Joah.: Passwort zu einfach

SELF-Forum

Passwort zu einfach

Joah.
Informationen zu den Bewertungsregeln

Hi Leute,

ich bin gerade an einer Validierungs-Funktion, die Passwörter validieren soll, z.B. sollen bestimmte Passwörter wie sonne, gott, liebe etc. nicht erlaubt werden. Darüber hinaus würde ich gerne über eine "Spelling-Funktion" die Komplexität eines Passwortes prüfen, z.B. 111 hätte ne sehr niedrige Komplexität, nur 3 Zeichen, diese sind alle identisch, dieses Passwort sollte dann auch nicht zugelassen werden. 111402 sind z.b. 6 Zeichen, wovon 4 verschieden sind.

Ich könnte jetzt natürlich diese Funktion selbst aufbauen, ich würde nur gerne wissen, ob es sowas irgendwo schon gibt?!?

Danke für eure Hilfe.

Joah.

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Passwort zu einfach

    Daniel
    Informationen zu den Bewertungsregeln

    Ahoi Joah.,

    Ich könnte jetzt natürlich diese Funktion selbst aufbauen, ich würde nur gerne wissen, ob es sowas irgendwo schon gibt?!?

    wenn überhaupt würde ich einen hinweis dazu machen, wie z.B. "ihr
    passwort ist sehr unsicher, wollen sie es wirklich verwenden?" oder ein
    "das passwort ist zu kurz (min. x Zeichen)" alles andere halte ich für
    unnötig.

    MfG

    --
    Alle Angaben wie immer ohne Gewähr
    PPPS: ich trinke gerne ab und an mal eine tote Tante.
    Beitrag melden
    Informationen zu den Bewertungsregeln

  2. Passwort zu einfach

    Twilo
    Informationen zu den Bewertungsregeln

    Hallo,

    Ich könnte jetzt natürlich diese Funktion selbst aufbauen, ich würde nur gerne wissen, ob es sowas irgendwo schon gibt?!?

    dafür gibt es ein PECL Packages

    ohne Rootserver wird die das Packages relativ wenig nützen, da ich nicht glaube, dass ein Webspace Anbieter soetwas integriert

    mfg
    Twilo

    Beitrag melden
    Informationen zu den Bewertungsregeln

  3. Passwort zu einfach

    rob
    Informationen zu den Bewertungsregeln

    Moin!

    Ich könnte jetzt natürlich diese Funktion selbst aufbauen, ich würde nur gerne wissen, ob es sowas irgendwo schon gibt?!?

    Ja, gibt es. Eigentlich hat man eine ganze Menge zur Auswahl. Ich würde aber erstmal bei den PHP-Funktionen bleiben.
    http://php3.de/manual/de/ref.crack.php
    (BTW: Ein Blick ins PHP-Handbuch hätte unter Umständen weiter helfen können...)

    Gruß, rob

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Passwort zu einfach

      Marc Reichelt Homepage des Autors
      Informationen zu den Bewertungsregeln

      Hallo rob,

      Ja, gibt es. Eigentlich hat man eine ganze Menge zur Auswahl. Ich würde aber erstmal bei den PHP-Funktionen bleiben.
      http://php3.de/manual/de/ref.crack.php
      (BTW: Ein Blick ins PHP-Handbuch hätte unter Umständen weiter helfen können...)

      <zitat>
      Anmerkung: Diese Erweiterung wurde aus der Distribution von PHP 5 entfernt und steht in PECL zur Verfügung.
      </zitat>

      ;-)

      Grüße

      Marc Reichelt || http://www.marcreichelt.de/

      --
      Linux is like a wigwam - no windows, no gates and an Apache inside!
      Selfcode: ie:{ fl:| br:> va:} ls:< fo:} rl:( n4:( ss:) de:> js:| ch:? sh:| mo:) zu:)
      http://emmanuel.dammerer.at/selfcode.html
      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. Passwort zu einfach

        Twilo
        Informationen zu den Bewertungsregeln

        Hallo,

        <zitat>
        Anmerkung: Diese Erweiterung wurde aus der Distribution von PHP 5 entfernt und steht in PECL zur Verfügung.
        </zitat>

        ;-)

        dann sind wir wieder hier ;-)
        mfg
        Twilo

        Beitrag melden
        Informationen zu den Bewertungsregeln

  4. Passwort zu einfach

    Christoph Zurnieden
    Informationen zu den Bewertungsregeln

    Hi,

    ich bin gerade an einer Validierungs-Funktion, die Passwörter validieren soll, z.B. sollen bestimmte Passwörter wie sonne, gott, liebe etc. nicht erlaubt werden.

    Das ist aber verkehrt herum, es sind gute Paßwörter zuzuteilen, nicht gewählte Paßworte zu prüfen. (Eindeutiges Signal, das die Vorgabe falsch ist, sind die ganzen Negationen: "nicht erlaubt", "nicht zugelassen" usw.) Es gibt für PHP einige Pakete zur automatischen Paßwortgenerierung, schau einfach mal bei PEAR o.ä. Quelltöpfen vorbei.

    Warum?
    Es ist ein Sicherheitsrisiko, da es die Menge der zur Verfügung stehenden Paßworte verkleinert.
    Wenn Du bestimmte Paßworte, die sich der Kunde gewählt hat nicht erlauben willst, mußt Du ihm das mitteilen. Ein mögliches Paßwort aus dem Pool weniger. Nicht schlimm? Ja, _das_ ist nicht schlimm, das ist korrekt. Aber was, wenn sich jemand rein zufällig ein bereits vorhandenes Paßwort wählt? Mit ein paar Versuchen hat der Angreifer spitz, das Du die sogenannten "guten Paßworte" verlangst: nichts aus dem Wörterbuch, keine mehrfachen Zeichen (in Reihe) immer schön bunt gemischt usw. Nun gibt er "kU8%l,Z$" ein und bekommt die Meldung "Dieses Paßwort ist nicht gut, bitte wählen sie eine anderes". Mmmh... was wird er sich dabei wohl denken?
    Gut, dem Ausprobieren kann man vorbeugen, klar. Aber das kostet Geld und Mühe und Komplexität in der Software.
    Bei Nutzung eines automatischen Paßwortgenerators generierst Du das Paßwort und schickst es dem Kunden über die SSL-Verbindung zurück. Den freien Platz auf dieser Seite kannst Du für ein paar Sätze nutzen, wie man das Paßwort sicher aufbewahrt und vor allem warum, wie man jederzeit und völlig kostenfrei ein neues bekommt und wieviel Rabatt man bekommt, wenn man das auch regelmäßig tut usw.

    so short

    Christoph Zurnieden

    Beitrag melden
    Informationen zu den Bewertungsregeln