► Python für Einsteiger florian-dalwigk.com/python4einsteiger?v=t00lon (*) ► Hacking mit Python florian-dalwigk.com/hacking_mit_python?v=t00lon (*) ► Ethical Hacking mit ChatGPT florian-dalwigk.com/hacking_mit_chatgpt?v=t00lon (*) (*) Werbung

Auch gut: "Ihr passwort ist schon von einem anderen verwendet"!

Ich habe vor ca. 10 Jahren an einer Schulung teilgenommen und musste mich dort registrieren. Ein paar Tage später habe ich ein Gespräch mit dem Betreuer der Schulungs-Firma, und bei der Gelegenheit gratuliert er mir dazu, dass ich so ein sicheres Passwort gewählt habe. Die hatten tatsächlich nicht nur alle Passwörter im Klartext gespeichert, sondern sie auch noch jedem Mitarbeiter der Firma (und jedem, der eine Mitarbeiter über die Schulter guckt) gemeinsam mit den übrigen Stammdaten auf dem Bildschirm angezeigt.

Mindestens 8 Zeichen Maximal 12 Zeichen KEINE Sonderzeichen Ab dem Punkt musste ich erstmal überprüfen, ob nich doch schon der 1. April ist.

Wieso denken sie das wir gerade sie in unserer IT-Sicherheitsabteilung einstellen sollten? Naja vielleicht Deshalb weil ich mich selbst zum Vorstellungsgespräch eingeladen habe. 😅

Vielleicht war genau das der Test für die Bewerber :)

Meine Mutter hatte den Zugriff auf's Online banking verloren, weil das Passwort maximal 10 Zeichen lang sein durfte. Ihr Passwort war aber 12 Zeichen lang. Das Problem? Beim Erstellen des Passwortes wurde das nicht überprüft und alle Passwörter einfach nach der 10. Stelle abgeschnitten. Im Browser beim Anmelden genau so. Sie war jahrelang davon überzeugt, dass ihr Passwort 12 Zeichen lang war. Bis es ein Update gab und ihr 12 Zeichen langes Passwort plötzlich falsch war.

"Und nur weil man 'versehentlich' ein einfaches Hochkomma eingegeben hat" - Genau mein Humor ;-)

Das ist doch ein deutlicher Hinweis darauf, dass Passwörter im Klartext in der DB gespeichert werden. Normalerweise werden Passwörter doch gehasht und der Hash hat dann bei unterschiedlichen Passwörtern trotzdem die gleiche Länge. (Nicht bei allen Hash-Algorithmen, aber bei vielen)

Ich bei Google: WAS!? Mein Passwort darf nicht mehr als 100 Zeichen haben? Das Portal: Amateure!

Ich wette die Passwörter in der Datenbank waren nicht mal gehashed + gesalted 😂

Ich kann ja verstehen, wenn man kein 1000 Zeichen langes Passwort zulassen möchte (evtl. Wegen Rechenleistung beim Hashen oder beim Unmarshal(len) der Login-Information bei der Validierung) - aber für 12 Zeichen fällt mir auch nichts mehr ein.. Mich würde da noch interessieren, ob der Userinput nur Client-Seitig überprüft wurde (z.B. nach Sonderzeichen)

Super Video. Ich war auch schon auf Portalen wo Max. 8 Zeichen für das Passwort erlaubt waren. Da meine Passwörter Grundsätzlich min. 32 Zeichen lang sind, hat das natürlich nicht gepasst und dachte mir gleich, das Portal ist alles andere als sicher... Das Erinnert mich aber an ein witz: "Ein Mann und eine Frau setzen das Passwort für den neuen Computer. Der Mann tippt "meinpenis". Kurz darauf kugelt sich die Frau vor Lachen auf dem Boden ... auf dem Bildschirm steht: "Fehler, nicht lang genug."" bester Passwort Witz :D

Maximallänge in Passwörtern klingt übrigens nicht sehr danach, dass sie gehasht gespeichert werden...

Während meiner Ausbildung zum FAE habe ich tatsächlich fast nichts über Sicherheit gelernt. Das habe ich dann aber glücklicherweise direkt im ersten Praktikum beigebracht bekommen. Auf deiner Bewerberseite werden Passwörter warscheinlich noch in Reintext hinterlegt. Selbst ich kleiner FAE, der nur Verwaltungsprogramme schreibt, sichere mich gegen SqlInjection und XSS ab und hashe Passwörter so, dass nicht mal ich die noch rausbekommen kann, selbst wenn ich wirklich will. Oh, und das mit der Maximalgrenze für das Passwort: Da hat einer in der Datenbank das Feld für das Passwort wohl auf 12 begrenzt (VARCHAR). Mehr als 12 zeichen können also nicht gespeicherrt werden. Das ist natürlich blöd. Ich dachte echt, dass es solche Seiten nicht mehr gibt.

Perfekt! Da bewerb ich mich gleich mal xD

Ich würde ja gerne behaupten, dass das ein unerwarteter Einzelfall wäre, ich weiss aber aus realtiv zuverlässiger Quelle, dass selbst an manchen Unis mit Informatikschwerpunkt maximale Passwortlängen verwendet werden. Das tut schon weh...

Selbst wenn man wie ich (wenige Vorkenntnisse in Sachen IT Sicherheit) bei dem Titel stutzig wird, frage ich mich welche Pfeifen so etwas entschieden haben

Ich habe auch schon ähnliches erlebt, aber das war bei einer Passwortlänge von ~30 Zeichen der Fall. Obwohl das dann immer noch unverständlich ist. Ich würde mich auch für ein Video zu alternativen Login Verfahren interessieren. Stichwort Hardwaretoken oder SmartCard / Yubikey

Bei so einem Portal wäre der Job in deren IT Abteilung doch sicherlich ein Traum 🤨🤨🤨

Danke für das tolle Video, gut reagiert! :D Bei on premise SAP-System sind es aktuell 40 Zeichen Beschränkung - ein Fortschirtt ^^

Wie bei banken im online-Banking. Da sind auch manchmal nur max 12 oder 14 stellen möglich. BEI EINER BANK

Es ist so angenehm, am Ende des Videos mal nicht "abonnieren" und "Glocke" zu hören! 🙂 Die meisten Nutzer auf KZbin wissen schließlich auch so, wie das geht. Da braucht man nicht nach jedem Video einen Hinweis.

Vielleicht sind wir alle Teil deines Traums und du träumst dir diese Kommentare auch zusammen. Wäre irgendwie beruhigender 😅

Dieses Passwort wurde schon von genutzt. Bitte wähle ein anderes

5:55 hehe jetzt hab ich dein passwort 🤣🤣

Eine gewisse Passwortobergrenze kann ich nachvollziehen. Wenn man ein Passwortgeniert, dass den gesamten zur Verfügung stehenden Zwischenspeicher einnimmt, dann wird zwar die Hashfunktion im Hintergrund es auf die selbe Länge runtertrimmen wie jedes andere Passwort aber die kryptoHashfunktion hat dann mehr doch trotzdem mehr zu tun als für ein PW unter 256 Zeichen (oder was auch immer PW Generatoren für eine Länge nehmen). Ich weiß allerdings nicht was im Hintergrund genau passiert, wenn man bei der Kontoerstellung ein Passwort eingibt. Wird das über HTTPS verschlüsselt an den Server übertragen und dort dann der Kryptohash berechnet oder passiert das lokal und der Hash wird versendet? Bei ersteren könnten dann extrem lange PW genutzt werden, um den Server zu belasten und bei ersteren kann ein Angreifer rausfinden, welche Hashfunktion genutzt wird (denke ich zumindest)

Ist leider auch bei "seriösen" Firmen der Fall. Bei 1&1/Ionos dürfen Mail Passwörter z.B. nicht mehr als 20 Zeichen haben, und haben (wenn meine Erinnerung stimmt) auch eine Begrenzung welche Zeichen überhaupt erlaubt sind...

Ich habe vor paar Wochen eine SIM-Karte registriert und bin auf dasselbe Problem gestoßen. Als ich die Meldung "ihr Passwort ist ungültig" bekam, war ich lange am ausrasten, weil ich dachte, dass die Seite von mir ein Passwort verlangt, obwohl ich noch kein Passwort erstellt habe. Es hat lange gedauert bis ich verstanden habe, dass mein Passwort zu lang ist. Danach war ich aber noch mehr am ausrasten.

ERSTER (hoffe ich) Aber cooles Video xD Ich habe nur gelesen "Ihr Passwort ist zu lang" und dachte mir "wait whuut" xD Man sieht sich, hauste Rheinland :D

Ah, da waren wieder die Sonderprofiprogrammierer am Werk. Applaus, Applaus! 🙄 Tolles Video auf jeden Fall!

Hatte vor Jahrzehnten mal einen Account bei einer Handyfirma (als die Teile noch nicht Smartphone hießen) und die haben mir mein Passwort mal im Klartext zugeschickt, als ich das Passwort-vergessen-System verwendet habe. Ganz großes Kino. Aber zu deinem Video. Setz dem Admin ein Ultimatum, dass er es innerhalb von einem Monat zu fixen hat. Wenn er es nicht macht, geh damit an die Öffentlichkeit. Manche Leute brauchen Druck.

Genau so live erlebt. Bei der Webseite zur Essensbestellung in der Schule meiner Tochter. Keine Sonderzeichen, nur a-Z und 0-9 und max. 12 Zeichen. Und in dieser super-sicheren Umgebung sind die Kontodaten für die Abbuch der Kosten lesbar hinterlegt. Zur Erstanmeldung erhält man übrigens eine Mail mit den Benutzerdaten : Benutzer: Name des Kindes Passwort: Geburtstag des Kindes. Zu allem Überfluss ist das dann auch noch der Verwendungszweck auf der Lastschrift. Keine Ahnung vieviele Eltern das Passwort nach der Erstanmeldung geändert haben. Dazu muss man nämlich erst sehr lange auf der Seite suchen, bis man auf die Seite zur Passwortänderung kommt.

Ich nutze seit neustem einen Passwort Manager, der mir automatisch für die Registrierung Zeichenfolgen > 20 generiert. Und da stößt es bei mir auf vollkommene Unverständlichkeit, dass bei jedem 5.-6. vermeintlich seriösen Onlineshop - bei welchen man beispielsweise auch Kartendaten oder PayPal-Konten speichern kann für einen „bequemeren Zahlungsvorgang“ - Passwörter mit über 20 Zeichen nicht nutzen kann! Bei den ersten Registrierungen war ich verwirrt: „Wie Passwort ungültig? Darf man jetzt zB. keinen Unterstrich mehr verwenden oder was ist da los?“ Ich bin gar nicht drauf gekommen, dass solche gigantischen Plattformen Passwort-Stellengrenzen von 19/20 Zeichen festsetzen..

Ja, viele Firmen / Unternehmen zeigen sich im Internetauftritt von ihrer besonderen Seite. Erschreckend, wie sehr manche kompetenten Personalbedarf haben. Selbst, wenn man sich dort erfolgreich bewerben könnte, um solche Defizite aus der Welt zu schaffen, hätte man keine Chancen gegen die Entscheider anzutreten...

Habe gerade mein Passwort bei Ubisoft geändert. Da gibt es die Regel: Passwort muss zwischen 8 und 16 zeichen sein. Was soll ich jetzt davon halten? Gerade bei so einem großen Unternehmen sollte doch die Sicherheit ernst genommen werden. Gibt es vielleicht noch andere quasi-ausreden warum die Passwortlänge begrenzt wird außer das hier oft postulierte "wird dann wahrscheinlich als Klartext gespeichert"?

Ich nehm meistens die absolute Maximum-Länge für Passwörter, find das mit den 16 bei Paypal schon schwachsinnig. Meine Passwörter sind selber schon mehrfach verschlüsselt, geht dann nicht leider.

Habe letztens bei Payback mein Passwort verloren -> Passwort vergessen und neues eingeben, dabei wurde mir maximal 16 stellen erlaubt. Wollte ich nicht und habe den Support angerufen, der meinte ich kann später ein längeres Passwort eingeben. Also 15 stelliges neues Passwort eingegeben und direkt im Anschluss auf 50-60 Zeichen geändert...

Wo wir schon beim Thema sind: PayPal hat eine maximale Passwortlänge von 20 Zeichen (Stand 09.03.2021), was meiner Meinung nach für einen Online-Banking Dienst auch nicht wirklich gut ist.

Ich hatte mal etwas Ähnliches erlebt. Als ich bei einer Windows- Version über 556 Zeichen eingeben wollte. Hat Windows dies abgelehnt mit der Begründung das Passwort sei zu lang.😔 Leider weiss ich nicht mehr um welche Windows Version es sich dabei handelte.

PayPal hat auch so eine total unsinnige Passwortlängenbegrenzung im System. Als ich mein PW damals einrichten wollte bin ich fast ausgeflippt, was für ein Müll sich ausgerechnet so ein Finanzunternehmen leistet. Wie der heutige Stand ist weiß ich nicht.

Paypal: max. 20 Zeichen. Sparkasse: max. 5 zahlen

😂🤣😂...maximal 12 Zeichen...🤣😂🤣...ohne Sonderzeichen...😂😂😂😂...ich kann nicht mehr...!😂🤣😂🤣😂🤣😂🤣😂🤣😂🤣😂🤣😂👏👏👏😂🤣😂🤣😂 ...vermutlich wurden die Passwort-Inputs nicht gestreamt, anders kann ich mir das nicht erklären...🤦‍♂️🤷‍♂️ Aber ist doch ideal um eigene brute-forcing tools zu testen! Kannst du die URL teilen? (Joke!)😬 ...hab lang nicht mehr so gelacht wie bei diesem Video... Danke!👍👍👍

Was ist eigentlich mit den Video 'Ich habe doch nichts zu verbergen' passiert ? Ich kann es über die Suche nicht finden und bei durchscrollen durch den Kanal konnte ich auch nicht finden.

ich finde ne maximale passwort länge von 24 oder 32 zeichen akzeptable (Manuell vergebene Passwörter) Meine Frage eher Warum keine Sonderzeidchen bzw Exceptionals das PW wird doch gehasht und mit Kryptographie verschlüsselt, wird beim Sende Prozess etwa die Sonderzeichen als verbotene zeichen erkannt und gewertet da das system dies als execution wertet? Ubisoft bzw Ubisoft Connect Erlaubt Max länge von 16 was auch noch einigermaßen im einklang mit den meisten wäre Mich interesiert es eher als was diese felder gespeichert als Array klar aber mit welcher länge Byte/Short/Integer/Long Integer ?

Frage:) Wenn vorausgesetzt ist, dass kein unerwünschter Zugriff auf die Passwort Datenbank möglich ist (hypothetisch) und eine Limitierung der maximalen Anmeldeversuche vorliegt, besteht dann nach wie vor ein signifikanter Unterschied, ob ich ein Passwort mit 8 oder 30 Zeichen verwende? Vielleicht sehe ich den Wald vor lauter Bäumen nicht :D

Welche Länge benutzt du denn für Passwörter? Bzw. was empfiehlst du?

2:50 zeigt einfach die perfekte Reaktion XD

Sind das schon zu viele Komplimente von mir? Keine Ahnung 😆 Das Video hat mir aufjedenfall wieder sehr gut gefallen und ich fand es echt witzig, da es einfach so bizzar ist xD Ich glaube jeder dachte sich, dass irgendetwas am Titel nicht stimmt oder so haha

Ich finde allgemein Passwortvorgaben total Sinnbefreit. Wenn da dann steht: Muss Sonderzeichen enthalten Muss Zahlen enthalten Muss Großbuchstaben enthalten Zahlen dürfen nicht am Ende stehen Großbuchstaben nicht am Anfang Dann verschwendet man wieder so viele Passwortmöglichkeiten, dass es am Ende nicht mehr Zwangsweise sicherer ist, da man ja extrem viele Möglichkeiten bei ner Attacke direkt rausfiltern kann.

Wenn du dein passwort für die seite vergisst bekommst du es bestimmt auch per email geschickt...

3:44 "Ne hab ich nicht" XD nice. Willkommen in 2021

Stadtsparkasse München hatte bis vor kurzem maximal 6 Stellen fürs Onlinebanking. Wurde inzwischen zum Glück geändert. Die sind jetzt mächtig stolz auf sich.

Könnte eine Obergrenze für Passwörter nicht auf eine 'ungehashte' Speicherung der Passwörter in der Datenbank hindeuten? Hashs haben ja zumeist eine Standartlänge...

Ist eine brute force Protection wenn man limitiert wie oft man ein Passwort eingeben kann oder können hacker dies sowieso einfach umgehen?

Kann mir jemand erklären, was ein SQL Fehler ist? Hab das irgendwie nicht verstanden

Gibt es nicht eigentlich schon Passwortlängen Begrenzungen? Immerhin kann eine Datenbank doch nur begrenzten Speicher freigeben

also ich bin kein profi, aber wie ist es denn bei den großen online job börsen wo man nur einmal seine bewerbung angibt und dann sich auf viele jobs sich bewerben kann aus ?

Bei der letzten Bank wo ich mein Konto hatte gab es irgendwann eine Umstellung des online Bankings wofür man ein neues Passwort für den Account auswählen musste (es gab schon noch zusätzlich einen two factor für Bezahlungen selber, aber auch der war ein IT-sicherheitstechnischer Witz). Auch bei dieser Bank war es so, dass sich die Seite beim erstellen des Account Passwortes beschwerte, dass mein 12 Zeichen Passwort zu lang sei (es waren maximal nur 8 erlaubt). Daraufhin hab ich mein Bankkonto aufgelöst. Ich glaube übrigens, dass dies ein typisch deutsches Problem ist, also zumindest, dass ansich seriöse Unternehmen wirklich unseriöse IT Sicherheitskonzepte haben und immer noch obscurity weit vor Security stellen.

Und könnte die vorgegebene Maximallänge eigentlich ein Hinweis darauf sein, dass die Passwörter nicht als Hash gespeichert werden? Denn bei der Speicherung als Hash sind ja alle Hashes gleich lang und der Speicherverbrauch ist deshalb ebenfalls identisch. Wenn die Passwörter jetzt jedoch im Klartext gespeichert äwerden, dann würden längere Passwörter für den Betreiber auch einen höheren Speicherverbrauch bedeuten... Jetzt macht es mir gerade etwas Angst, dass PayPal eine Maximallänge hat.

Über die Anwendung (HTTPS) kann man kaum 10^12 Versuche durchführen. Die Gefahren liegen woanders. 10^12 ist nur kritisch, wenn man die Datenbank klaut.

Leider ist eine Begrenzung der maximalen Passwortlänge immer noch eher die Regel als die Ausnahme. Bei Paypal ist es bspw. immer noch begrenzt und muss sogar recht kurz sein.

Was für eine coole Anekdote mit den 8 Stellen bei SAP. Meine Frau ist Informatik Lehrerin, das wird sie einbauen

3:56 vielleicht träume ich aber nur, dass ich es mir gerade ansehe.

Ernst gemeinte frage, die zahl 42 ist also echt ne weit verbreitete praxis in passwörtern?? Insbesondere beim anhängen an ein Wort?

Ich frage mich wieso man bei Paypal nur maximal 20 Zeichen für das Passwort benutzen kann.

Knappschaft Kundenportal ... min 8 max 15 .... Standard Einstellung der System I ( IBM Mainframe ) Max 10 und caseinsensitive ... Willkommen im Jahr 2021

Warum soll den Passwörter speichern teuer sein? Sind die nach dem hash nicht alle gleich lang, was auch interessant wäre, ob der Anbieter seine Passwörter hasht. Oder der Web code kann nur strings von bis zu 12 Zeichen Hashen .....warum auch immer.

Cooles video, aber was ist “mahway“( (0:41) Malware?

Was ich vor ner weile mal hatte... da war nem Portal meine EmailAdresse zu lang... ?? überall geht die aber bei denen nicht? :D

Ich habe schon mal nach der Aktion „Passwort vergessen“ eine E-Mail mit meinem Passwort im Klartext erhalten. :) Ich weiß leider nicht mehr welche Seite es war, aber ich benutze sie ja auch nicht mehr.

Ich habe mal eine automatische Mail von einem Forum bekommen, dass ich doch schon länger nicht mehr angemeldet war und falls ich meine Anmeldeinformationen vergessen habe standen die auch gleich noch mit bei. Nicht nur Nutzername auch Passwort - in Klartext... Hat zumindest als Erinnerung gereicht meinen Account zu löschen.

Könntest du bitte die fachwörter und abkürzungen erklären? Hab kaum was gecheckt…

Hab schon bei Banken im Onlinebanking erlebt, dass man nur PINs mit 8 Zeichen für den Online Login festlegen kann. Leider sagen sie einem nicht, dass sie nur 8 Zeichen verwenden..... (Habs gemerkt, weil ich mich nicht anmelden konnte, denn beim verifizieren nehmen sie dann doch alle Zeichen)

Die Rainbowtable des Betreibers geht nur bis 12 Stellen. 😇

Wow und ich dachte, ich wäre der Einzige, der dieses Problem hat! 😂 Bei Paypal und Ricardo gibt es auch eine läppische max. Anzahl der PW Länge. Bis ich mal verstanden habe, dass dies kein Witz von den Seiten war … bin bis heute schockiert … 😐

Bei uns im Unternehmen hat Chef eine Software gekauft die exakt das gleiche Problem hatte: Das Passwort muss 4 Zeichen und darf max 10 Zeichen haben. Ich bin vom Stuhl gefallen! Als ich die Software installiert habe (wusste von dem ganzen noch nichts) und die MS SQL Datenbank erzeugt wurde kam die erste Fehlermeldung: "Passwort entspricht nicht den Gruppenrichtlinien" . Ich dachte mir OK interessant... ich habe dann in die Bat Datei geschaut welche die Datenbank einrichtet und dort war der Benutzername und das Passwort für die Datenbank hinterlegt. Beides entsprach dem Namen der Software *facepalm* natürlich gleich mal abgeändert und weil die Installation durch die Bat Datei schon die halbe Datenbank geschrieben hat, erstmal ein Reset und nochmal das Spiel. Juhuu mit sicherem Namen und Passwort ist die Datenbank eingerichtet. Jetzt das Passwort für die Software hinterlegen... aber wo? Doku raus, steht nix. Hersteller angerufen und der sagt mir: "Das geht nicht das Passwort ist hardgecoded"... WTF? Also der Client der Software greift auf die Datenbank zu (direkt) mit einem fest gecodetem Login in einer nicht verschlüsselten Verbindung und der Nutzer der sich einloggt hat dann ein Passwort festzulegen das 4-10 Zeichen lang ist?! Der größte Witz ist dann noch, dass das Passwort als sha1 hash gespeichert wird... naja wie sicher sha1 ist brauch hier keinem erzählen... aber warum hashen und dann einen Maximalwert festlegen? Ich habe daraufhin die Software noch genauer unter die Lupe genommen und so ein Müll ist mir noch nie untergekommen. Ich entwickel selber Webapplikationen. Bin absolut kein Superman in dem Bereich und kein IT-Sicherheitsexperte aber die absoluten Grundlagen wie SQL Injections, XSS usw. kenne ich und weiß ich zu vermeiden. Aber in der Software lag viel mehr im argen als solche Kleinigkeiten... Daten werden schlecht in der DB abgelegt, keine Fremdschlüssel (ok, kann man mit leben), kaum eine Eingabevalidierung, falsche Datentypen in den Tabellen. Das Ding ist so schlecht, dass nach 1 Jahr Nutzung ich den Cache für die Datenbank auf 8GB erhöhen musste, weil sonst ein Arbeiten kaum möglich ist. Und ja, leider nutzt das Unternehmen die Software weiter... Trotz meiner Funktion als Datenschutzbeauftragter mit einer Risikoanalyse und einer ausdrücklichen Warnung diese Software zu nutzen hat man sich dafür entschieden sie zu verwenden... naja wegen solchen Chefs kommen solche Tools auf den "Markt". Positives Fazit: Ich habe so viel terz gemacht, dass wenigstens die Sicherheitslücken behoben wurden... Jetzt ist es fast nur noch Programmiertechnischer Dreck der aber wenigstens halbwegs sicher ist.

Hab ich auch erst kürzlich gesehen, Passwortrichtlinie: Länge zwischen 8 und 15 Zeichen, MUSS enthalten: 1x Großbuchstabe, 1x Kleinbuchstabe, 2x Zahlen, 2x Sonderzeichen Mit jedem "muss" wird das Passwort unsicherer da es die möglichen Kombinationen nur deutlich einschränkt.

Also eine Maximallänge Ansich ist ja sinvoll, um die Datenbanken nicht so aufzublähen oder Overflows zu verhindern. Aber dann kann eine solche Obergrenze ja bei 20, 30 oder 40 setzen.

Was glaubst du eigentlich wer du bist? Nur weil du dieses Video gemacht hast habe ich jetzt eine Gehirnerschütterung. So viele Stirnklatscher von solch einer Wucht hatte ich lang nicht mehr. Ich meine wenn selbst ich als nicht Programierer das verstehe. Kriegst ein Abo.

PHP schneidet ggf. nach 72 Zeichen das Passwort ab, daher wäre 72 Zeichen noch verständlich. Aber 12 Zeichen ist doch etwas wenig. Das Problem hatte ich aber auch gerade bei einem Stromanbieter, der hat für sein Kundenportal auch eine (zu kurze) Maximallänge, die dazu noch nirgendwo kommuniziert wird, ein längeres Passwort wird einfach mit dem (unsinnigen) Hinweis auf "zu kurz, muss mindestens 8 Zeichen und 3 der 4 Gruppen Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten" abgewiesen.

Genau darüber habe ich mich neulich bei Paypal und meiner Versicherung aufgeregt.

außerdem: wenn die passwörter gehasht gespeichert werden (hoffentlich 😂) sind ja eh alle gleich lang oder?

Bei SAP war das aber auch früher so wenn die Probleme, und die Passwörter zu prüfen bei einer Länge von über 8, dann hatte auch sonst so ziemlich niemand dreh Kapazitäten des alles auszuprobieren. Und ich glaube nicht dass die immer noch so "schwaches" Sicherheitssystem haben

Habe mich darüber auch schon mehrfach aufgeregt. Aber zusätzlich noch mit den SQL Fehlern und den fehlenden gesperrten Passwörtern, so extrem hatte ich es noch nie. Selbst bei PayPal gibt es eine Maximallänge von 20 Zeichen, natürlich sollte das dicke ausreichen, aber wieso man diese Maximallänge festlegt verstehe ich dennoch nicht.

ich muss sagen auf recht vielen Portalen ist es üblich nicht mehr als 16 oder 24 stellen zuzulassen komplett wierd

Lass mich raten, welches Portal das war? (Anbieter, die "kurze" Passwörter erfordern, sind bei mir "unten durch".)

Warscheindlich ist genau das der Grund warum sie einen IT-ler anstellen wollen

Hey, vielen Dank für die sehr guten Videos. Ich hab eine Frage an dich. Ich überlege zurzeit ein Studium in der Informatik zu beginnen. Ich bin schon Mitte zwanzig und habe bisher als Elektrotechniker gearbeitet. Ich interessiere mich sehr für die IT-Sicherheit. Deshalb überlege ich mir eventuell ein spezialisierteres Studium in der IT-Sicherheit zu starten. Ich bin mir aber nicht sicher ob ein “normales” Informatik Studium vielleicht doch mehr Sinn machen würde. In dem IT-Sicherheit Studium wird beispielsweise auf das Modul Theoretische Informatik verzichtet. Was ist deine Meinung dazu? Würde mich sehr interessieren :) Kleine Info am Rande: ich will das Studium berufsbegleitend durchziehen. Danke schonmal im Voraus :)

Übrigens auch bei PayPal der Fall. Maximal 16 Zeichen

ich nutze einen Passwort Generator der Buchstaben Sonderzeichen und zahlen nutzt ist sowas gut und Sicher ????

Wow. Da ist man echt sprachlos. War das denn ein Bewerbungsportal direkt von dem suchenden Arbeitgeber, oder ein Portal eines externen Anbieters?

Ui... mutig. :D Den Betreiber informieren kann gefährlich werden (nebenbei denke ich schmunzelnd an: CDU vs. CCC *vor lachen Schnappatmung*)

Was ich fast noch mehr hasse, weil es einfach nervt: Bitte wähle eine Kombination aus Zahlen, Buchstaben und **diesen Sonderzeichen** aus.. Das ist einfach unpraktisch, wenn man einen Passwort-Generator benutzt... O.o

Ist beim Online-Shop von Media Markt übrigens ähnlich: Mindestens 8, maximal 15 Zeichen, aber immerhin dürfen (und müssen) sowohl Zahlen als auch Sonderzeichen verwendet werden… Mir trotzdem unverständlich, zumal es nicht so schwer ist, ein anständiges Login-System mit gutem hashing und v.a. ohne solche Beschränkungen zu implementieren. Aber ich vermute bei sowas einfach mal, dass es „historisch gewachsen“ ist

Ich befürchte ja bei der Qualität des Projekts, dass das Passwort maximal 12 Stellen sein darf, weil es in einem VARCHAR(12) gespeichert wird, so ganz ohne salted Hash.

Ich hab mich schon auf vielen schlechten Plattformen registrieren müsseb und oh weh. Da kommen Erinnerungen hoch. Mein persönliches Highlight war ja mal eine, wo man einfach kein Passwort angeben musste. Ja richtig gelesen. Man konnte zwar, aber wenn man da einfach nichts eingegeben hat ging es auch. Den Betreibern da war wohl die Sicherheit ihrer Kunden/User so egal das die sich erst garnicht darum gekümmert haben. Mitlerweile gibt es die platform auch nicht mehr. Ich frag mich echt ob die einfach mal komplett gecrackt wurde.

Bei MySQL ist ja auch rce möglich. Das heißt sie haben nicht nur die bewerber sondern auch ihre eigene infrastruktur in gefahr gebracht

Limits wie 64 oder 128 zeichen sind verständlich, weil sie sehr warscheinlich techschnisch bedingt sind (einfach weils typische bitlimits sind). aber ein limtit von 12 ist einfach nur EXTREM schlechtes design. Microsoft hat 8-20 zeichen... Noch schmlimmer sind dienste, die zu lange passworter annehmen und dann anpassen... KEIN SCHERZ, das ist mir u.a. BEI STEAM passiert. Wie gehinamputiert muss ein developer sein, sowas einzubauen. Musste mit meinem handy wieder zurücksetzen bis ich das unsichtbare limit getroffen hatte.

Wie hat der Seitenbetreiber nach deinem Hinweis dann reagiert?