Und dieses Passwort könnte auch ausreichend sein. Nein, ich denke da sollte man den Betreiber nicht bevormunden, denn er setzt bei der Einrichtung jede Menge mehr oder weniger sichere Passwörter, FTP, Datenbank, etc.
denn er setzt bei der Einrichtung jede Menge mehr oder weniger sichere Passwörter, FTP, Datenbank, etc.
Sehr Naives Denken deinerseits. Nur weil du es so machst, heisst es nicht das es jeder macht. Man muss immer mit der dämlichkeit der anderen rechnen 
Nur weil ich vorschriftsmässig mich im Strassenverkehr verhalte, schützt es mich nicht davor wenn jemand anderes meint er hat sein Fahrzeug unter Kontrolle weil es ein Motor hat der von alleine läuft. Ich nenne es vorausschauendes Mitdenken in dem Fall.
Wir sprechen hier nicht von irgendwelchen Benutzern, sondern von den Betreibern einer Community, und wenn die ein fünfstelliges Passwort verwenden, dann werden sie einen guten Grund dafür haben oder auch nicht, aber das ist alleine ihre Verantwortung. Eine Empfehlung kann natürlich nicht schaden. Dann sollten das aber keine 8 Zeichen sein, sondern schon mindestens 25 Zeichen. Alles drunter ist ein schlechter Witz.
Eine Empfehlung kann natürlich nicht schaden.
Ich fände diese auch keine schlechte Idee, wenn man sich Registriert kann man ja ein sicheres Passwort vorgeschlagen bekommen. Oder ist dieses nicht Umsetzbar?
War zwar jetzt nicht meine Idee, mehr so ein Hinweis, vergib doch bitte ein ausreichend sicheres Passwort, aber ja, das hat auch was.
Zumindest für User gibt es von uns bald eine Lösung. Allerdings nur angelehnt an die Grundidee.
Finde ich relativ unnötig. Wer als Admin von sich aus kein sicheres Passwort nutzt, wird über kurz oder lang ganz andere Probleme bekommen.
lang ganz andere Probleme bekommen.
Das hatten wir erst gerade das Admins nicht gerade sichere PW hatten Also wie ich sage. Immer mit der dämlichkeit der anderen rechnen und warum nicht in die Installationsroutine mit einbauen. Da wird eh einiges abgefragt 
Also da macht ein sicheres PW für den Admin den Kohl nicht fett.
Immer mit der dämlichkeit der anderen rechnen und warum nicht in die Installationsroutine mit einbauen.
Weil man einen Administrator nicht so bevormunden sollte. Wenn man sich über die Dämlichkeit Anderer in diesem Kontext Gedanken macht, dürfte man eine solche Software gar nicht für jeden zur Verfügung stellen
Ich halte aber auch generell nichts von diesen Vorgaben für Passwörter. 8 Zeichen Länge ist z.B. alleine witzlos, weil aaaaaaaa ein genauso schlechtes Passwort ist wie ababab. Also müsste man noch mindestens die Nutzung von Buchstaben und Zahlen erzwingen, besser noch Groß- und Kleinschreibung und Sonderzeichen. Vielleicht möchte Jemand aber ein 30 stelliges Passwort aus Buchstaben und Zahlen wählen?
Zudem nützt das beste Passwort nichts, wenn die Leute auf Pishing herein fallen, sich über Plugins etwaige Sicherheitslücken in Ihre Software einbauen, und und und. Also wie gesagt, im Hinblick darauf dass es hier um einen Administrator geht, halte ich das für sinnlos.
Finde ich relativ unnötig. Wer als Admin von sich aus kein sicheres Passwort nutzt, wird über kurz oder lang ganz andere Probleme bekommen.
Genau, und deswegen kann man dem Admin nicht dabei unterstützen, zumindest im WSC ein sicheres Passwort zu setzen?
Gehen wir mal davon aus, dass ein Administrator nicht so viel Ahnung hat. Er holt sich einen Webspace. Dort sind die Passwörter in der Regel vorgegeben, dh. Er muss selber nichts setzen. Bei der Erstellung der Datenbank ist das in der Regel auch so. Erst bei der Installation des Forums muss er zum ersten Mal Benutzername und Passwort ausdenken. Da es ja vielleicht nur ein Test ist, nimmt er Admin und 1234 für das Passwort. Dann geht das System aber doch in den Produktivbetrieb über... Usw.
Ich sehe also keinen Grund, wieso man den Administrator nicht bei der Wahl eines guten Passwortes unterstützen kann. Natürlich hilft ein langes, unsicheres Passwort wie "aaaaaaaa" nicht weiter, aber ich habe die Mindestlänge ja auch nur als Anfang vorgeschlagen.
Mindestlänge ja, von anderen Anforderungen ist abzuraten. Und in anderen Softwares geht der Trend ja auch dahin, solche Anforderungen zu entfernen. Ich verlinke jetzt nur auf ein Issue einer anderen Software, wo die Passwort-Anforderungen vor kurzem erst entfernt worden sind, weil in der Beschreibung mehrere Links zu finden sind (inkl. XKCD Comic ) und ich den Kommentar nicht komplett "klauen" möchte. Daher bitte einfach da weiterlesen.
und deswegen kann man dem Admin nicht dabei unterstützen
Dafür würde aber eine entsprechende Anzeige bezüglich der Sicherheit des eingegebenen Passwortes ausreichen, ganze ohne eingebaute Limitierungen.
Ich bezweifel aber so oder so, dass Woltlab sowas umsetzten wird.
Ganz ehrlich für eine lokale Testinstallation verwende ich ebenfalls nur ein vierstelliges Passwort. Und das kann ich euch auch gerne verraten: Test.
Ein Gedanke der mir dazu kam: Via JavaScript wird geprüft ob das Passwort (a) sehr kurz ist oder (b) in der Liste der typischen Passwörter enthalten ist. So wird vor dem Absenden darauf hingewiesen, falls das Passwört schwach ist, aber es steht dem Betreiber frei, diese Warnung zu ignorieren.
Finde die aktuelle Lösung die Beste. Ich habe genau diese verrückte 1 als Admin-Passwort gewählt. Bei Installationen, die nur zum Test für 5 min Lebenszeit gemacht werden, um eine Funktion zu testen, ist die lösung perfekt. Woltlabn hat das immer gut gemacht, den Betreibern keinen Zwang aufzuerlegen, jedem sein Vorgehen selbst zu überlassen. Würde dies als Zwang und sinnlose Einschränkung betrachten.
Wenn ein Admin in einer produktiven, öffentlichen Instanz nicht befähigt ist, ein sicheres Passwort zu wählen, ist er des Admins nicht wert, sollte aus Gründen der Selbstgefährdung und Gefährdung anderer die Lizenz aberkannt werden.
Bitte nur als Plugin von Softcr. und bei Wolt. so lassen wie es ist!
Ein Gedanke der mir dazu kam: Via JavaScript wird geprüft ob das Passwort (a) sehr kurz ist oder (b) in der Liste der typischen Passwörter enthalten ist. So wird vor dem Absenden darauf hingewiesen, falls das Passwört schwach ist, aber es steht dem Betreiber frei, diese Warnung zu ignorieren.
Ja genau so, hatte ich mir das auch gedacht.🙂
Unser Plugin zwingt auch niemanden. Man muss nur noch einmal explizit bestätigen, dass man sich des Risikos bewusst ist, ein schwaches Kennwort zu verwenden. Alternativ kann der Admin erzwingen, ein sicheres Kennwort zu nutzen. Aber von Haus aus ist das nur informativ gestaltet. Wir verwenden die HIBP-Api dafür.
Das ist eine Lösung die alle Seiten ohne Zwang bedient.
Verpflichtend finde ich auch nicht gut genau aus dem Grund einer testinstallation welche so oder so verschlossen liegt. Da ist die Idee von SoftCreatR sehr gut gelöst
Don’t have an account yet? Register yourself now and be a part of our community!
