Hallo miteinander,

ich möchte natürlich kein Passwort speichern, da ich weiß, dass man das nicht macht .
Der IT-Dienstleister unserer Firma scheint da aber anderer Meinung zu sein. Schlimm genug, dass wir aller 90 Tage das Passwort wechseln müssen und aller 180 Tage ein neues Browserzertifikat installieren müssen (aber darüber wollte ich gar nicht reden), aber seit neuestem kommt die Meldung:

Zitat:

"Ihr neues Passwort muss sich in mindestens 3 Zeichen von Ihrem alten Passwort unterscheiden".

Ich habe das natürlich prompt getestet und bei meinem neuen Passwort nur ein Zeichen geändert und bekam die Fehlermeldung, dass ich nicht genügend Zeichen geändert hätte.
Nun meine Frage: Kann man feststellen, wie viele Zeihen ich geändert habe, OHNE dass mein altes Passwort gespeichert wird?

ub60

Nur um sicher zu gehen, dass ich das richtig verstehe: Du musst dabei ausschließlich das neue Passwort eingeben und nicht auch nochmal das alte Passwort?

Falls das so ist, kann ich mir nicht vorstellen, wie das ohne Speicherung des alten Passworts funktionieren soll.

So eine ähnliche Meldung kennt man ja schon von z.B. Microsoft. Bei denen reicht aber ein anderes Zeichen.
Eine der Anforderungen an einen Hash ist, dass jede Änderung ein scheinbar zufällig anderes Ergebnis liefert, wenn ein Passwort als Hash gespeichert wird, ist eine solche Fehlermeldung also gar nicht möglich.

Soll heißen: Microsoft speichert die Passwörter alle als Hash, euer Dienstleister wahrscheinlich nicht.

Eventuell kann man tricksen:
Vielleicht ist die Meldung nur Fake und sie können die Anzahl unterschiedlicher Zeichen nicht erkennen?
Vielleicht berechnen sie andere Kennwörter anhand üblicher Änderungen (Ausrufezeichen am Ende) voraus und speichern die auch, um das zu prüfen?
Für realistisch halte ich das aber nicht.


Eine halb OffTopic-Frage:
Wenn man Kennwörter in Klartext speichert, könnte man das mit der DSGVO vereinbar machen, oder muss man die als Hash speichern, schon allein, weil das Gesetz es vorschreibt?

Natürlich muß das alte Paßwort bekannt sein, um die Anzahl der Differenzen zu bestimmen. Permanent muß es wegen der Anmeldungen ohnehin gespeichert sein, wenn auch gewiß verschlüsselt.

Davon abgesehen, gibt es da m.E. ein logisches Problem, diese Anzahl zu bestimmen.

altes Beispielpaßwort: 12345

neues Beispielpaßwort: 123456 -> 1 Unterschied.

weiteres neues Beispielpaßwort: 012345 -> 1 Unterschied (wirklich?)

Gut, mogeln wir nicht mit verschiedengroßen Paßwörtern:

noch ein neues Beispielpaßwort: 51234 -> 1 Unterschied? Oder doch 5?

Noch verrückter: 54321 -> 4 Unterschiede? Oder doch nur 1 Unterschied?

Entscheidend ist nämlich vielmehr die Informationsmenge, die benötigt wird, um das alte in das neue Paßwort zu transformieren.

Kurzum, ich empfinde das Ansinnen des Programmierers als nicht gut durchdacht.

Hallo,

ich geb mal meinen Senf dazu.

1) Eine Passwortänderung macht nur dann Sinn, wenn das Passwort kompromittiert ist.
Hier gibt es einen schönen Artikel, der dir das auf Heise erklärt. Der ändere dein Passwort Tag ist gut gemeinter Unsinn

2) Man erhöht bei einem sicheren Passwort nicht die Sicherheit, wenn man es regelmäßig wechselt. Im Gegenteil, da Nutzer dazu neigen, immer einfachere Passwörter zu nehmen und diese sich dann an den Monitor heften. Weil wer kann sich schon Passwörter merken, wenn man die Wichtigen alle paar Tage ändern muss?

3) Die Sicherheit eines Passworts wird nur durch seine Länge und durch die Anzahl möglicher Zeichen bestimmt. Hier gilt natürlich je Länger und je mehr mögliche Zeichen um so besser. Hier geht es um die Entropie des Passworts. Es wird empfohlen für starke Passwörter eine Mindestlänge von 20 Zeichen zu nutzen.

Für die Leute die es interessiert, gibt es ein paar nette Folien von der Uni Weimar zum Thema Passwörter.


4) Passwörter sollte man nur im Notfall im Klartext speichern, wenn keine andere Möglichkeit besteht. Wir ja auch in PHP Skripten gemacht, damit diese sich z.B. an einer Datenbank anmelden können.

Für fremde Nutzerpasswörter gibt es sonst sowas: Bussgeld


5) Wenn sich ein Benutzer an einem Webserver / Mailserver anmelden muss, besteht auf der Serverseite nicht die Notwendigkeit Passwörter im Klartext zu speicher. Hier kann der Dienstleister auch haftbar gemacht werden, da man ihm grobe Fahrlässigkeit vorwerfen kann. (siehe Link oben)


Aber nun zur eigentlichen Frage:

Man könnte in einem Array die benutzen Buchstaben ohne Angabe von Häufigkeit und Reihenfolge speichern, so könnte man die Differenz erkennen. Das macht die Sache aber auch nicht sicherer. Da ein Angreifer der Zugriff auf diesen Vektor bekommt das Passwort leicht erraten kann.

Sollte es sich um einen externen Web-, Mailserver handeln, kannst du mich gerne anschreiben, wenn ihr einen Providerwechsel anstreben wollt.

wenn anstelle des Password jedes Zeichen als dessen Hash gespeichert wird, ggf etwas versalzen,
dann lassen sich die Änderungspositionen erkennen ohne das offene PW zu kennen.

Normalerweise wird dies auf zwei verschiedenen Wegen gemacht:
Die einfachste ist, dass man schlicht zur Änderung das alte Passwort noch einmal eingeben lässt und dann die Änderungen natürlich direkt untersuchen kann.
Ein weiterer Weg ist eine Analyse, bei der basierend auf dem neuen Kennwort diverse Mutationen des Kennworts gehasht und mit dem/den alten Kennwort/Kennwörtern verglichen werden, aber eben nur basierend auf dem Hash.

Zweiteren Weg erkennt man normalerweise daran, dass man ein chinesisches Zeichen im alten Kennwort nutzt (wenn das denn erlaubt ist) und dieses im neuen Kennwort weglässt. Denn diese Art der Analyse beschränkt sich normalerweise auf lateinische Zeichen, zumindest war es vor einiger Zeit so.

icho2099 hat folgendes geschrieben :

wenn anstelle des Password jedes Zeichen als dessen Hash gespeichert wird, ggf etwas versalzen, dann lassen sich die Änderungspositionen erkennen ohne das offene PW zu kennen.

Das würde das ganze besser angreifbar machen.

jaenicke hat folgendes geschrieben :

Normalerweise wird dies auf zwei verschiedenen Wegen gemacht: Die einfachste ist, dass man schlicht zur Änderung das alte Passwort noch einmal eingeben lässt und dann die Änderungen natürlich direkt untersuchen kann. Ein weiterer Weg ist eine Analyse, bei der basierend auf dem neuen Kennwort diverse Mutationen des Kennworts gehasht und mit dem/den alten [...]

Die Diskussion über Passwortspeicherung und Bemängeln der Eigenschaften erinnert mich irgendwie an den alten Witz:


Bitte gib Dein Passwort ein.
> ananas

Entschuldigung, Dein Passwort ist zu kurz!
>geschaelte ananas

Entschuldigung, Dein Passwort muss mindestens 1 Zahl enthalten
> 1 geschaelte ananas

Entschuldigung, Dein Passwort darf keine Leerzeichen enthalten.
> 50verficktegeschaelteananas

Entschuldigung, Dein Passwort muss Grossbuchstaben enthalten.
> 50VERFICKTEgeschaelteananas

Entschuldigung, Dein Passwort darf nur Grossbuchstaben enthalten, die nicht aufeinanderfolgend sind.
> 50VerfickteGeschaelteAnanas DieIchDirInDenArschSchiebe, WennDuNichtEndlichDas VerficktePasswortNimmst!!!

Entschuldigung, Dein Passwort darf keine Satzzeiten enthalten.
> JetztWerdIchLangsamRichtigSauer 50VerfickteGeschaelteAnanas DieIchDirInDenArschSchiebe WennDuNichtEndlichDas VerficktePasswortNimmst

Entschuldigung, das Passwort ist schon in Benutzung. Wähle ein anderes!
> ...

Vielen Dank für Eure zahlreichen Antworten!

Natürlich stimme ich der Unsinnigkeit der permanenten Passwortänderung zu, ich sehe das genau so.

Durch Eure Nachfragen ist mir aber bewusst geworden, dass ich ja mein Passwort beim Einloggen eingeben muss, bevor ich die Aufforderung zum Ändern des Passworts erhalte. Somit ist auch geklärt, dass die "Experten" mein Passwort nicht auf Ihrer HD im Klartext speichern müssen.

Danke für die Denkanstöße!

ub60