laufenden Betrieb 'mal eben' ändern kann.

Vielen Dank für alles andere! Ihr Angebot ist echt super!

Foto
1

Kurze Gegenfrage die keiner Antwort bedarf:


Welchen immensen Support-Aufwand verursacht es, wenn wir UTF-8 und Umlaute zulassen und Leute sich $sonstwo im Urlaub befinden?


Welchen immensen massiven Ärger hochgradig wütender, diskutierender und ggf. mit Anwalt drohener Nutzer haben wir, wenn User sich durch Sonder- und Schmutzzeichenquatsch aus ihrem Postfach ausgesperrt haben und keine Möglichkeit eines Passwortresets haben?


Sorry, aber Theorie und Praxis gehen hier auseinander. Ich werde keine Umlaute zulassen die die Nutzer dann auf fremdsprachlichen Tastaturen nicht eingeben können.

Foto
1

Das Alphabet der erlaubten Zeichen beliebig zu erweitern ist in der Tat nicht sonderlich zielführend. Das Argument der Zugänlichkeit in Ausnahmesituationen ist nicht von der Hand zu weisen.


Wichtig ist im Endeffekt die Sicherheit des gewählten Passworts. Und genau dies lässt sich aber durch starre Regeln nicht durchsetzen. Selbst mit UTF-8 lassen sich schlechte Passwörter bauen, z. B. wenn jemand denkt ein Passwort aus Emojis wäre viel schwerer zu knacken.


Ein gangbarer Weg wäre meines Erachtens eine transparente Messung der Entropie eines Passwortes wie es z. B. diese Library hier implementiert: https://github.com/dropbox/zxcvbn

Eine Demonstration gibt es hier: https://lowe.github.io/tryzxcvbn/

Somit kann der Nutzer auch selbst testen was ein gutes Passwort ausmacht.

Foto
1

Danke. Ähnliche Antworten habe ich erwartet.

Folgende Aussage von Herrn Heinlein wundert mich doch ein wenig

->"Wir sehen aber, dass viele Passwörter eklatant zu unsicher sind, wenn wir nicht etwas steuernd eingreifen".

Ich war bis heute wohl der irrigen Ansicht, daß ein Provider, egal von welchem System, die Passworte seiner User nicht kennt und diese verschlüsselt im System gespeichert werden.

Scheint wohl nicht so zu sein oder wie erkennen Sie die eklatante Unsicherheit einiger Passworte?

Foto
1

Wie Provider die Passwörter speichern, das kann jeder Provider sich selber aussuchen. In der Regel sollten Passwörter nicht im Klartext gespeichert werden, aber ... an Regeln muss man sich ja nicht halten.

Bei mailbox.org werden die Passwörter natürlich nicht im Klartext gespeichert. Alles andere wäre für einen Provider der auf Datenschutz setzt eine Bankrotterklärung. Das steht übrigens auch klar auf der Mailbox.org-Webseite unter "Sicherheit und Privacy" im Absatz "Verschlüsselter Zugriff auf Website und Postfach". Zitat von dort: "Übrigens: Wir speichern Ihr Passwort nicht im Klartext, sondern als gesalteter Hash. Damit kennen auch wir Ihr Zugangs-Passwort nicht."

An geschützte Passwörter kommt man aber als Admin zum Beispiel durch ausprobieren von den top-ten der meist genutzten Passwörter. Ich will nicht wissen, wie viele Leute bei Zugängen ohne Richtlinien sowas wie "geheim", "12345", "hallo" oder "passwort" eingeben.

Foto
1

In Ordnung. Ich kann es aber kaum glauben, daß die Passworte, die Sie unter den TOP 10 exemplarisch aufführen in der heutigen Zeit wirklich noch unter den TOP10 sind. Was mir persönlich an Ihrer Policy nicht so gefällt ist der Großbuchstabe aus den verschiedensten Gründen. Aber seis drum.


Damit beende ich das Thema von meiner Seite aus.

Foto
1

Auf unserer Hauskonferenz SLAC haben Andreas Bunten und Torsten Voss einen sehr lustiugen Vortrag dazu gehalten. Auf Folie 13 findet sich dazu was zu Passwörtern. Und dabei ging es immerhin um Accounts zur Systemadministration, nicht nur um Mailadressen...


Gezeigt wird, welche Passwörter Angreifer versuchen. Das sagt nicht aus, wie sie tatsächlich verwendet wurden. Andererseits würde man es nicht mit diesen Passwörtern versuchen wenn es nicht auch klappen würde...


Auch wenn es 5 Jahre her ist: Es hat sich nicht wirklich was geändert (denn Mensch bleibt Mensch) sieht man davon ab, daß mittlerweile softwareseitig auf die Vergabe besserer Passwörter durch Passwortrichtlinien geachtet wird...


8d2c53bf34003da309edf9c7f67bd4e6


Ganzer Vortrag auf https://www.heinlein-support.de/slac/2013/vortrag/ssh-angreifer-mit-honeypots-anlocken

Foto
1

Kurze Erklärung für alle: Wenn Provider die Passwörter gehasht (nicht lesbar) speichern, so MÜSSEN die Mailserver dieses Providers als Login-Möglichkeiten zwangsweise PLAIN oder LOGIN angeben.

Dabei wird das Passwort vom Client im Klartext (!) an den Provider geschickt. Vielleicht durch einen SSL-Tunnel, aber auf dem Server gelangt es im Klartext in den Server-Prozess.

Dieser kann dann das Passwort hashen und die beiden Hash vergleichen um den Login zu erlauben oder zu verbieten.

Selbstverständlich erfährt jeder Provider beim Login des Nutzers das jeweilige Passwort. Zwangsweise. Unabdingbar. Ein Config-Schalter und das Passwort steht im Logfile.

Ein in Berlin ansässiger Mail-Spinner (der einige Mailprovider betreibt...) hat in der Vergangenheit viele Vorträge und Schulungen gehalten in denen begründet wurde, warum es sicherer sein kann, wenn der Provider das Passwort im Klartext in den Datenbanken speichert. Dann kann der Admin das zwar ganz genauso sehen, als wenn er es beim Login abgreift, aber dann können die Server Challenge-Response-Verfahren (CRAM) anbieten, bei denen das Passwort dann nicht bei jedem SMTP/POP3/IMAP-Login durch die Weltgeschichte geschickt wird, so daß es von einem "Man in the middle" mitlesbar wäre -- beispielsweise weil viele Provider auch noch Logins ohne schützendes SSL zulassen. Passwörter gehen dort auch heute noch tatsächlich frei lesbar im Klartext durchs Netz und nur CRAM würde einen Schutz bieten.

Bei mailbox.org und allen Providern, die sich heute mal sicherheitstechnisch frisch gemacht haben, sind Logins ohne SSL-Tunnel verboten.

In DIESEN Fällen vertrete ich die Aufassung, daß gehashte Passwörter in den Datenbanken zu bevorzugen sind, da die Klartextpasswörter im SSL-Tunnel "ausreichend" sicher geschützt sind und es DANN (bei einem 100%igen SSL-Schutz) keine Notwendigkeit für CRAM-Verfahren und einer Klartextspeicherung bedarf.

Ich habe in der Vergangenheit aber 15 Jahre Vorträge gehalten mit der sinngemäßen Aussage: Wenn der Provider Security verstanden hat und seine Nutzer schützen will, dann speichert er Passwörter im Klartext...

Foto
2

Dieser Thread ist zwar schon paar Monate alt, aber ich wollte nicht extra einen neuen aufmachen. Auch ich bin heute auf das Passwortproblem gestoßen, als ich mein Passwort ändern wollte.

Meine Situation: Ich benutze einen Passwortmanager und alle meine Passwörter sind zufällig generiert aus 20 Zeichen (Buchstaben und Zahlen). Dies hat auch hier wunderbar funktioniert. Jetzt möchte ich mein Passwort in eins ändern, dass ich mir merken kann. Es soll ein grammatisch korrekter, deutscher Satz sein.


Beispiel (das ich nicht benutze!) DiefliegendePantoffelbautemorgen20Wolkenkratzer.


Das ist in meinen Augen ein ausreichend sicheres Passwort. Tatsächlich sind meine verwendeten Sätze noch länger und enthalten ausgedachte Wörter. Mailbox sagt mir "Fehler: Das Passwort ist zu einfach oder zu systematisch".

Nach ein bisschen ausprobieren habe ich festgestellt, dass ein 128 Zeichen langes zufälliges Passwort nicht akzeptiert wird, aber 4pf31kuHCen problemlos funktioniert. Vielleicht hat Mailbox.org hier eine andere Meinung, aber ich denke, dass mein erstes Beispiel ein besseres Passwort darstellt als mein zweites. Meine Meinung beruht vor allem auf die Erkenntisse, die das NIST veröffentlicht hat. (Darin sagt es unter anderem, dass Länge alles andere trumpft).

Deshalb meine Frage: Wird Mailbox.org in näherer Zukunft seine Passwortrichtlinien auf dem Prüfstand stellen? Für mich stellt es ein Problem dar, da ich dadurch nicht meine (in meinen Augen) sorgfältig ausgewählten Passwörter verwenden kann bzw. ich muss an denen so lange rumtweaken bis sie vom System akzeptiert werden.

Foto