Individuelles Passwort möglich

kenny_g · 31. Januar 2016

Hallo,

ist es möglich in LC auch ein etwas individuelleres vielleicht auch einfacheres Passwort zu wenden, ohne dass dies verweigert wird? Einige Kunden kommen mit den sehr cryptischen Passwörtern nicht wirklich zurecht.

Grüße

thomas16 · 31. Januar 2016

unabhängig davon, dass dies möglich ist. Sinnvoll ist es definitiv nicht und eine nicht zu vernachlässigende Sicherheitslücke.

antondollmaier · 31. Januar 2016

http://www.liveconfig.com/de/h…advanced.lcdefaults.xhtml

*.minscore

kenny_g · 31. Januar 2016

thomas, das ist mir schon bewusst, nur gibt es Kunden, die regelmäßig ein Anfall bekommen, wenn sie solche Passwörter verwenden sollen.

antondollmaier, danke für den Link. Muss man es global , kann man dies nicht individuell setzen, so dass nur auf Wunsch ein einfacheres Passwort erstellt werden kann?

Danke nochmal für die Antwort....

antondollmaier · 31. Januar 2016

Zitat von kenny_g

antondollmaier, danke für den Link. Muss man es global , kann man dies nicht individuell setzen, so dass nur auf Wunsch ein einfacheres Passwort erstellt werden kann?

Nur global.

Man kann an der LC-GUI "vorbei" immer alternative Passwörter setzen. Aber das kann der Kunde nicht ...

thomas16 · 31. Januar 2016

was gehen könnte:
in Absprache mit dem Kunde die Komplexität runtersetzen, Kunde setzt Passwort, du setzt wieder hoch.

kenny_g · 1. Februar 2016

Das ist ja auch alles aufwendig und global möchte ich die Möglichkeit eines sicheren Passworts nicht abschalten. Tja, da muss ich mir was einfallen lassen, weil ein sicheres Passwort ist schon wichtig und ich möchte eigentlich auch verhindern, dass die Leute so simple Passwörter nehmen. Ich muss mir mal Gedanken zur Strategie machen, wie ich den Kunden die Notwendigekeit eines komplexeren Passworts verdeutliche.;o) Danke erstmal für die Antworten...

HBO · 1. Februar 2016

Einfach mal vorrechnen wie hoch eine Rechnung aufgrund eines erratenen Passwortes werden kann und damit die Mailqueue vom Spam befreit werden muss sowie ggfl Listungen auf Blacklisten entfernt werden müssten. Oder im Webspace/FTP Bereich das Suchen und Entfernen von Schadcode etc pp

kenny_g · 1. Februar 2016

HBO guter Ansatz. Ich werde mal eine Rundmail herausfeuern und die Kunden über evtl. Risiken informieren.

Nosxxx · 2. Februar 2016

Ist halt immer schwierig in wie weit das der Provider verrechnen darf und will.

Kenn mich aber hier zuwenig aus, sollte man vielleicht vorher mit seinem Anwalt klären.

HBO · 2. Februar 2016

2 Zauberwörter:
- AGB
- grobe Fahrlässigkeit

Nosxxx · 2. Februar 2016

Zitat von HBO

2 Zauberwörter:
- AGB
- grobe Fahrlässigkeit

Ja, ab wann ist es grob Fahrlässig? Wie stellst du fest das es kein ZeroDay Exploit im CMS war? Wie kannst du die komplexität das Passworts rausfinden? Soweit ich weis speichert Liveconfig ja keine PWs ab.

Soo einfach ist das denke ich nicht.

HBO · 3. Februar 2016

Na wer haftet denn im Bereich einer gehosteten Webseite? Wohl der Kunde selbst. Wir hatten schon fälle von erratenen Passwörtern (auf einem alten System das nicht solch ein komplexes Passwort fordert) wie auch unter Liveconfig bei dem ein Script nicht so ganz sauber war (Kontaktformular). Wie die Mail generiert wurde und woher diese im Eigentlichen kommt (zBsp bei einem Script im Webspace des Kunden) lässt sich doch rausfinden.

Da wir die Komplexität des Passwortes nicht runter stufen über die LC_DEFAULTS bleibt also schonmal das erraten im Grunde aus. Das waren die häufigsten Ursachen für Spamversand auf unseren Altsystemen.

Grundsätzlich versuacht der Kunde einen Schaden:
- Mailqueue voll und damit stark verzögerter Mailversand
- ggfl Eintrag in diversen Blacklisten

Gleiches gilt auch für defekte Scripte, auch wenn soetwas schon sehr lange nicht mehr vor kam. Aber auch hier gab es Scripte die ein Loop erzeugten und auf misteriöse Weise sich selbst immer wieder aufruften = massive Last auf dem Webserver (RAM/CPU)

antondollmaier · 3. Februar 2016

Zitat von HBO

Das waren die häufigsten Ursachen für Spamversand auf unseren Altsystemen.

War hier eher das Problem von Trojaner-verseuchten Windows-PCs. Da ist die Passwort-Stärke dann egal, wird ja alles mitgesnifft...

Ansonsten: jo, mit Verletzung der Sorgfaltspflichten ist da genug zu tun. Im Zweifelsfall sperren, informieren und fertig. Die "Abrechnung von Aufwand für Säuberung" muss der Kunde dann ja sowieso beauftragen - oder er kümmert sich selber drum...

bravesurfer · 7. November 2016

Mich würde einmal interessieren ob die einzelne Passwort-Komplexität (db.password.minScore 0-8 ), die ich ja in der LCDEFAULTS hoch und runter setzen kann, irgendwo dokumentiert ist?

WebService4U · 7. November 2016

https://www.liveconfig.com/de/…advanced.lcdefaults.xhtml

bravesurfer · 7. November 2016

Vielen dank aber das ist mir bekannt. Die Fragestellung zielte darauf ab ob dokumentiert ist was sich hinter den Werten 0-8 jeweils für Einstellungen verbergen

WebService4U · 7. November 2016

Sorry, übersehen. Wer lesen kann ist klar im Vorteil. Schließe mich Deiner Frage an.

antondollmaier · 13. November 2016

Zitat von bravesurfer

Vielen dank aber das ist mir bekannt. Die Fragestellung zielte darauf ab ob dokumentiert ist was sich hinter den Werten 0-8 jeweils für Einstellungen verbergen

https://www.liveconfig.com/de/…=9445&viewfull=1#post9445

kk: stimmt das noch so?

bravesurfer · 13. November 2016

Danke allerdings ist mir nicht ganz klar wie ich

Zitat

ein Punkt steht anscheinend für jeweils:
* Kleinbuchstabe enthalten
* Großbuchstabe enthalten
* Zahl enthalten
* Sonderzeichen enthalten
* mind. 8 Zeichen
* mind. 10 Zeichen
usw...

Alles anzeigen

zu interpretieren habe

0 wäre dann kein Kleinbuchstaben, kein Großbuchstabe keine Zahl, mindestens 0 Zeichen ....... ???

Kann da mal jemand der es versteht ein Beispiel geben? Ich verstehe o.g. Ausführungen leider derzeit nicht :confused:

Individuelles Passwort möglich

Jetzt mitmachen!

Benutzer online in diesem Thema