WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

Du bist nicht angemeldet.

#1 20.02.2019 09:56:41

florian
Administrator

Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

(Engish text below)

Wir planen, in der kommenden Version die Passwortsicherheit zu optimieren. So wird es im Backend eine Art "Ampel" geben, die die Güte des Passworts anzeigt. es ist auch angedacht, einen Button zur automatischen Erzeugung von Passworten zu integrieren.

Was wir jetzt von der Community wissen möchten:
Sollen die Regeln für die Hinterlegung von Passworten verschärft werden, d.h. sollen zukünftig zu unsichere Passworte abgelehnt werden und nur noch Passworte möglich sein, die
- mindestens 8 Zeichen lang sind
- Groß- und Kleinbuchstaben aufweisen
- Zahlen aufweisen
- Sonder-/Satzzeichen aufweisen

oder soll es bei den aktuellen Passwortregeln bleiben und es bleibt jedem Benutzer/jeder Benutzerin selbst überlassen, wie sicher das Passwort ist?


--

We're currently working on the password security, in the upcoming version there will be a "password strenth-o-meter" which displays a progress bar  the strenth of an entered password. We're also thinking about adding a button to generate a secure password automatically.

What we would like to know:
Should the rules for passwords be more strict in the upcoming version, e.g. should passwords only accepted when
- their length is at lear 8 characters
- they countain small and capital letters
- they contain numbers
- they contain special characters

or should we keep the current password rules, so that each user can decide how save or unsave his/her password will be?

Sollen zukünftig Passworte strenger geprüft werden? | Should the password rules be more strict in the upcoming version?

  1. Ja | Yes
  2. Nein | No
  3. Egal | I don't care
Anzahl Stimmen: 20

Gäste haben keinen Zugriff auf Umfrageergebnisse


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#2 21.02.2019 09:10:40

berny
Mitglied

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

kann man das nicht mittels einem Parameter in der config steuern?

damit könnte der Administrator, der die Installation durchführt, die Passwortstärke festlegen.

ich persönlich mag diese Vorgaben nicht wirklich, es sollte doch jeder selber entscheiden können.

Offline

#3 21.02.2019 09:27:08

stefanek
Developer

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

Persönlich denke ich, dass 6 Zeichen als Vorgabe ein Minimum sein sollten.
Ansonsten sollte es nicht zu viele Vorgaben geben (wie mind. ein Sonderzeichen + mind. eine Ziffer + mind. einen Großbuchstaben etc.).
Sinnvoll ist es, es mit einer Art "Ampel" wieder zu spiegeln, ob das Passwort einigermaßen "sicher" ist, das animiert Leute dazu, sicherere Passwörter zu wählen, aber man sollte auch in der Lage sein, das Passwort zu speichern, wenn die Ampel z.B. auf "gelb" ist.

Christian


“Success is the progressive realization of a worthy ideal.” ― Earl Nightingale

Offline

Liked by:

stephano, cara

#4 22.02.2019 00:35:43

jean
Mitglied

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

ich würde - wie berny - eine abschaltbare Variante begrüßen, die nicht allzu viele Vorgaben macht und v.a. große Längen fordern.

Das andere Problem: eine richtige Ampel ist IMHO nicht ganz trivial, eigentlich müsste man da z.B. auch gegen alle bekannten, vermeintlich sicheren Passworte / Muster checken (weder 1234567890987654321 noch "correct horse battery staple" sind wirklich sicher, obwohl vermutlich die meisten im Netz vorhandenen Passwortbewertungs-Widgets das behaupten werden). Auf der anderen Seite: Perfektion ist toll, aber Kleinvieh hilft bestimmt auch schon mal weiter ...

Offline

#5 07.03.2019 16:27:09

cara
Mitglied

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

Eine Art Ampel wäre nicht dumm. Ich denke, man könnte die Vorgabe auf mindestens 8 Zeichen beschränken und den Rest dem User überlassen. Das Problem ist sicherlich, daß der Admin das Geschrei abbekommt, wenn ein Passwort geknackt wurde und die Wahrscheinlichkeit ist bei zu kurzen Passwörtern bestimmt größer als bei langen.

Ich meine, es muß ja nicht passieren, kann aber. Stefaneks Posting spricht mir aus der Seele.

Offline

#6 26.03.2019 11:43:24

stefanek
Developer

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

Hallo,

danke für den ganzen Input.

Laut den Ergebnissen der Umfrage (oben), wollen die meisten nicht unbedingt, dass die Passwortüberprüfung strenger wird.

Ich habe jetzt ein jQuery Plugin ausgearbeitet, welches 2 Möglichkeiten vorsieht:

(1) Erste Möglichkeit mit einer Art "Ampel". (Im Screenshot sichtbar als Balken mit der Farbe "orange".)
(2) Die zweite Möglichkeit neben der Ampel mit Hinweisen, was so ein sicheres Passwort alles beinhalten sollte.

Persönlich denke ich, dass die Voreinstellung mind. 6 Zeichen erfordern sollte.

Es wäre noch zu besprechen/festzulegen, was jeweils (1) und (2) an Eingaben zulassen sollte.
Wir könnten es so machen, dass (1) sehr "permissive" ist und alle möglichen Passwörter zulässt, solange sie aus mind. 6 Zeichen bestehen.
Die Variante (2) könnte all die im Screenshot aufgeführten ...

  • At least one letter

  • At least one capital letter

  • At least one number

  • Be at least 6 characters

  • At least 1 special character
    ( _ - ! # * + @ $ & : ~ )

... Vorraussetzungen erfordern, damit das Passwort akzeptiert wird.
Wobei ich denke, dass bei Variante (2) die mind. Länge auf 8 erhöht werden sollte.


Freue mich auf mehr Feedback und Input.

Gruß,
Christian

Beitrag geändert von stefanek (26.03.2019 11:45:22)


“Success is the progressive realization of a worthy ideal.” ― Earl Nightingale

Offline

#7 26.03.2019 13:39:57

berny
Mitglied

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

ich weiss nicht, wie du es jetzt genau anstellst  aber kann man das nicht so gestalten, dass in einer config angegeben werden kann
1) wie viele Zeichen ein Passwort haben muss (Vorgabe 6 oder 8, mindestens 6)
2) welche der gelisteten Möglichkeiten (Grossbuchstaben, Sonderzeichen usw) vorhanden sein müssen (true/false)

somit könnte jeder Betreiber selbst festlegen, wie sicher er das Passwort haben will.

nur ein Denkansatz....

Offline

#8 26.03.2019 14:03:25

stefanek
Developer

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

Hallo Berny.

Ich denke das wären zu viele Einstellungen.
Ich glaube, dass kaum jemand überhaupt von der "permissive" Variante (1) auf die etwas restriktivere umstellen wird.
Da noch die anderen Dinge voreinstellbar zu machen könnte zur Verwirrung führen.

Es wird also nur diese Einstellungen geben
PASSWORD_STRENGHT 1 oder
PASSWORD_STRENGHT 2

Wäre die obige Umfrage anders ausgefallen, mehr Interesse an strengerer Passwortüberprüfung, könnte man sich mehr Kopp machen, aber so sehe ich kaum Bedarf.

Gruß,
Christian

Beitrag geändert von stefanek (26.03.2019 14:04:00)


“Success is the progressive realization of a worthy ideal.” ― Earl Nightingale

Offline

Liked by:

berny

#9 26.03.2019 15:02:45

losttrip
Mitglied

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

Entschuldigung für die Google-Übersetzung
Englisch unter

Hier sind meine zwei Cent.

Wenn ich Kunden mit dem Administrator ihrer Website bekannt mache, sende ich ihnen den "Temp" -Loginnamen und das Passwort. Das temporäre Passwort ist immer etwas sicheres, zum Beispiel - qMa3x2!XKz#6
Ich bitte sie "Bitte anmelden und Passwort ändern". Ich betone immer "WÄHLEN SIE EIN STARKES UND SICHERES PASSWORT". Ich erkläre, was "stark und sicher" bedeutet und warum dies wichtig ist. Meiner Meinung nach ist dies so viel Hand halten, wie ich kann.

Und nach meiner Erfahrung würden die meisten Kunden, WENN sie das Passwort überhaupt ändern, ihr Passwort in etwas wie - alex123 ändern
Es ist nicht nur oft kein sicheres Passwort, sondern es ist oft das gleiche Passwort, das sie ALLES verwendet haben! (Facebook, E-Mail, Bank usw.)
Diese Kunden waren möglicherweise ärgerlich, wenn ich ihnen eine absolute NACHFRAGE gestellt hätte, um die Anforderungen eines SICHEREN Kennworts zu erfüllen, weil sie es gewohnt waren, zu tun, was sie wollten.

Aber ich denke, die Zeiten haben sich geändert, und jetzt, wo heute fast jede Website ein striktes, starkes Passwort benötigt, wäre diese Einschränkung viel mehr akzeptiert und vielleicht sogar respektiert. Wenn ein Kunde beispielsweise sein Geld sicher aufbewahren möchte, fühlt er sich viel sicherer, wenn seine Online-Bank ein sicheres Passwort benötigt. Wenn ein Kunde seine Website schützen möchte, sollte er das Gefühl haben, dass ein sicheres Passwort eine gute Idee ist.

Und da alle anderen aktuellen Anmeldekennwörter für Websites derzeit weniger wahrscheinlich sind, können sie sich weiterhin für ihren neuen Favoriten entscheiden - Alex$123 (derselbe, den sie jetzt auf Facebook, E-Mail, Bank und überall sonst verwenden).

Hoffe das hilft.


Here is my two cents.

When I introduce clients to the admin of their website, I send them their "temp" login name and password.  The temp password is always something secure looking, for example - qMa3x2!XKz#6
I ask them to please "login and change your password".  I always stress "CHOOSE A STRONG & SECURE PASSWORD".  I explain what "strong & secure" means, and why this is important.  In my opinion, this is as much hand holding as I can do.

And, from my past experience, most clients, IF they change the password at all, would change their password to something like - alex123
Not only is it often not a strong password, but it is often the same password that they used to EVERYTHING! (facebook, email, Bank, etc.)
Those clients might have been annoyed if I were to have put an absolute DEMAND on them to meet the requirements of a SECURE password, because they were used to doing whatever they liked.

But I think times have changes, and now that pretty much every website people use today requires a strict, strong password, this kind of restriction would be much more accepted and perhaps even respected.  For instance, if a client wants to keep their money safe, they feel much more secure when their online bank requires a secure password.  If a client wants to keep their website safe, they should be made to feel that a secure password is a good idea?

And, since all their other current website login passwords are less likely to be alex123 now, they can still decide to use their new favourite - Alex$123 (the same one they now use on facebook, email, Bank, and everywhere else)

Hope this helps.

Offline

#10 26.03.2019 15:07:19

losttrip
Mitglied

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

...so I guess what I am saying is that I would prefer to either:

  1. Have strict password rules in place

  2. or, have a choice to put strict password rules in place.

I, personally, would always set it to require strict passwords.  I would then happily deal with any clients who might be unhappy with this requirement.  I have a feeling that there would not be an issue with my clients.

Offline

#11 26.03.2019 15:47:45

stefanek
Developer

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

You are right with what you're saying and I totally agree.
In my opinion, but it wasn't talked about in the dev-team, we could ship the CMS with the more restrictive password rules.
Since changing to more permissive rules it's only a matter of seconds, there should be no issue.
At the other hand, the same applies to anyone who wants more restrictive password rules should the CMS be shipped with the permissive ones.

Kind regards,
Christian


“Success is the progressive realization of a worthy ideal.” ― Earl Nightingale

Offline

Liked by:

mrbaseman

#12 11.09.2019 16:18:33

pfreud01
Mitglied

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

Hallo Gemeinde,
verwende für eine Schulhomepage ein allgemeines Passwort für die Eltern, das schuljährlich geändert wird. Damit sich diese das PW gut merken können (und weil ein einfaches PW hier ausreicht, um nur die dahinter liegenden Pressetexte lesen zu können), war das immer nur aus 4 Buchstaben zusammengesetzt. Seit WBCE 1.4 verweigert das CMS aber nur 4 Buchstaben mit dem Hinweis "zu kurz". Wo kann ich das ändern, dass ich trotzdem ein so kurzes Wuschpasswort eingeben kann???
LG pfreud01

Offline

#13 11.09.2019 16:29:25

colinax
Developer

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

Da es eine Schulseite ist sollten die Einstellungen für ein sicheres PW wegen DSGVO und co. bleiben.

Die neue PW länge sind 6 Zeichen, dass müsste das Script eigentlich anzeigen.

Offline

#14 11.09.2019 16:43:21

pfreud01
Mitglied

Re: Umfrage: Passwortsicherheit 1.4 / Poll: Password security in 1.4

Ich geb dir recht. In Anbetracht dessen, dass da nichts großartiges im internen Bereich zu finden ist, halte ich es für akzeptabel für diesen einen Eltern-Nur-Lesen-Account. Den hab ich jetzt geändert und anschließend wieder auf 6 umgestellt. Die paar weiteren Benutzer mussten/müssen längere nehmen und mein eigenes Adminpasswort hat ohnehin viel mehr als 6.  wink

Das PW für das nächste SJ werden wir länger gestalten. Diesesmal wurde es nur schon kommuniziert, bevor ichs ändern konnte, deswegen habe ich diese Sicherheitsfunktion erst "endteckt".  lol

Danke, hier wird einem echt schnell geholfen.

Offline

Fußzeile des Forums

up