Neu Sichere Kundenpasswörter

  • Wenn Ihr uns das erste Mal besucht, lest euch bitte zuerst die Foren-Regeln durch.

maahn

Gut bekanntes Mitglied
4. Januar 2016
194
2
#1
Moin-Moin,
ich zuge der vielen Hacker-Angriffe auf Online-Shops würde ich gern die Tür nicht so weit offen stehen haben.
Zur Zeit - wenn ich das richtig sehe - brauchen Kunden nur ein Passwort eingeben, das z.B. 5 Zeichen lang ist. Je nachdem, was im Shop-Admin-Bereich eingetragen wurde.
Gern würde ich aber auch die Zusatzabfragen auf Großschreibung und Sonderzeichen nutzen.
Ist das möglich?
Hab leider nichts gefunden.
Shop: 4.06 (Build: 12)
Template: Evo

Müsste ja im Grunde alle hier interessieren.

Beste Grüße,
Maren
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
951
183
Halle
#2
Hallo, aktuell prüft der Shop-Core nur auf die eingestellte Passwortlänge. Eine Komplexitätsprüfung findet nicht statt. Das könnte man mittels Plugin über den Hook HOOK_REGISTRIEREN_PAGE_REGISTRIEREN_PLAUSI implementieren.
Im Endeffekt ist für die Sicherheit eines Passwortes nur die Länge und die Anzahl der möglichen Zeichen ausschlaggebend. Und da für ein Passwort keine Maximallänge existiert und prinzipiell Buchstaben, Zahlen und Sonderzeichen enthalten sein KÖNNEN, ist eigentlich beides gegeben. Ein Passwort wird nicht automatisch sicherer durch die Vorgabe das x Zahlen und y Sonderzeichen enthalten sein MÜSSEN. Im Gegenteil wird es rein kryptografisch unsicherer, da ein potentieller Angreifer jetzt weiß, dass x+y Stellen im Passwort aus einem eingeschränkten Zeichensatz stammen. ;)
Zudem lässt sich mittels "CAPTCHA nach X erfolglosen Anmeldeversuchen anzeigen" verhindern, dass gezielt ein Account durch das Ausprobieren mehrerer Passwörter angegriffen wird.
 

david

Administrator
Mitarbeiter
16. Juli 2010
2.176
82
#3
Gern würde ich aber auch die Zusatzabfragen auf Großschreibung und Sonderzeichen nutzen.
Das Erzwingen von Passwörtern mit fixen Policies (min X Sonderzeichen + Zahlen) ist meinem Kenntnisstand nach ein veralteter, mittlerweile überholter Ratschlag. Ähnlich wie der damals gut gemeinte Tipp, sein Passwort alle X Monate zu erneuern.
Denn was macht der User? Er wendet das gleiche Schema an, das er damals schon nutzte, als er sein Passwort alle X Monate ändern sollte.
Er versucht, sein Passwort, das er sonst immer nutzt, minimal so abzuändern, dass es dem Algorithmus gefällt und er sich trotzdem nicht groß umgewöhnen muss.
In diesem Fall wird es mit den entspr. geforderten Sonderzeichen und Zahlen aufgemotzt.
Daraus entstehen dann so tolle Sachen wie "Pa$$w0rd" oder "P@ul1234". Der Algorithmus sagt dann "OK"/"Sicher", aber wirklich sicher ist es dadurch natürlich trotzdem nicht (findet man in diversen Passwortlisten), kann man ja mal auf https://haveibeenpwned.com/Passwords testen.

Und wie Falk schon schreibt, kryptographisch sicherer wird es dadurch auch nicht, indem man die Verwendung bestimmter Zeichen vorschreibt. So wird es auch ohne Passwortlisten leichter, das Passwort zu knacken.
Eine Mindestlänge von 8, besser 12 Zeichen ist gut. Max Länge uneingeschränkt. Idealerweise wird ein Zufallspasswort in Verbindung mit einem Passwortmanager genutzt.
Sonderzeichen / Groß-Kleinschreibung / Ziffern sind gut, sollten aber nicht erzwungen werden.
Diese Password-Strength-Visualisierungen finde ich gut. Sie ermutigen den User, etwas kreativer bei der Passwortgestaltung zu werden.