Passwortrichtlinie bei der Installation

  • App
    WoltLab Suite Core

    Bei der Installation der 5.2 RC2 fiel mir auf, dass für den administrativen Benutzer keinerlei Passwortrichtlinie gilt. So kann das Passwort 1 für diesen Benutzer gewählt werden.

    Zur Steigerung der Sicherheit sollte gerade für diesen Benutzer ein sicheres Kennwort gewählt werden. Ich würde es deshalb begrüßen, wenn dies beispielsweise durch die Erzwingung eines Passwortes der Länge 8 Zeichen (was für Benutzer der Standardwert ist) umgesetzt wird.

  • Alexander Ebert

    Changed the title of the thread from “Keinerlei Passwortrichtlinie bei der Installation” to “Passwortrichtlinie bei der Installation”.
  • denn er setzt bei der Einrichtung jede Menge mehr oder weniger sichere Passwörter, FTP, Datenbank, etc.

    Sehr Naives Denken deinerseits. Nur weil du es so machst, heisst es nicht das es jeder macht. Man muss immer mit der dämlichkeit der anderen rechnen ;)

    Nur weil ich vorschriftsmässig mich im Strassenverkehr verhalte, schützt es mich nicht davor wenn jemand anderes meint er hat sein Fahrzeug unter Kontrolle weil es ein Motor hat der von alleine läuft. Ich nenne es vorausschauendes Mitdenken in dem Fall.

    Ich mache keine Fehler.......

    Ich erschaffe Katastrophen

  • Wir sprechen hier nicht von irgendwelchen Benutzern, sondern von den Betreibern einer Community, und wenn die ein fünfstelliges Passwort verwenden, dann werden sie einen guten Grund dafür haben oder auch nicht, aber das ist alleine ihre Verantwortung. Eine Empfehlung kann natürlich nicht schaden. Dann sollten das aber keine 8 Zeichen sein, sondern schon mindestens 25 Zeichen. Alles drunter ist ein schlechter Witz.

  • Eine Empfehlung kann natürlich nicht schaden.

    Ich fände diese auch keine schlechte Idee, wenn man sich Registriert kann man ja ein sicheres Passwort vorgeschlagen bekommen. Oder ist dieses nicht Umsetzbar?

  • Finde ich relativ unnötig. Wer als Admin von sich aus kein sicheres Passwort nutzt, wird über kurz oder lang ganz andere Probleme bekommen.

  • lang ganz andere Probleme bekommen.

    Das hatten wir erst gerade das Admins nicht gerade sichere PW hatten ;) Also wie ich sage. Immer mit der dämlichkeit der anderen rechnen und warum nicht in die Installationsroutine mit einbauen. Da wird eh einiges abgefragt :) Also da macht ein sicheres PW für den Admin den Kohl nicht fett.

    Ich mache keine Fehler.......

    Ich erschaffe Katastrophen

  • Immer mit der dämlichkeit der anderen rechnen und warum nicht in die Installationsroutine mit einbauen.

    Weil man einen Administrator nicht so bevormunden sollte. Wenn man sich über die Dämlichkeit Anderer in diesem Kontext Gedanken macht, dürfte man eine solche Software gar nicht für jeden zur Verfügung stellen ;)


    Ich halte aber auch generell nichts von diesen Vorgaben für Passwörter. 8 Zeichen Länge ist z.B. alleine witzlos, weil aaaaaaaa ein genauso schlechtes Passwort ist wie ababab. Also müsste man noch mindestens die Nutzung von Buchstaben und Zahlen erzwingen, besser noch Groß- und Kleinschreibung und Sonderzeichen. Vielleicht möchte Jemand aber ein 30 stelliges Passwort aus Buchstaben und Zahlen wählen?


    Zudem nützt das beste Passwort nichts, wenn die Leute auf Pishing herein fallen, sich über Plugins etwaige Sicherheitslücken in Ihre Software einbauen, und und und. Also wie gesagt, im Hinblick darauf dass es hier um einen Administrator geht, halte ich das für sinnlos.

  • Finde ich relativ unnötig. Wer als Admin von sich aus kein sicheres Passwort nutzt, wird über kurz oder lang ganz andere Probleme bekommen.

    Genau, und deswegen kann man dem Admin nicht dabei unterstützen, zumindest im WSC ein sicheres Passwort zu setzen?


    Gehen wir mal davon aus, dass ein Administrator nicht so viel Ahnung hat. Er holt sich einen Webspace. Dort sind die Passwörter in der Regel vorgegeben, dh. Er muss selber nichts setzen. Bei der Erstellung der Datenbank ist das in der Regel auch so. Erst bei der Installation des Forums muss er zum ersten Mal Benutzername und Passwort ausdenken. Da es ja vielleicht nur ein Test ist, nimmt er Admin und 1234 für das Passwort. Dann geht das System aber doch in den Produktivbetrieb über... Usw.


    Ich sehe also keinen Grund, wieso man den Administrator nicht bei der Wahl eines guten Passwortes unterstützen kann. Natürlich hilft ein langes, unsicheres Passwort wie "aaaaaaaa" nicht weiter, aber ich habe die Mindestlänge ja auch nur als Anfang vorgeschlagen.

    Edited once, last by GodMod ().

  • Mindestlänge ja, von anderen Anforderungen ist abzuraten. Und in anderen Softwares geht der Trend ja auch dahin, solche Anforderungen zu entfernen. Ich verlinke jetzt nur auf ein Issue einer anderen Software, wo die Passwort-Anforderungen vor kurzem erst entfernt worden sind, weil in der Beschreibung mehrere Links zu finden sind (inkl. XKCD Comic ;)) und ich den Kommentar nicht komplett "klauen" möchte. Daher bitte einfach da weiterlesen.


    https://github.com/pimcore/pimcore/issues/5107

    "Wir finden Worte, die wie Geschosse treffen, wir leisten Schwüre, die niemals zerbrechen. Wir steh'n zusammen auch wenn man uns nicht mag, wir leben schneller, schneller in den Tag. Unsere Metaphern sind teuflische Ikonen, harte Aphorismen, gewagte Abstraktionen. Ein Strauß von Versen im Idiomenbeet, verbale Blüten wie es geschrieben steht."


    (Saltatio Mortis)

  • und deswegen kann man dem Admin nicht dabei unterstützen

    Dafür würde aber eine entsprechende Anzeige bezüglich der Sicherheit des eingegebenen Passwortes ausreichen, ganze ohne eingebaute Limitierungen.


    Ich bezweifel aber so oder so, dass Woltlab sowas umsetzten wird.

    • Official Post

    Ein Gedanke der mir dazu kam: Via JavaScript wird geprüft ob das Passwort (a) sehr kurz ist oder (b) in der Liste der typischen Passwörter enthalten ist. So wird vor dem Absenden darauf hingewiesen, falls das Passwört schwach ist, aber es steht dem Betreiber frei, diese Warnung zu ignorieren.

    Alexander Ebert
    Senior Developer WoltLab® GmbH

  • Finde die aktuelle Lösung die Beste. Ich habe genau diese verrückte 1 als Admin-Passwort gewählt. Bei Installationen, die nur zum Test für 5 min Lebenszeit gemacht werden, um eine Funktion zu testen, ist die lösung perfekt. Woltlabn hat das immer gut gemacht, den Betreibern keinen Zwang aufzuerlegen, jedem sein Vorgehen selbst zu überlassen. Würde dies als Zwang und sinnlose Einschränkung betrachten.


    Wenn ein Admin in einer produktiven, öffentlichen Instanz nicht befähigt ist, ein sicheres Passwort zu wählen, ist er des Admins nicht wert, sollte aus Gründen der Selbstgefährdung und Gefährdung anderer die Lizenz aberkannt werden.


    Bitte nur als Plugin von Softcr. und bei Wolt. so lassen wie es ist!

  • Ein Gedanke der mir dazu kam: Via JavaScript wird geprüft ob das Passwort (a) sehr kurz ist oder (b) in der Liste der typischen Passwörter enthalten ist. So wird vor dem Absenden darauf hingewiesen, falls das Passwört schwach ist, aber es steht dem Betreiber frei, diese Warnung zu ignorieren.

    Ja genau so, hatte ich mir das auch gedacht.🙂

  • Unser Plugin zwingt auch niemanden. Man muss nur noch einmal explizit bestätigen, dass man sich des Risikos bewusst ist, ein schwaches Kennwort zu verwenden. Alternativ kann der Admin erzwingen, ein sicheres Kennwort zu nutzen. Aber von Haus aus ist das nur informativ gestaltet. Wir verwenden die HIBP-Api dafür.

  • Marcel Werk

    Added the Label Won’t be implemented

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!