it-swarm.com.de

Warum muss ich für solche Websites ein "sicheres" Passwort haben?

Ich teile keine persönlichen Informationen mit StackExchange, ich mache mir keine Sorgen darüber, dass jemand versucht, mein Konto zu hacken, und ich sehe keinen Anreiz dafür, und dennoch sind die Anforderungen an die Kennwortstärke die höchsten, die ich habe. habe jemals gesehen.

Warum bestehen diese und andere Websites auf sicheren Passwörtern? Was ist der Grund dafür? Ich kann verstehen, warum meine Bank auf hoher Sicherheit besteht, aber liegt es nicht an mir, wie sicher ich hier sein möchte?

32
SPM

Erinnerst du dich an Anfang dieses Jahres, als Apples Cloud gehackt wurde?

Nun, Apples Cloud wurde nicht gehackt . Einige Prominente mit wirklich schwachen Passwörtern hatten ihre Passwörter erraten.

Aber die Schlagzeilen werden immer noch lauten, dass Apples Cloud gehackt wurde. Und deshalb erlauben Sie Benutzern nicht, wirklich schwache Passwörter zu verwenden.

57
Andrew Hoffman

Einige Benutzer geben keine persönlichen Informationen an und kümmern sich nicht darum, ob ihr Konto gehackt wird. Andere werden. Es ist einfach, von jedem sichere Passwörter zu verlangen, und es ist schwierig herauszufinden, welche Benutzer in welche Kategorie fallen und nur von der letzteren Gruppe sichere Passwörter benötigen. Warum sollten sie sich also die Mühe machen, es auf die schwierige Weise zu tun?

Bearbeitet, um hinzuzufügen: Die Erfahrung zeigt uns, dass Sie sich definitiv nicht darauf verlassen können, dass Benutzer ihre eigenen Sicherheitsanforderungen bewerten und sichere Kennwörter auswählen, wenn sie Sicherheit benötigen. Viele Benutzer, die ein hohes Maß an Sicherheit wünschen und erwarten, wählen dennoch schwache Passwörter aus, wenn sie dazu berechtigt sind.

21
Mike Scott

Nur weil es für dich nicht wichtig ist, heißt das nicht, dass es für niemanden wichtig ist. Ich habe von der StackExchange-Website einen Kick-Ass-Job bekommen, der hauptsächlich auf meinem Ruf auf den StackExchange-Websites basiert. Wenn mein Konto kompromittiert würde, könnte dies sehr reale Konsequenzen für Leute wie mich haben.

Unabhängig davon, ob es Ihnen wichtig ist, dass Ihr Konto kompromittiert wird oder nicht, wenn für eine Website ein Kennwort erforderlich ist, warum sollte es dann nicht erforderlich sein, dass es sicher ist? Das nicht zu verlangen wäre eine Übung in Sicherheitstheater .

11
Abe Miessler

Ihr Passwort schützt nicht nur Ihr Konto, sondern auch die gesamte Community und den Ruf dieser Website. - Wenn viele Benutzer, die sich nicht um ihre Konten kümmern, nur "123" als Passwort verwenden würden, könnte ein Angreifer wahrscheinlich leicht auf einige hundert SE-Konten zugreifen. Alle Arten von SPAM-Schutz könnten durch Verwendung verifizierter Benutzerkonten umgangen werden, und die gesamte Seite könnte mit Werbung, Verleumdung oder für extremste Politik überflutet werden.

Darüber hinaus könnten solche Aktionen das gesamte SE-Netzwerk schlecht widerspiegeln, da sie es leicht ermöglichten, ihren Dienst zu hacken und die gesamte Seite für extremistische Schokoladenpropaganda zu verwenden! Darüber hinaus bieten viele Seiten Möglichkeiten zum Senden von E-Mails, Hochladen von Dateien oder andere Möglichkeiten, die ein Problem darstellen, wenn sie über eine große Anzahl gehackter Konten missbraucht werden.

Konten könnten wahrscheinlich missbraucht werden, um illegale Inhalte zu hosten oder SPAM an andere Seiten zu senden.

7
Falco

Sie können sich mit Google Mail oder Facebook anmelden, glaube ich. Dann gelten diese Regeln. Warum zwingen sie uns? Weil sie wollen. Es ist nicht nur so, dass Sie sich Sorgen machen, dass Ihr Konto gehackt wird, sondern sie könnten sich auch Sorgen machen, dass Ihr Konto gehackt wird. Für Sie - 1 Punkt SE Starter - kein wirkliches Problem. Für SE - in Ihrem Fall - wenn Sie kein aktiver Benutzer werden - kein Problem.

Sie beginnen hier, finden gute Antworten und Unterstützung, genießen es, werden ein aktiver und guter Benutzer mit einem schwachen Passwort. Dann haben Sie Glaubwürdigkeit und Ihr Konto wird gehackt, Spam wird veröffentlicht. Ich weiß nicht, was dann passiert, aber vielleicht ist Ihr Konto geschlossen oder gelöscht. Es ist eine Menge Ärger, SE muss Ihre Identität überprüfen - verschwendete Zeit und Energie!

Abgesehen von der Tatsache, dass alle Ihre Punkte verloren gehen, gute Punkte, mit denen Sie auf Probleme aufmerksam machen können, die verloren gegangen sind, verliert SE ein wenig an Glaubwürdigkeit. Dann haben sie zwei weitere Anreize, uns zu zwingen, gute Passwörter zu verwenden. Erstens ist es für Cracker weniger attraktiv, in Konten einzubrechen, und je schwieriger es ist, desto weniger Menschen werden dies versuchen. Die zweite betrifft Marketing und Bildung: Sie lehren uns, die Techniker, die dies sowieso tun sollten, gute Passwörter zu verwenden und Lösungen zu finden, damit wir uns an sie erinnern können.

2
SPRBRN

Meine Frau und ich sprechen ständig mit unseren Kindern über Gewohnheiten. "Du wirst tun, was du übst". Meine Gewohnheit ist, dass ich LastPass Premium für alle Online-Passwörter verwende und wenn möglich die Google-Authentifizierung oder andere Unterstützung für die Multi-Faktor-Authentifizierung aktiviere.

Ehrlich gesagt gibt es nur sehr wenige Passwörter, die ich tatsächlich kenne oder die ich gerne kenne. LastPass generiert ein sicheres Passwort und ich muss mich nicht daran erinnern. Zum Beispiel "8G62USWh @ C! PDP ^ F @".

Außerdem verwende ich gerne Open ID wie Google ID, zum Beispiel auf Stack. Dadurch kann ich eine starke und vielschichtige Authentifizierung verwenden.

Aber auf zynische Weise haben Sie Recht, diese Seite ist für die Sicherheit nicht wirklich wichtig. Aber welche Gewohnheit üben Sie?

2
JH Webb

Einige Websites, einschließlich Stack Exchange, ermöglichen Benutzern, Berechtigungen zu erlangen, die bei Missbrauch der gesamten Website und der Benutzerbasis außerordentlich schädlich sein können, z. B. wenn ein böswilliger Benutzer die Kontrolle über das Konto erlangt. Unter der Annahme, dass die Site Kennwörter beim Speichern ordnungsgemäß hascht, ist es nicht einfach, die Kennwortstärke (ohne Verwendung eines ressourcen- und zeitaufwändigen Brute-Force-Angriffs auf der Serverseite) zu messen, sobald das Kennwort übermittelt wurde (theoretisch könnte der Wert für die Kennwortstärke sein Wird bei der Anmeldung gespeichert, damit Sie später darauf zurückgreifen können. Dies ist jedoch eine sehr ungewöhnliche Maßnahme, die ich in dieser Antwort ignorieren werde.)

Angenommen, ein Stack Exchange-Benutzer hat ein schwaches Kennwort. Was ist, wenn der Benutzer über einen bestimmten Zeitraum stark teilnimmt und letztendlich wird gewählt oder zum ♦ Moderator ernannt auf einer bestimmten SE-Site?

0
bwDraco

Erstens sollten Sie Passwörter auf Ihre Bankkonten schreiben, damit weltliche persönliche Informationen wie Ihr Geburtstag nicht einfach gegen Sie verwendet werden können.

Zweitens sollten Sie einen Passwort-Manager wie KeePassX.org haben, der das Speichern vernünftiger, aber nicht überkritischer Passwörter relativ einfach macht.

Drittens haben Sie absolut Recht, dass typische Websites kein sicheres Passwort benötigen, selbst wenn sie es wollen.

Im Fall von Stack Exchange gibt es jedoch eine careers.stackoverflow.com Site, auf der Sie möglicherweise persönliche Informationen teilen. Sie sollten Ihr Passwort hier wahrscheinlich ungefähr so ​​sicher sichern, wie Sie Ihr Facebook-Passwort sichern, aber nicht so genau, wie Sie es sichern, sagen Sie Ihr Google Mail-Passwort.

0
Jeff Burdges