WTF!

Ich hatte mir gestern mal einen Paypal-Account erstellt und nach dem ich diesen Verifizieren wollte konnte ich mich nicht einloggen da mein Passwort angeblich nicht stimmt. Alle Fehler die man so als Admin kennt habe ich geprüft (z, y Problem, Caps lock usw.) und zweifelte irgend wann an mir selbst.

Das zuschicken eines neuen Passwortes funktionierte nicht da die Mail Adresse ja nicht verifiziert werden konnte, siehe oben.

Heute habe ich dann mit Hilfe des Supports mein Passwort erneut zurücksetzten lassen und erstmal ein 12 stelliges Standard PW genutzt. Dann habe ich die Mail verifiziert und alles hat funktioniert. Nun wollte ich gerade auf mein 24 stelliges Online Banking HichSec Passwort wechseln und siehe da beim Loggin kommt es wieder zu einem Fehler.

Ich hatte dann schon eine Ahnung da mir bei der Eingabe des Passwortes aufgefallen war das bei den letzten 4 Stellen keine Punkte mehr im Eingabefeld auftauchten, nur dachte das wäre ein schlichter Anzeige-Bug im Eingabefeld.

Naja, gebe ich nur die erste 20 Zeichen ein kann ich mich ohne Problem einloggen. Mit 21 geht es schon nicht mehr.

Irgend wie komisch für eine Firma die auf der Website mehrmals darauf hinweist das sie doch alles für meine Sicherheit tun würden mir vorzuschreiben wie lang mein Passwort sein darf.

Muss ich mir sorgen machen? :redface:

:mad:

Falls das hier das falsche Forum ist bitte verschieben. Danke.

Mit 20 Zeichen bist du noch gut bedient. Meine Bank erlaub nur Passwörter mit fünf Zeichen ... Das nenn ich Sicherheit!

Mit 20 Zeichen bist du noch gut bedient. Meine Bank erlaub nur Passwörter mit fünf Zeichen ... Das nenn ich Sicherheit!

Meine auch. Aber Transaktionen sind bei mir per TAN Liste abgesichert.

Ich finde 20 Zeichen aber auch schon als, derzeit, sicher.

Buchstaben Groß/Klein, Nummern, Sonderzeichen, Minus (-), Underline (_) und Klammern sollte doch derzeit nicht knackbar sein.

Ausser die NSA setzt ihre Supercomputer mit all ihrer Macht auf dich an. Und selbst da wüsste ich nicht wie lange es dauern würde.

Solang du nicht weißt wie die Passwörter abgelegt werden sind Passwörter >20 Zeichen auch eher unnötig, darüber hinaus ist natürlich auch die Frage wie zufällig dieses Passwort dann überhaupt ist.

Ist schon dämmlich, kein Mensch zählt die Pünktchen beim Erstellen des Passworts. Da sollte man meinen das man zumindest drauf hingewiesen wird wenn man versucht mehr als 20 Chars einzugeben.

Nur mal als ganz blöder Gedanke. Verschwörung ahoi. ;)

Wenn man weiß wie lang die maximale Länge eines Passwortes ist, müsste es doch wesentlich leichter sein eine Methode zu finden dieses zu knacken, als wenn man von einer variablen Länge von X Bits ausgeht.

Das Paypal nun mal politisch agiert hat die Vergangenheit ja oft genug gezeigt.

Richtig, es wird einfacher, wenn man die Maximallänge kennt. Sagen wir mal das Passwort besteht aus Zeichen eines Pools von 80 Zeichen (Buchstaben groß/klein, Zahlen, Sonderzeichen). D.h. mit jeden weiteren Zeichen kommt der achtzigfache Aufwand dazu....

PW mit 1 Zeichen prüfen: 80
PW mit 2 Zeichen prüfen: 80*80
PW mit 3 Zeichen prüfen: 80*80*80
...
PW mit 20 Zeichen prüfen: 80^20 = 1,152921504606846976e+38 (ist schon ne sehr große Zahl)

Jetzt kennt man aber nur die Maximallänge... es kann natürlich sein, dass dein Passwort auch kürzer ist... also ist es die Summe der einzelnen Aufwände... wenn du jetzt wirklich denkst, das machen die, um irgendwelche Angriffe zu erleichtern, dann würde ich professionelle Hilfe empfehlen.

Jetzt mal ehrlich... Paypal bekommt dein Passwort ja beim Erstellen des Accounts im Klartext... warum sollte Paypal politisch handeln, um das Knacken von Accounts auf ihren Seiten zu vereinfachen? Wenn sie politisch handeln wollten, könnten sie das Passwort auch schlicht im Klartext speichern und der NSA aushändigen...

Das man Datenbanken absaugen kann hat sich nun wohl oft genug bestätigt. Damit landen alle eure Passwörter bei irgend wem und der muss im Zweifel nur eine Brute Force Attacke auf die DB starten. Das auch als sicher geglaubte Kryptographie Verfahren aus getrickst werden können ist auch nicht neu. Das es die Snowden Enthüllungen gab, ist auch nicht wirklich lange her. :redface:

Dabei werden dann sicher tausende schwache Passwörter ausgespuckt und ich will nur das meines in keinem Fall mit dabei ist. Ich habe halt kein Problem mir ein 24 stelliges Passwort zu merken. Selbst die Sparkasse bekommt das hin. Warum überhaupt eine Begrenzung auf 20 Zeichen?

Und mal ehrlich. Meine Passwörter sind meist recht lang und ich hatte noch nie ein System das damit Probleme hatte. Zumindest seid es das Internet ab dem Jahr 2001 gibt. Davor war das alles nun wirklich noch kein Thema. Also die Passwort Sicherheit im Internet von 1987-98.

Meine Fresse... das ist nur eine -eigentlich keine- Lücke von z.B. dutzende potentiellen Schwachstellen (Server, gesprächige Mitarbeiter, Implementierung, verräterische Hinweise, Updates,Regierungszugriff etc.). Das Passwort kann auch 1000 Zeichen lang sein; die anderen bleiben bestehen...

Irgend wie komisch für eine Firma die auf der Website mehrmals darauf hinweist das sie doch alles für meine Sicherheit tun würden mir vorzuschreiben wie lang mein Passwort sein darf.



Paypal war schon immer nur "Sicherheit by Marketing".

Muss ich mir sorgen machen? :redface:
Die meisten Sorgen solltest du dir um die Wiederverwendung des Passworts machen.
Auch 24 Stellen sind nicht sicher, wenn sie bei einem Anbieter mit schlechten Sicherheitspraktiken rausgetragen werden.

Also ich habe meist nur Passwörter in einer Länge von 8 Zeichen. Länger mag ich es nicht, weil ich bei der Kombination aus Klein-/Großbuchstaben, Zahlen und Sonderzeichen doch ab un zu vertippe und sich das Passwort für jede Seite Internet-Seite, E-Mail-Konten, Rechner, Programme, ... unterscheidet. Wenn du magst, schicke ich dir einen Hash davon.

Die Kunst ist nicht, sich ein 24-stelliges Passwort zu merken. Die Kunst ist es, sich sichere Passwörter zu merken. Viele. Denn trauen kann man leider keiner Seite. Nicht mal 3dcenter. Woher soll ich denn wissen, ob hier nicht irgendwelche Stümper am Werk sind, die das Passwort sogar im Klartext speichern?

Und ich habe auch ein Passwort, 36 Stellen, nur Buchstaben und Zahlen, keine Sonderzeichen... das habe ich mal vor 15 Jahren oder so "entwickelt". Enthält keine Wörter. Aber das Passwort will ich gar nicht eingeben, weil mir die Vertipp-Gefahr einfach zu groß ist.

Und sagen wir einfach mal, jemand schafft es 100 Milliarde Hashes per Brute Force bei deinem 20-stelligen Passwort zu berechnen. Dann sind das im Mittel immer noch 576460752303423488000000000 Sekunden, bis er dein Passwort trifft. Also etwa 18329668813066731786,7 Jahre. Und da ist die Zeit für 19-,18-,17-,...-stellige Passwörter, die man davor ja auch noch probieren muss, noch gar nicht dabei...

Kein Passwort ist unknackbar. Kryptologie ist nicht unknackbar. Man kann den Kampf nur über den Faktor Zeit gewinnen.

Die Frage, warum man die Passwortlänge begrenzt mag berechtigt sein. Andererseits: Aus Sicherheitsgründen ist es wiederum sinnvoll, alle Eingaben irgendwo zu begrenzen. Welche Grenze ist sinnvoll? Man sollte sich nichts vormachen, alles im Computer ist irgendwie begrenzt. Ein 256-Bit-Hash erlaubt 1,1579208923731619542357098500869e+77 Kombinationen. Ein 41-stelliges Passwort mit den vorher angenommenen 80 möglichen Zeichen erlaubt 1,0633823966279326983230456482243e+78 Kombinationen. D.h., da kann nicht mehr sichergestellt werden, dass für mein eigenes Passwort auch ein eigener kollisionsfreier Hash erzeugt wird. Irgendwo gibt es immer Grenzen.

Beim Thema Passwort liegt die Sicherheit zumindest zum Teil in unserer Hand. PayPal hier irgendwas zu unterstellen, man würde absichtlich hier die Sicherheit reduzieren, ist allerdings lächerlich. 3dcenter begrenzt das Passwort übrigens auf 50 Zeichen. Das klingt für mich nach einer Verschwörung, wo doch hier gefordert wird "Keine Grenzen".

Ich würde da so etwas wie KeepassX empfehlen, dann muss man sich nur 1 komplexes Passwort merken.

Für ein quentchen mehr Sicherheit lässt sich bei PayPal auch two-factor authentication nutzen.

Ich finde es schon kraß wie hier, gerade mal 2 Jahre nach Snowden mir eingeredet wird das man solche Paßwörter ja nicht braucht und 8 Stellen + Sonderzeichen doch ausreichen.

Dann ließt man noch solche Kommentare wie "Paypal hat doch eh dein Klartextpaßwort". Das läßt nur auf einige Wissenslücken schließen. Denn wenn der Mechanismus der Eingabe des Paßwortes richtig implementiert ist dann sieht Paypal niemals mein Paßwort im Klartext. Wozu auch.

Ich persönlich nutze nun mal gerne lange und komplexe Passwörter die ich auch nicht bei zig Accounts gleichzeitig verwende und finde es nun mal nicht vertrauenerweckend wenn Paypal eben nur die 20 Zeichen zuläßt. Zumal mir das bei modernen Betriebssystemen oder Internetdiensten noch nie passiert ist. Selbst Facebook nimmt ohne Probleme mehr als 20 Zeichen an, wenn man möchte.

Du kannst ja gern mal bei Paypal anfragen wie deine Account-Daten in der Datenbank abgelegt werden.
Selbst wenn sie dir mit einer Erklärung aufwarten sollten heißt das noch lange nicht das sie es auch wirklich so sicher umgesetzt haben - aus diesem Grund ist auch die Diskussion müßig.

Natürlich sind längere (komplexe) Passwörter besser und eine Begrenzung auf 20 Zeichen nicht wirklich zeitgemäß, es gibt aber viel entscheidendere Punkte bei der ganzen Sache auf die du überhaupt keinen Einfluss nehmen kannst (und auch nicht erfährst).

Naja, ich behaupte du bekommst auch ein Passwort mit unter 20 Zeichen relativ sicher hin. Solange du nicht mausi75 oder Petraistdiebeste4 nutzt.
Du wirst doch i.d.R. eh nach ein paar Versuchen gekicked und bekommst 'ne Mail dass da was schiefgelaufen ist oder? :freak:
Wandelst du es um in z.B. p3tra1std13b3st3! wird es schon bei 17 Zeichen nicht mehr so leicht.
[edit] Mist, eigentlich ein cooles Passwort. XD

Das läßt nur auf einige Wissenslücken schließen. Denn wenn der Mechanismus der Eingabe des Paßwortes richtig implementiert ist dann sieht Paypal niemals mein Paßwort im Klartext. Wozu auch.


Du glaubst wirklich paypal bzw. die anfragende Behörde benötigt dein Passwort egal ob es ihnen unverschlüsselt oder nur als Hash vorliegt oder dein "Einverständnis" um auf sämtliche Daten deines Kontos inkl. Zahlungshistorie über einen langen Zeitraum zuzugreifen?

Was ist denn nun dein konkreter Vorteil wenn du ein Passwort mit mehr als 20 Zeichen hast?
Soweit sie es nicht geändert haben kann man auf der normalen Seite nur einige male versuchen das Passwort per "bruteforce" zu knacken dann wird das Konto gesperrt.
Und im falle eines "hacks" der Zugangsdaten würdest du doch dein Passwort ändern und nicht sagen "na ich habe doch 20+ stellen das brauch ich nicht ändern das knackt ja niemand".

Wandelst du es um in z.B. p3tra1std13b3st3! wird es schon bei 17 Zeichen nicht mehr so leicht.
Don't try this at home :frown:

Bitte bitte macht das nicht und glaubt ihr hättet viel gewonnen...
Leetspeak und ähnliche Substitutionen macht euch jede regelbasierte Cracker-SW.

Don't try this at home :frown:

Bitte bitte macht das nicht und glaubt ihr hättet viel gewonnen...
Leetspeak und ähnliche Substitutionen macht euch jede regelbasierte Cracker-SW.

Ich ging jetzt mal von dem ominösen Nachbarn aus, der dein Passwort erraten will, nicht von hochspezialisierter Crack-Software. ;)

Ich finde es schon kraß wie hier, gerade mal 2 Jahre nach Snowden mir eingeredet wird das man solche Paßwörter ja nicht braucht und 8 Stellen + Sonderzeichen doch ausreichen.
Ich will ja nichts sagen, aber das Paypal SSL Zertifikat (incl. Key) liegt bei Akamai.
Es ist also nicht nur eine Frage, ob man Paypal vertraut, sondern auch eine, ob man Akamai vertraut.

Zwei Jahre nach Snowden hat sich nichts geändert: Zu glauben, es gäbe sichere Verschlüsslung und Verschlüsslung ist das Allheil-Mittel ist einfach ein Irrglauben! Das heißt nicht, dass man auf Verschlüsslung verzichten kann, es heißt nur, dass es nicht sicher sein muss.

Das Passwort ist ein einzelner Baustein eines Sicherheitskonstrukts.
Eine geschlossene Tür ist immer noch besser als eine offene, auch wenn sie nicht verschlossen ist.
Eines von zwei Türschlössern zu verwenden ist immer noch besser als gar keines zu verwenden.
Die Tür zu schließen macht auch dann Sinn wenn daneben das Fenster offen steht.

In Sachen Netzsicherheit geht eigentlich immer irgendwas schief und die Wege sind oft nicht vorhersehbar. Wär hätte gedacht dass ein Multimilliardendollar Konzern wie Sony einen Zufallsgenerator baut der immer den Wert 4 zurückgibt? Oder ein Rootkit auf eine Musik-CD drauf packt?

Warum sollte ein Hacker soviel Energie investieren um ein Passwort zu hacken dass mehr als 20 Zeichen hat? Na wenns nichts kostet? Hacker suchen die Herausforderung und erkennen sehr gut mit wem sie es zu tun haben. Deutlich simplifiziert dargestellt im Film Hackers ("Er ordnet seine Dateien sauber und platzsparend, das muss ein Hacker sein").

Also nur mal so. Egal ob SSL oder sonst was eingesetzt wird. Wenn ich in einem Web-Formular ein Passwort eingebe, dann landet das erst mal im Klartext bei dem Server, der das Passwort entgegennimmt. Bei jedem Login-Versuch wird das Passwort im Klartext an die Paypal-Server geschickt.

Natürlich (oder hoffentlich) werden die Passwörter bei Paypal mit Hilfe einer Einweg-Funktion irgendwie "verschleiert". Aber grundsätzlich landet das Passwort erst mal verschlüsselt dort.

"Denn wenn der Mechanismus der Eingabe des Paßwortes richtig implementiert ist dann sieht Paypal niemals mein Paßwort im Klartext. Wozu auch."
Selbst wenn Paypal alles richtig implementiert, bekommen die Server das Passwort im Klartext entgegen. Und deshalb verstehe ich dein Jammern einfach nicht. Du heulst rum, Paypal würde bewusst Sicherheitsrisiken durch Beschneidung der maximalen Passwortlänge provozieren. Aber wenn sie wollen, dann können sie die Passwörter auch im Klartext speichern und Zugriffe auf deine Daten haben sie ja eh... Wem wollen sie denn damit entgegen kommen? Der NSA? Irgendwelchen Betrügern?

Du redest von Snowden. Die dümmsten Leute sind die, die nach den Snowden-Enthüllungen angefangen haben in irgendeinem Aktionismus, Dinge zu ändern. Das sind die Leute mit der Wissenslücke. Sicherheit ist nicht erst wichtig, seit Snowden mit seinen Veröffentlichungen angefangen hat.

Du vertraust darauf, dass Paypal beim Account erstellen und Login entsprechende Sicherheitsrichtlinien einhält, wirfst aber vor, dass sie die Sicherheit absichtlich riskieren, aber vertraust dann wiederum nicht auf die Mathematik?

Wenn es jemand schafft, pro Sekunde tatsächlich 1.000.000.000.000.000.000.000.000.000.000
Hashes zu berechen, würde er immer noch im Mittel rund 2 Jahre brauchen, um ein 20-stelliges Passwort zu knacken (bei den vorher geschätzten 80 möglichen Zeichen). Wenn du keine Wissenslücke hast, dann weißt du, dass das nicht realistisch ist.

Man kann darüber diskutieren, ob eine solche 20-Zeichen-Grenze zeitgemäß ist oder nicht. Aber sie als bewusstes Sicherheitsrisiko darzustellen ist absurd. Solche Passwörter sind unknackbar, wenn vernünfige kryptografische Mittel zum Speichern genutzt wurden.

Mit 20 Zeichen bist du noch gut bedient. Meine Bank erlaub nur Passwörter mit fünf Zeichen ... Das nenn ich Sicherheit!

1. werden eh immer die ganzen datenbanken geklaut
2. ist eine begrenzte anzahl an versuchen und ein ordentlicher delay (10sek) dazwischen. viel viel wichtiger als so ein langes passwort. Damit kann man imho viel mehr erreichen.

@=Floi=: So ironisch bzw. absurd es klingt, es ist vielleicht sogar gut, dass eine Bank so kurze Passwörter zu verlangt. Dadurch sinkt die Chance, dieses Passwort auch bei anderen Seiten zu nutzen. Im Gegensatz zu Paypal kann ich bei einer Bank durch den Login auch noch nicht so viele schädliche Dinge machen, also Überweisungen usw... wobei ich den Zugriff auf die Bankdaten auch nicht verharmlosen möchte.

Meiner Meinung nach ist ja genau das die größte Gefahr. Selbe Login-Daten für diverse Zugänge zu nutzen. Da kann PayPal so sicher sein, wie sie wollen, ist einer der Betreiber unsicher, dann habe ich ein Problem.

Das langes PW = sicher ein Trugschluss ist wurde ja bereits aufgezeigt (sowie die automagische Übertragung des verschlüsselten Passworts an den Server ... LOL). Kommentare wie:
"Das läßt nur auf einige Wissenslücken schließen. Denn wenn der Mechanismus der Eingabe des Paßwortes richtig implementiert ist dann sieht Paypal niemals mein Paßwort im Klartext. Wozu auch."
sind jedenfalls erste Sahne, keep em coming!

Trotzdem passend zum Thema ... u wot m8:

http://i.imgur.com/CTbpCOS.png

Finde es irgendwie sowieso albern, warum man maximale Passwort-Längen festlegt... warum tut man sowas?

Wenn man es richtig macht, dann wird das Passwort mit einem Standard-Algorithmus wie bcrypt oder halt SHA256+Salt gehashed... dem Algorithmus ist es eigentlich ziemlich egal wie lang die Input-Daten sind, das Ergebnis hat immer die gleiche Länge...

Das ist korrekt. Ich mache mir bei solchen Beschränkungen immer große Sorgen, ob sie nicht doch so bescheuert sind und Plaintext-Passwörter speichern. Leider lässt sich das ja nicht überprüfen.

Selber basteln ist nicht ratsam, es gibt standardisierte Verfahren wie PBKDF2.

Das langes PW = sicher ein Trugschluss ist wurde ja bereits aufgezeigt (sowie die automagische Übertragung des verschlüsselten Passworts an den Server ... LOL). Kommentare wie:
"Das läßt nur auf einige Wissenslücken schließen. Denn wenn der Mechanismus der Eingabe des Paßwortes richtig implementiert ist dann sieht Paypal niemals mein Paßwort im Klartext. Wozu auch."
sind jedenfalls erste Sahne, keep em coming!

Trotzdem passend zum Thema ... u wot m8:

http://i.imgur.com/CTbpCOS.png
Die 16 Stellen hatten mich auch geärgert.
Das hat MS wohl irgendwann geändert - nun sind max. 127 Stellen möglich :wink:

Du kannst zwar ein Passwort mit mehr als 127 Stellen erstellen und dich damit auch anmelden, aber spätestens beim Passwortändern bekommst du eine Fehlermeldung. Auch wenn man nur die ersten 127 Stellen eingibt.

Das ist korrekt. Ich mache mir bei solchen Beschränkungen immer große Sorgen, ob sie nicht doch so bescheuert sind und Plaintext-Passwörter speichern. Leider lässt sich das ja nicht überprüfen.
Ganz selten bekommt man noch bei "Passwort vergessen" das Passwort zugesendet :D

Vermutlich wurden die Login Formulare nie angepasst, als angefangen wurde, die Passwörter zu hashen. Anders lässt sich das nicht erklären.