Mailinglisten-Archive |
1/2 OT: Bei einem Projekt mit einer Art Redaktionsystem gibt es eine Reihe von Usern mit verschiedenen Rechten. Durch einen User mit Sonderrechten können weitere User angelegt werden. Wir hatten ursprünglich einen Paßwortgenerator integriert, der (eindeutige) mnemonische Paßwörter erzeugt, damit die Paßwörter noch halbwegs einprägsam sind. Der Kunde wünscht nun die Möglichkeit, das jeder User sein Paßwort selbst ändern kann. Technisch kein Problem, aber da die Leute dann immer dazu neigen, was ganz simples zu nehmen (Name der Katze etc.), sollte das Paßwort noch validiert werden. Jemand von McKinsey hat dem Kunden nun folgendes empfohlen: Es gibt ja eine Art Hacker-Datenbanken, in denen ein paar Millionen Wörter/Namen stehen, welche üblicherweise genutzt werden, um irgendwelche paßwortgeschützten Systeme zu knacken. Wenn ein User sich nun selbst ein neues Paßwort gibt, könnte man das A von der Syntax her prüfen und B gegen eine solche Datenbank mit ein paar Millionen Einträgen validieren um zumindest gängige/simple Wörter abzulehnen. Mal abgesehen davon, daß mir das relativ wenig gefällt, weil ich im Moment keine deratige DB habe, halte ich den zusätzlichen Sicherheitsgewinn für nicht allzu hoch. Hat irgendwer eine andere Lösung, mit der verhindert werden kann, daß sich die User selbst allzu einfache Paßwörter geben? Guido Haeger
php::bar PHP Wiki - Listenarchive