WBCE CMS – Way Better Content Editing.
Du bist nicht angemeldet.
(Engish text below)
Wir planen, in der kommenden Version die Passwortsicherheit zu optimieren. So wird es im Backend eine Art "Ampel" geben, die die Güte des Passworts anzeigt. es ist auch angedacht, einen Button zur automatischen Erzeugung von Passworten zu integrieren.
Was wir jetzt von der Community wissen möchten:
Sollen die Regeln für die Hinterlegung von Passworten verschärft werden, d.h. sollen zukünftig zu unsichere Passworte abgelehnt werden und nur noch Passworte möglich sein, die
- mindestens 8 Zeichen lang sind
- Groß- und Kleinbuchstaben aufweisen
- Zahlen aufweisen
- Sonder-/Satzzeichen aufweisen
oder soll es bei den aktuellen Passwortregeln bleiben und es bleibt jedem Benutzer/jeder Benutzerin selbst überlassen, wie sicher das Passwort ist?
--
We're currently working on the password security, in the upcoming version there will be a "password strenth-o-meter" which displays a progress bar the strenth of an entered password. We're also thinking about adding a button to generate a secure password automatically.
What we would like to know:
Should the rules for passwords be more strict in the upcoming version, e.g. should passwords only accepted when
- their length is at lear 8 characters
- they countain small and capital letters
- they contain numbers
- they contain special characters
or should we keep the current password rules, so that each user can decide how save or unsave his/her password will be?
Gäste haben keinen Zugriff auf Umfrageergebnisse
Code allein macht nicht glücklich. Jetzt spenden!
Offline
kann man das nicht mittels einem Parameter in der config steuern?
damit könnte der Administrator, der die Installation durchführt, die Passwortstärke festlegen.
ich persönlich mag diese Vorgaben nicht wirklich, es sollte doch jeder selber entscheiden können.
Offline
Persönlich denke ich, dass 6 Zeichen als Vorgabe ein Minimum sein sollten.
Ansonsten sollte es nicht zu viele Vorgaben geben (wie mind. ein Sonderzeichen + mind. eine Ziffer + mind. einen Großbuchstaben etc.).
Sinnvoll ist es, es mit einer Art "Ampel" wieder zu spiegeln, ob das Passwort einigermaßen "sicher" ist, das animiert Leute dazu, sicherere Passwörter zu wählen, aber man sollte auch in der Lage sein, das Passwort zu speichern, wenn die Ampel z.B. auf "gelb" ist.
Christian
“Success is the progressive realization of a worthy ideal.” ― Earl Nightingale
Offline
stephano, cara
ich würde - wie berny - eine abschaltbare Variante begrüßen, die nicht allzu viele Vorgaben macht und v.a. große Längen fordern.
Das andere Problem: eine richtige Ampel ist IMHO nicht ganz trivial, eigentlich müsste man da z.B. auch gegen alle bekannten, vermeintlich sicheren Passworte / Muster checken (weder 1234567890987654321 noch "correct horse battery staple" sind wirklich sicher, obwohl vermutlich die meisten im Netz vorhandenen Passwortbewertungs-Widgets das behaupten werden). Auf der anderen Seite: Perfektion ist toll, aber Kleinvieh hilft bestimmt auch schon mal weiter ...
Offline
Eine Art Ampel wäre nicht dumm. Ich denke, man könnte die Vorgabe auf mindestens 8 Zeichen beschränken und den Rest dem User überlassen. Das Problem ist sicherlich, daß der Admin das Geschrei abbekommt, wenn ein Passwort geknackt wurde und die Wahrscheinlichkeit ist bei zu kurzen Passwörtern bestimmt größer als bei langen.
Ich meine, es muß ja nicht passieren, kann aber. Stefaneks Posting spricht mir aus der Seele.
Offline
Hallo,
danke für den ganzen Input.
Laut den Ergebnissen der Umfrage (oben), wollen die meisten nicht unbedingt, dass die Passwortüberprüfung strenger wird.
Ich habe jetzt ein jQuery Plugin ausgearbeitet, welches 2 Möglichkeiten vorsieht:
(1) Erste Möglichkeit mit einer Art "Ampel". (Im Screenshot sichtbar als Balken mit der Farbe "orange".)
(2) Die zweite Möglichkeit neben der Ampel mit Hinweisen, was so ein sicheres Passwort alles beinhalten sollte.
Persönlich denke ich, dass die Voreinstellung mind. 6 Zeichen erfordern sollte.
Es wäre noch zu besprechen/festzulegen, was jeweils (1) und (2) an Eingaben zulassen sollte.
Wir könnten es so machen, dass (1) sehr "permissive" ist und alle möglichen Passwörter zulässt, solange sie aus mind. 6 Zeichen bestehen.
Die Variante (2) könnte all die im Screenshot aufgeführten ...
At least one letter
At least one capital letter
At least one number
Be at least 6 characters
At least 1 special character
( _ - ! # * + @ $ & : ~ )
... Vorraussetzungen erfordern, damit das Passwort akzeptiert wird.
Wobei ich denke, dass bei Variante (2) die mind. Länge auf 8 erhöht werden sollte.
Freue mich auf mehr Feedback und Input.
Gruß,
Christian
Beitrag geändert von stefanek (26.03.2019 12:45:22)
“Success is the progressive realization of a worthy ideal.” ― Earl Nightingale
Offline
ich weiss nicht, wie du es jetzt genau anstellst aber kann man das nicht so gestalten, dass in einer config angegeben werden kann
1) wie viele Zeichen ein Passwort haben muss (Vorgabe 6 oder 8, mindestens 6)
2) welche der gelisteten Möglichkeiten (Grossbuchstaben, Sonderzeichen usw) vorhanden sein müssen (true/false)
somit könnte jeder Betreiber selbst festlegen, wie sicher er das Passwort haben will.
nur ein Denkansatz....
Offline
Hallo Berny.
Ich denke das wären zu viele Einstellungen.
Ich glaube, dass kaum jemand überhaupt von der "permissive" Variante (1) auf die etwas restriktivere umstellen wird.
Da noch die anderen Dinge voreinstellbar zu machen könnte zur Verwirrung führen.
Es wird also nur diese Einstellungen geben
PASSWORD_STRENGHT 1 oder
PASSWORD_STRENGHT 2
Wäre die obige Umfrage anders ausgefallen, mehr Interesse an strengerer Passwortüberprüfung, könnte man sich mehr Kopp machen, aber so sehe ich kaum Bedarf.
Gruß,
Christian
Beitrag geändert von stefanek (26.03.2019 15:04:00)
“Success is the progressive realization of a worthy ideal.” ― Earl Nightingale
Offline
berny
Entschuldigung für die Google-Übersetzung
Englisch unter
Hier sind meine zwei Cent.
Wenn ich Kunden mit dem Administrator ihrer Website bekannt mache, sende ich ihnen den "Temp" -Loginnamen und das Passwort. Das temporäre Passwort ist immer etwas sicheres, zum Beispiel - qMa3x2!XKz#6
Ich bitte sie "Bitte anmelden und Passwort ändern". Ich betone immer "WÄHLEN SIE EIN STARKES UND SICHERES PASSWORT". Ich erkläre, was "stark und sicher" bedeutet und warum dies wichtig ist. Meiner Meinung nach ist dies so viel Hand halten, wie ich kann.
Und nach meiner Erfahrung würden die meisten Kunden, WENN sie das Passwort überhaupt ändern, ihr Passwort in etwas wie - alex123 ändern
Es ist nicht nur oft kein sicheres Passwort, sondern es ist oft das gleiche Passwort, das sie ALLES verwendet haben! (Facebook, E-Mail, Bank usw.)
Diese Kunden waren möglicherweise ärgerlich, wenn ich ihnen eine absolute NACHFRAGE gestellt hätte, um die Anforderungen eines SICHEREN Kennworts zu erfüllen, weil sie es gewohnt waren, zu tun, was sie wollten.
Aber ich denke, die Zeiten haben sich geändert, und jetzt, wo heute fast jede Website ein striktes, starkes Passwort benötigt, wäre diese Einschränkung viel mehr akzeptiert und vielleicht sogar respektiert. Wenn ein Kunde beispielsweise sein Geld sicher aufbewahren möchte, fühlt er sich viel sicherer, wenn seine Online-Bank ein sicheres Passwort benötigt. Wenn ein Kunde seine Website schützen möchte, sollte er das Gefühl haben, dass ein sicheres Passwort eine gute Idee ist.
Und da alle anderen aktuellen Anmeldekennwörter für Websites derzeit weniger wahrscheinlich sind, können sie sich weiterhin für ihren neuen Favoriten entscheiden - Alex$123 (derselbe, den sie jetzt auf Facebook, E-Mail, Bank und überall sonst verwenden).
Hoffe das hilft.
Here is my two cents.
When I introduce clients to the admin of their website, I send them their "temp" login name and password. The temp password is always something secure looking, for example - qMa3x2!XKz#6
I ask them to please "login and change your password". I always stress "CHOOSE A STRONG & SECURE PASSWORD". I explain what "strong & secure" means, and why this is important. In my opinion, this is as much hand holding as I can do.
And, from my past experience, most clients, IF they change the password at all, would change their password to something like - alex123
Not only is it often not a strong password, but it is often the same password that they used to EVERYTHING! (facebook, email, Bank, etc.)
Those clients might have been annoyed if I were to have put an absolute DEMAND on them to meet the requirements of a SECURE password, because they were used to doing whatever they liked.
But I think times have changes, and now that pretty much every website people use today requires a strict, strong password, this kind of restriction would be much more accepted and perhaps even respected. For instance, if a client wants to keep their money safe, they feel much more secure when their online bank requires a secure password. If a client wants to keep their website safe, they should be made to feel that a secure password is a good idea?
And, since all their other current website login passwords are less likely to be alex123 now, they can still decide to use their new favourite - Alex$123 (the same one they now use on facebook, email, Bank, and everywhere else)
Hope this helps.
Offline
...so I guess what I am saying is that I would prefer to either:
Have strict password rules in place
or, have a choice to put strict password rules in place.
I, personally, would always set it to require strict passwords. I would then happily deal with any clients who might be unhappy with this requirement. I have a feeling that there would not be an issue with my clients.
Offline
You are right with what you're saying and I totally agree.
In my opinion, but it wasn't talked about in the dev-team, we could ship the CMS with the more restrictive password rules.
Since changing to more permissive rules it's only a matter of seconds, there should be no issue.
At the other hand, the same applies to anyone who wants more restrictive password rules should the CMS be shipped with the permissive ones.
Kind regards,
Christian
“Success is the progressive realization of a worthy ideal.” ― Earl Nightingale
Offline
mrbaseman
Hallo Gemeinde,
verwende für eine Schulhomepage ein allgemeines Passwort für die Eltern, das schuljährlich geändert wird. Damit sich diese das PW gut merken können (und weil ein einfaches PW hier ausreicht, um nur die dahinter liegenden Pressetexte lesen zu können), war das immer nur aus 4 Buchstaben zusammengesetzt. Seit WBCE 1.4 verweigert das CMS aber nur 4 Buchstaben mit dem Hinweis "zu kurz". Wo kann ich das ändern, dass ich trotzdem ein so kurzes Wuschpasswort eingeben kann???
LG pfreud01
Offline
Da es eine Schulseite ist sollten die Einstellungen für ein sicheres PW wegen DSGVO und co. bleiben.
Die neue PW länge sind 6 Zeichen, dass müsste das Script eigentlich anzeigen.
Offline
Ich geb dir recht. In Anbetracht dessen, dass da nichts großartiges im internen Bereich zu finden ist, halte ich es für akzeptabel für diesen einen Eltern-Nur-Lesen-Account. Den hab ich jetzt geändert und anschließend wieder auf 6 umgestellt. Die paar weiteren Benutzer mussten/müssen längere nehmen und mein eigenes Adminpasswort hat ohnehin viel mehr als 6.
Das PW für das nächste SJ werden wir länger gestalten. Diesesmal wurde es nur schon kommuniziert, bevor ichs ändern konnte, deswegen habe ich diese Sicherheitsfunktion erst "endteckt".
Danke, hier wird einem echt schnell geholfen.
Offline