Account Passwort selber festlegen

bigplayer

Member
Da ich viel rumexperimentiere mit vielen Geräten nervt es mich in letzter Zeit immer mehr, dass ich immer dieses kryptische Passwort verwenden muss.
Unter Windows ist mir das ja noch relativ egal da ich es einfach in den Zwischenspeicher kopiere und dann ins Feld paste.
Bei vielen anderen Geräten ist dies leider aber nicht möglich. Dann kommt noch dazu dass oft das Passwort bei der Eingabe nicht angezeigt wird und gegen Sternchen erstezt wird. Wenn man also bei dem kryptischen Passwort nur einmal die Gross und Kleinschreibung verwechselt oder die Shift Taste nicht richig drückt was sehr schnell passiert hat man schon verloren.

Von daher wäre es sehr schön, wenn man im Member Panel auch die Option hinzufügen könnte das vorher automatisch generierte Passwort gegen ein eigenes zu ersetzen.
Im Moment gibt es leider nur die Option das Passwort zu ändern, hier bekommt man aber wieder nur ein anderes kryptisches Passwort zugewiesen. Selber bestimmen geht nicht.


Ich weiss, jetzt wird wieder das Argument mit der Sicherheit kommen und PP ja die beste Sicherheit bieten will.
Aber ich finde doch es sollte mir selber überlassen sein wie sicher ich mein Passwort wähle.
Und um die Sicherheit des Dienstes zu gewähren kann man ja vorher noch ein paar Sachen Festlegen, wie mindestens 10 Zeichen, Gross und Kleinschreibung, mindestens ein Sonderzeichen, mindestens eine Zahl usw.


Ich weiss es ist wieder etwas Arbeit das einzubauen, andere Anbieter schaffen es aber auch und es würde zur besseren Bedienbarkeit sehr beitragen.
Vor allem für Leute die z. Bsp. manuell auf Android mal schnell einen anderen Server benutzen wollen. Da ist so eine Passworteingabe alles andere als schön.
Ich bin mir sicher dass ich nicht der einzige User bin, der dieses einfache Feature gerne hätte.
 
Wenn du das Passwort schon "kryptisch" findest hast du mein LUKS-FDE Passwort noch nicht gesehen XD
 
Hallo,

es tut mir leid, das wird es aber bei uns nicht geben. Wir wollen nicht das sich die Leute eigene PW setzen. Hat den Hintergrund das sich dann ein Grossteil der Leute solch Super-PW wie "willi123" oder "test123" geben und dann fliegen unsere Accounts für lau quer durchs Netz in Massen.
Ausserdem ist eigentlich die Verwendung eines PW-Managers heut zu Tage wirklich schon nahezu Pflicht und da ist es einem dann egal wie lang und cryptisch das PW ist.
Wir sind ja hier ein Datenschutzdienstleister und da sollten schon die einfachsten IT-Sicherheitsregeln beachtet werden, da man sich ja sonst das Geld für VPN auch gleich sparen kann ;)

Im Übrigen bevor jemand anderes kommt: Das PW wird nicht für die Verschlüsselung benutzt, sondern sind lediglich Zugangsdaten um die Accounts nutzen zu können. Wenn irgendjemand an das PW kommt, kann er lediglich den Account nutzen, aber eben auch niemanden ausschnüffeln oder so. Von daher stören vermutlich unsichere PW vielmehr uns als den Nutzer :p
 
Hallo,

es tut mir leid, das wird es aber bei uns nicht geben. Wir wollen nicht das sich die Leute eigene PW setzen. Hat den Hintergrund das sich dann ein Grossteil der Leute solch Super-PW wie "willi123" oder "test123" geben und dann fliegen unsere Accounts für lau quer durchs Netz in Massen.
Ausserdem ist eigentlich die Verwendung eines PW-Managers heut zu Tage wirklich schon nahezu Pflicht und da ist es einem dann egal wie lang und cryptisch das PW ist.
Wir sind ja hier ein Datenschutzdienstleister und da sollten schon die einfachsten IT-Sicherheitsregeln beachtet werden, da man sich ja sonst das Geld für VPN auch gleich sparen kann ;)

Im Übrigen bevor jemand anderes kommt: Das PW wird nicht für die Verschlüsselung benutzt, sondern sind lediglich Zugangsdaten um die Accounts nutzen zu können. Wenn irgendjemand an das PW kommt, kann er lediglich den Account nutzen, aber eben auch niemanden ausschnüffeln oder so. Von daher stören vermutlich unsichere PW vielmehr uns als den Nutzer :p
Ich hätte noch eine Frage: Gibt es einen Grund, warum man die Email im User-Panel einfach so ändern kann, ohne Confirmation?
 
Hat den Hintergrund das sich dann ein Grossteil der Leute solch Super-PW wie "willi123" oder "test123" geben und dann fliegen unsere Accounts für lau quer durchs Netz in Massen.
Genau deshalb mein Vorschlag dass das Passwort bestimmte Bedingungen erfüllen muss wie mindestens ein Sonderzeichen, Gross und Kleinschreibung, mindestens 10 Zeichen (von mir aus auch mehr), Gross und Klein Schreibung.
Alleine durch das eine Sonderzeichen wird es schon praktisch unmöglich das Passwort zu erraten. Mit Bruteforce vielleicht ja, aber wenn hier Brutforce funktionieren sollte stimmt etwas mit Eurem System nicht, da es nur eine bestimmte Anzahl an Login Versuchen in einer bestimmten Zeit erlauben sollte.
Ein heutzutage aktuelles und sicheres Login System macht Bruteforce praktisch unmöglich, es sei denn man hat tausende Jahre an Zeit.

Die Passwörter die man heutzutage im Netz so findet sind zu 99% nicht erratene Passwörter sondern einfach nur geklaute Passwörter die durch Trojaner, Keylogger usw. ergaunert wurden. Da hilft auch das längste sichterste Passwort nichts. ;)

Wenn ihr verhindern wollt dass sich Eure Accounts nach nem Leak nicht verteilen wäre es hier viel vernünftiger einen Zwangspasswortwechsel z. Bsp. einmal im halben oder viertel Jahr einzuführen. ;) Damit könnte man dieses Problem zumindest stark eindämmen.

Ausserdem ist eigentlich die Verwendung eines PW-Managers heut zu Tage wirklich schon nahezu Pflicht und da ist es einem dann egal wie lang und cryptisch das PW ist.

Liest Du eigentlich überhaupt was ich geschrieben habe?
In Geräten wie Windows kann ich nen Passwortmanager nehmen oder auch einfach das Passwort kopieren und pasten.

Auf vielen anderen Geräten kann ich dies wiederum nicht, da ich hier gerade an einem zum Beispiel jungfreulichen Linux rumbastle.

Ich hätte noch eine Frage: Gibt es einen Grund, warum man die Email im User-Panel einfach so ändern kann, ohne Confirmation?
Nunja, Confirmation durch was? Im Endeffekt haben wir ja nur PW und Mailadresse...
Zum Beispiel durch einen Bestätigungslink an meine Emailadresse?

Hier sehe ich dagegen auch eine erhebliche Sicherheitslücke wie bisher vorgegangen wird. Das ist viel wichtiger wie ein sicheres Cryptisches Passwort. Im Moment sieht es so aus, dass wenn jemand anderes an meine Zugansdaten gekommen ist kann er einfach ins Userpanel gehen und das Passwort ändern. Ist dies passiert komme ich als eigentlicher Besitzer noch nicht einmal mehr in meinen Account so dass ich ein Support Ticket aufmachen könnte um an meinen Account zurückzukommen.
Durch einen Emailsbestätigungslink wie ihn heutzutage eigentlich jeder seriöse Dienst verwendet kann man die Sicherheit zumindest um einiges erhöhen. Dazu müssten dann schon die Emailaccountdaten in der selben Passwortliste stehen wie der PP Account. Klar two factor autentifizierung wäre hier noch wesentlich sicherer aber die kann man einen VPN logischerweise nicht zumuten.
 
Back
Top