Die Passwortart kann man mit dem CT auch wählen.
Aber mal unter uns: 1 Jahr = 365 Tage = 12 Monate...
Ich finde das eine sehr lange Zeit für ein Passwort.
Viele Firmen setzen die Zeit meist auf nur wenige Wochen...
Problem phpBB 2.0.19 und Frage zu Protect User Account MOD
Forumsregeln
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
-
SkYfiGhTeR
- Beiträge: 153
- Registriert: Do 28.Okt, 2004 09:01
Hallo,
ja, das ist mir bewusst, dass man eben im CT auch die Passwortart wählen kann. Daher denke ich dann auch über den kompletten Ausbau des MODs nach, weil mir eben gerade beim PUA MOD damals daran gelgen war, die Passwortart festlegen zu können und daher habe ich die Dauer für den Passwortwechsel auch relativ hoch gesetzt, da mir das nicht wirklich wichtig war und auch nicht ist.
Mir wurde bisher in noch keinem Forum vorgeschrieben, dass ich doch bitte mein Passwort ändern soll bzw. sogar muss (?).
Und ich denke, das muss in einem Forum jetzt auch nicht unbedingt sein, also nach meiner Ansicht nach.
Dass das Passwort in Firmen an den PCs meistens nur wenige Wochen Gültigkeit hat oder zumindest nur 1-3 Monate, das ist durchaus korrekt und da denke ich evtl. auch angebracht, aber wie gesagt, mir wurde in bisher keinem Forum vorgeschrieben, dass ich das Passwort wechseln muss und ich würde das auch irgendwie eher als etwas "nervig" empfinden, mein Passwort ändern zu müssen (so geht es sicher auch vielen Leuten in Firmen, wo das Passwort dann nur wenige Wochen/Monate Gültigkeit hat *g*).
Daher wäre es super, wenn ich diese Zeit entweder viel weiter hoch setzen kann beim CT oder eben einfach deaktivieren kann, mir fehlt da sozusagen die Einstellung "0" für unbegrenzte Gültigkeit.
ja, das ist mir bewusst, dass man eben im CT auch die Passwortart wählen kann. Daher denke ich dann auch über den kompletten Ausbau des MODs nach, weil mir eben gerade beim PUA MOD damals daran gelgen war, die Passwortart festlegen zu können und daher habe ich die Dauer für den Passwortwechsel auch relativ hoch gesetzt, da mir das nicht wirklich wichtig war und auch nicht ist.
Mir wurde bisher in noch keinem Forum vorgeschrieben, dass ich doch bitte mein Passwort ändern soll bzw. sogar muss (?).
Und ich denke, das muss in einem Forum jetzt auch nicht unbedingt sein, also nach meiner Ansicht nach.
Dass das Passwort in Firmen an den PCs meistens nur wenige Wochen Gültigkeit hat oder zumindest nur 1-3 Monate, das ist durchaus korrekt und da denke ich evtl. auch angebracht, aber wie gesagt, mir wurde in bisher keinem Forum vorgeschrieben, dass ich das Passwort wechseln muss und ich würde das auch irgendwie eher als etwas "nervig" empfinden, mein Passwort ändern zu müssen (so geht es sicher auch vielen Leuten in Firmen, wo das Passwort dann nur wenige Wochen/Monate Gültigkeit hat *g*).
Daher wäre es super, wenn ich diese Zeit entweder viel weiter hoch setzen kann beim CT oder eben einfach deaktivieren kann, mir fehlt da sozusagen die Einstellung "0" für unbegrenzte Gültigkeit.
Gruß
SkYfiGhTeR
SkYfiGhTeR
-
oxpus
- Administrator
- Beiträge: 28735
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Öhm, Du verkennst scheinbar, wie WICHTIG ständig ändernde Passwörter sind.
Es ist dabei nicht nur das Forum, welches angreifbar wird, je älter Passwörter werden, sondern auch der gesamte Server!
Und gerade auf online-Servern ist es umso wichtiger, Passwörter nur eine bestimmte Laufzeit zuzustehen.
Es ist dabei nicht nur das Forum, welches angreifbar wird, je älter Passwörter werden, sondern auch der gesamte Server!
Und gerade auf online-Servern ist es umso wichtiger, Passwörter nur eine bestimmte Laufzeit zuzustehen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-
SkYfiGhTeR
- Beiträge: 153
- Registriert: Do 28.Okt, 2004 09:01
Hi,
hm...wenn das wirklich eine so hohe Priorität hat, dann wäre eine solche Funktion ja standardmäßig in phpBB bzw. Foren integriert oder? Das ist doch aber größtenteils (eher) nicht der Fall.
Gut, der CT bringt dieses Feature nun mit sich, also warum nicht nutzen - klar.
Aber ich bin der Ansicht, dass es nicht sein muss, dass jeder Benutzer(!) verpflichtet ist, sein Passwort regelmäßig zu ändern. Es ist ja durchaus ok, wenn Moderatoren bzw. eher der Administrator/die Administratoren des Forums ihr Passwort in regelmäßigen Abständen ändern in Hinblick auf Zugriff des ACPs oder eben dem ACP unabhängig ein Passwort zuzuordnen, welches dann regelmäßig geändert wird.
Nur für jeden normalen User finde ich das nicht nötig. Und ich glaube das wird hauptsächlich auch so gehandhabt, dass man als User nicht zum Passwortwechsel gezwungen wird. Also ich kann es nur nochmal sagen, ich wurde bisher in keinem Forum oder auf keiner Webseite aufgefordert, mein Passwort zu ändern. *g*
Entweder sind die dann alle sehr fahrlässig oder es ist nicht so wichtig (denke, das betrifft dann doch eher Passwörter die dann mit dem ACP (jetzt im Fall Forum/phpBB) zusammenhängen - s.o.).
Ich musste mein Passwort hier auch noch nicht ändern und bin nun schon über ein Jahr registriert und der CT läuft bestimmt auch schon länger als 365 Tage oder? Wenn nicht, dann kommt es natürlich noch.
Aber wenn irgendein "Fremder" das Passwort eines normalen Benutzers erhält und sich dann in das Forum einloggen kann, dann ist dieser Fremde ja nicht viel weiter, als wenn dieser sich einfach selbst einen Benutzer anmeldet.
Daher war das von dir dann wohl eher auf Passwörter von Admin-Accounts und damit eben evtl. auch vom ACP bezogen oder? Das kann ich ja durchaus nachvollziehen und da ist es auch wichtig, dass das Passwort sicher ist und regelmäßig geändert/gewechselt wird.
hm...wenn das wirklich eine so hohe Priorität hat, dann wäre eine solche Funktion ja standardmäßig in phpBB bzw. Foren integriert oder? Das ist doch aber größtenteils (eher) nicht der Fall.
Gut, der CT bringt dieses Feature nun mit sich, also warum nicht nutzen - klar.
Aber ich bin der Ansicht, dass es nicht sein muss, dass jeder Benutzer(!) verpflichtet ist, sein Passwort regelmäßig zu ändern. Es ist ja durchaus ok, wenn Moderatoren bzw. eher der Administrator/die Administratoren des Forums ihr Passwort in regelmäßigen Abständen ändern in Hinblick auf Zugriff des ACPs oder eben dem ACP unabhängig ein Passwort zuzuordnen, welches dann regelmäßig geändert wird.
Nur für jeden normalen User finde ich das nicht nötig. Und ich glaube das wird hauptsächlich auch so gehandhabt, dass man als User nicht zum Passwortwechsel gezwungen wird. Also ich kann es nur nochmal sagen, ich wurde bisher in keinem Forum oder auf keiner Webseite aufgefordert, mein Passwort zu ändern. *g*
Entweder sind die dann alle sehr fahrlässig oder es ist nicht so wichtig (denke, das betrifft dann doch eher Passwörter die dann mit dem ACP (jetzt im Fall Forum/phpBB) zusammenhängen - s.o.).
Ich musste mein Passwort hier auch noch nicht ändern und bin nun schon über ein Jahr registriert und der CT läuft bestimmt auch schon länger als 365 Tage oder? Wenn nicht, dann kommt es natürlich noch.
Aber wenn irgendein "Fremder" das Passwort eines normalen Benutzers erhält und sich dann in das Forum einloggen kann, dann ist dieser Fremde ja nicht viel weiter, als wenn dieser sich einfach selbst einen Benutzer anmeldet.
Daher war das von dir dann wohl eher auf Passwörter von Admin-Accounts und damit eben evtl. auch vom ACP bezogen oder? Das kann ich ja durchaus nachvollziehen und da ist es auch wichtig, dass das Passwort sicher ist und regelmäßig geändert/gewechselt wird.
Gruß
SkYfiGhTeR
SkYfiGhTeR
-
oxpus
- Administrator
- Beiträge: 28735
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Also wenn ich davon ausgehe, daß ein angemeldeter Account mehr Schaden bei mehr Zielen im Forum anrichten kann, ist ein veraltetes Passwort unabhängig vom Userrang.
Daher ist genau diese Einstellung der Grund dafür, warum so viele Server von gerade unbedarften Usern genutzt auch schnell gehackt werden
Im Ernst:
Es ist nicht die Pflicht des Benutzers, sein Passwort regelmässig zu ändern, sondern die des Webmasters, ihn (den User) aufgrund der gesetzten Sicherheitsregeln auf dem eigenen Board (das des Webmasters) daran zu erinnern und ggf. eben dazu zu zwingen.
Alle Foren, wo die Webmaster dieses nicht tun oder verlangen, wissen entweder was sie tun oder ignorieren alle Achtungs zu gehackten Servern und Eindringlingen jeglicher Art.
Daher ist genau diese Einstellung der Grund dafür, warum so viele Server von gerade unbedarften Usern genutzt auch schnell gehackt werden
Im Ernst:
Es ist nicht die Pflicht des Benutzers, sein Passwort regelmässig zu ändern, sondern die des Webmasters, ihn (den User) aufgrund der gesetzten Sicherheitsregeln auf dem eigenen Board (das des Webmasters) daran zu erinnern und ggf. eben dazu zu zwingen.
Alle Foren, wo die Webmaster dieses nicht tun oder verlangen, wissen entweder was sie tun oder ignorieren alle Achtungs zu gehackten Servern und Eindringlingen jeglicher Art.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-
SkYfiGhTeR
- Beiträge: 153
- Registriert: Do 28.Okt, 2004 09:01
Hallo,
hm...nagut in Ordnung. Dann rücke ich da mal etwas von meiner vorherigen Ansicht ab. *gg*
Aber im Prinzip ist dann einfach jedes Forum - wenn wir mal bei Foren bleiben - unsicher (sofern der Hoster nicht 100%ig weiß was er macht und ich hoffe/denke mal, das wissen die meisten, ist ja nur zu deren eigenen Schutz), da ja in einem Standard-phpBB eine solche Option fehlt. D.h. ohne zusätzliche Modifkation schauts in Sachen Passwörtern ganz einfach schlecht aus und das wird somit beim Großteil der phpBB-Nutzer so sein schätze ich, da eben wie gesagt eine entsprechende Modifkation bzw. überhaupt Modifikationen fehlen.
Aber ok, sofern ich dann den PUA MOD komplett deinstalliere und die Passwortschutz-Funktion des CT aktiviere, werde ich dann auch zumindest mal die 365 Tage als maximales Passwortalter gerne in Anspruch nehmen.
Aber Usern wirklich wöchentlich oder monatlich zu zwingen ein neues Passwort zu wählen, fände ich - als User - doch einfach etwas nervig. Eventuell ist das deswegen auch nicht wirklich so verbreitet und die Webmaster wissen alle genau was sie tun.
Was jetzt nicht unbedingt so ganz direkt zum Thema gehört bzw. das eher etwas verallgemeinert ist aber ja eher die Tatsache - wieder nur von Foren bzw. dem phpBB gesprochen - dass eben durch zusätzliche Modifikationen (den CT mal eher ausgenommen) wieder Sicherheitslücken entstehen, die dann eher für einen Angriff ausgenutzt werden, als das drei Jahre alte Passwort eines Users.
Klar, je länger ein Passwort unverändert bleibt, desto größer ist die Wahrscheinlichkeit, dass eine auf den Account angesetzt Brute-Force-Attacke irgendwann den gewünschten Erfolg zeigt. *g*
hm...nagut in Ordnung. Dann rücke ich da mal etwas von meiner vorherigen Ansicht ab. *gg*
Aber im Prinzip ist dann einfach jedes Forum - wenn wir mal bei Foren bleiben - unsicher (sofern der Hoster nicht 100%ig weiß was er macht und ich hoffe/denke mal, das wissen die meisten, ist ja nur zu deren eigenen Schutz), da ja in einem Standard-phpBB eine solche Option fehlt. D.h. ohne zusätzliche Modifkation schauts in Sachen Passwörtern ganz einfach schlecht aus und das wird somit beim Großteil der phpBB-Nutzer so sein schätze ich, da eben wie gesagt eine entsprechende Modifkation bzw. überhaupt Modifikationen fehlen.
Aber ok, sofern ich dann den PUA MOD komplett deinstalliere und die Passwortschutz-Funktion des CT aktiviere, werde ich dann auch zumindest mal die 365 Tage als maximales Passwortalter gerne in Anspruch nehmen.
Aber Usern wirklich wöchentlich oder monatlich zu zwingen ein neues Passwort zu wählen, fände ich - als User - doch einfach etwas nervig. Eventuell ist das deswegen auch nicht wirklich so verbreitet und die Webmaster wissen alle genau was sie tun.
Was jetzt nicht unbedingt so ganz direkt zum Thema gehört bzw. das eher etwas verallgemeinert ist aber ja eher die Tatsache - wieder nur von Foren bzw. dem phpBB gesprochen - dass eben durch zusätzliche Modifikationen (den CT mal eher ausgenommen) wieder Sicherheitslücken entstehen, die dann eher für einen Angriff ausgenutzt werden, als das drei Jahre alte Passwort eines Users.
Klar, je länger ein Passwort unverändert bleibt, desto größer ist die Wahrscheinlichkeit, dass eine auf den Account angesetzt Brute-Force-Attacke irgendwann den gewünschten Erfolg zeigt. *g*
Gruß
SkYfiGhTeR
SkYfiGhTeR
-
oxpus
- Administrator
- Beiträge: 28735
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Ich kenne einige, bei denen ich das stark bezweifele...[...] und die Webmaster wissen alle genau was sie tun.
EbentKlar, je länger ein Passwort unverändert bleibt, desto größer ist die Wahrscheinlichkeit, dass eine auf den Account angesetzt Brute-Force-Attacke irgendwann den gewünschten Erfolg zeigt. *g*
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!