Passwort ändern hat keinen Hinweis wie das neue Passwort aussehen soll

Ja deswegen ist es mir ja aufgefallen, der Error sagt nur "geht nicht." Die Information "Mind. 6 max 30 Zeichen Länge inklusive 2 Sonderzeichen (außer spitzen Klammern & Tilde) oder Zahlen und Klein-/Großbuchstaben" wird nicht im Error und auch nicht an der Stelle, an der man sein Passwort ändern kann erwähnt. Bitte nachbessern

 

Warum wurde das Passwort nur auf 30 Zeichen reduziert? Am Ende wird doch eh nur ein Hash aus Passwort und Salt draus das eh immer die gleiche Länge für alle Benutzer beibehält.

Ich hatte auch das Problem wie der Listoric, kein Hinweis über die Vorraussetzungen die das Passwort erfüllen soll. Da Sie behauptet haben, es gäbe eines, habe ich auch darauf geachtet ob vielleicht ein Javascript crasht, aber auch da keins. Verwendet für die Passwort-Rückstellung wurde die "Einstellungsseite" der Hauptseite.

Der Benutzer erfährt beim absenden von alten/neuen Passwörtern nur, das es nicht geklappt hat. Aber erfährt nicht, was er beachten soll.

 

Hey Mary,
ich habe das gerade auch mal probiert und bekomme auch keinen Hinweis.
Ich bin über die Startseite und dann auf "Meine Einstellungen" gegangen. Wenn ich dort ein ungültiges Passwort eingebe, Slided die Seite hoch und zeigt folgendes an:

 

Ich glaube es geht ihm nicht um die Gültigkeit des Passworts, sondern den zu Grunde liegenden Vorraussetzungen. Bitte teile den Entwicklern mit, die sollten sobald man das Passwortfeld in den Fokus nimmt, einen Tooltip oder Infobox darüber, drunter oder seitlich anzeigen, in welchem die Vorrausetzungen geklärt sind:

Damit weiß der Benutzer schon vorher was er darf und was nicht. Ich zum Beispiel komme mindestens immer mit 32 bis 64 Zeichen angetanzt. Wenn mir dann ein System sagt: "Ne, ist nicht!", suche ich meist die Konditionen und diese Fehlen halt noch auf der Seite.

 

@Mary Marx
Wieso die Zeichenbeschränkung? Davon abgesehen das ich ein Minimum von 6 Zeichen für zu niedrig halte (12 sollten es mindestens sein), ist eine maximal Länge doch völliger Käse. Das Passwort sollte doch eh als MD5-Hashwert gespeichert werden (hoffe ich doch mal), damit gibt es eigentlich auch keine Einschränkungen auf technischer Seite, höchstens ein Designer hat gepennt und das Textfeld mit einer entsprechenden Maske versehen. Meiner Meinung nach sollte es keine Beschränkung geben wie lange das Passwort maximal sein darf. Das macht auch Sicherheitstechnisch keinen Sinn. Selbst in der Sicherheitsbranche verbreitet sich die Empehlung "Die länge machts" immer mehr. Anstatt also möglichst komplexe, und schwer zu merkende Passwörter zu verwenden, sollten lieber lange, dafür leicht zu merkende benutzt werden. Ergo sollte man eine möglichst sinnvoll gewählte mindestlänge vorschreiben, aber keine Maximal länge.

 

MD5-Hash? Hoffentlich nicht

 

MD5-Hashes sind seit Jahren nicht mehr sicher, insbesondere nicht ohne Salts. Gleiches gilt für SHA1.

Am besten verwendet man entsprechende Algorithmen wie PBKDF2, scrypt oder Argon2. Die erledigen gleich Dinge wie Salting, Key Length Stretching usw. Sie sind außerdem mit Vorsatz langsam, verbrauchen sehr viel RAM und lassen sich über eine einstellbare Anzahl an Iterationen noch langsamer machen. MD5 und SHA1 sind dagegen auf Geschwindigkeit optimiert und brauchen kaum Speicher, was Brute Force-Attacken mit Wörterbüchern und Rainbow Tables, extrem einfach und schnell macht.

Argon2 bietet darüber hinaus sogar eine Variante mit einem gewissen Schutz vor Side-Channel-Angriffen, wie sie z.B. durch Meltdown, Spectre etc. möglich wären.

 

Ja, ich gebe zu ich kenne mich mit Hashalgorithmen nicht aus, ich mache hauptsächlich Virenschutz, ich weiß aber wie man eine rudimentäre Webseite (mit einfachem, wenn auch unsicherem, Login) programmiert, und ich weiß auch wie man eine Datenbank designed, und ich weiß vor allem das bisschen an Gesunden Menschenverstand, dass die Natur mir gegeben hat zu nutzen. Das tut aber alles nichts zu Sache, denn:
Ich gehe zu allererst mal davon aus, dass ein Passworthash der in einer Datenbank abgelegt wird, egal wie er berechnet wird, heutzutage immer gesaltet ist, und selbst wenn nicht, macht es für das angesprochene keinen Unterschied. Ein Hashwert, unabhängig vom Algorithmus, sollte in der Regel eine definierte Zeichenlänge haben sollte (alles andere wäre ein Hinweis auf die Anzahl der Verwendeten Zeichen) - zur not "stutzt" man sie auf eine definierte Zeichenlänge, selbst Base64 kriege ich immer auf die gleiche länge wenn ich es nochmal in einen MD5-Hash umwandle. Daher setzt man das Datenbankfeld einfach auf die Zeichenlänge die dem generierten Hashwert entspricht (für MD5 z.B. auf char(32)), und sagt in der Maske auf der Webseite dass das Passwort Mindestens 12 Zeichen, mindestens 1 Groß- und 1 Kleinbuchstabe, 1 Zahl und 1 Sonderzeichen, haben muss. Eine Maximal länge zu vergeben macht keinen Sinn, und das ist völlig unabhängig davon ob ich SHA1, SHA2, MD5 oder Argon2 oder sonst einen Verschlüsselungsalgorithmus verwende. Alle weiteren Sicherheitstechnologien sind für ein sicheres Passwort (und nur um das geht es) völlig irrelevant.
Denn die Grundregel lautet: Je mehr Zeichen das Passwort hat, desto mehr mögliche Zeichenkombinationen gibt es und desto mehr Zeit braucht man um es zu knacken. Und das ist völlig unabhängig davon wie das Passwort in der Datenbank abgelegt wird oder welche Voraussetzungen man an die Passwortkomplexität stellt.
Selbst unverschlüsselt ist 12345678 sicherer als 1234567 (Das sind beides KEINE sicheren Passwörter, egal wie viele Ziffern ihr da noch dranhängt!!!)<-- Just to be safe

Die Passwortkomplexität sollte immer möglichst hohe (aber sinnvolle) Hürden an die mindest Anforderungen stellen und auf maximal Anforderungen verzichten.

 

Nachdem sich heute mein Firefox selbstständig eine neue Installation gegönnt hat musste ich mich bei gamestar.de von Hand einloggen und wusste das alte Passwort nicht mehr. Nachdem ich mir das Passwort habe zurücksetzen lassen wollte ich natürlich gleich ein neues erstellen, bekam aber nur die Fehlermeldung: Das neue Passwort erfüllt nicht die Sicherheitsvorgaben. Kein Hinweis dazu, wie diese aussehen.

 

Eine Echtzeit-Validierung wäre von Vorteil. Als ich letztens einen Test-Account registrieren wollte, hat es auch zig Versuche gebraucht, die Kriterien zu erfüllen.

Wichtig wäre nur eine einzige Vorgabe: Länge. Alles andere ist vollkommen irrelevant, egal wie oft noch wiederholt wird, dass Groß- und Kleinschreibung, Zahlen und Sonderzeichen eine Rolle spielen würden -- tun sie nicht. Bei kurzen Passwörtern können sie zwar die Komplexität deutlich erhöhen, aber das spielt nur eine kleine Rolle im Vergleich zur Länge.

Meine Vorgabe wäre min. 20 Zeichen, kein Maximum. Solange das Passwort in einem vernünftigen Hash-Verfahren gespeichert wird und, sind Brute Force-Attacken quasi unmöglich, selbst wenn man den Hash rankäme.

 

Hallo, warum kann ich mein Passwort nach einem Passwort Reset nicht ändern ? Bekomme die Meldung, dass nur Plus Mitglieder ihren Benutzernamen ändern können. Schaut mal bitte, sieht nach einem Bug aus.

 

Ok, am Desktop-Rechner klappt es. War m.E. ein Problem mit dem automatischen Hochscrollen nach dem Ändern-Button-Click auf dem Smartphone.

 

Der Hinweis zur geforderten Passwortsicherheit ("Mind. 6 max 30 Zeichen Länge inklusive 2 Sonderzeichen (außer spitzen Klammern & Tilde) oder Zahlen und Klein-/Großbuchstaben.") kommt weiterhin nicht. Darüber hinaus ist dieser offenbar veraltet, denn inzwischen sind anscheinend mind. 10 Zeichen erforderlich.