Registrierungspolicy - Passworte - Komplexität?

  • Moin,


    bei uns soll eine neue Passwortrichtlinie umgesetzt werden. Dazu gehören unter anderem auch die bei der Kontenregistrierung vergebenen (Initial)kennworte. Hier gibt es ja die Registrierungspolicy, in der man auch grob die Passwortstärke angeben kann.

    Wie gesagt, es geht um die Regsitrierungspolicy (NICHT um die Sicherheitspolicy, in der ja differenzierter die Komplexität des Kennwortes bestimmt werden kann).


    Hierzu nun meine Frage: was genau / welche Qualität/Komplexität ist gemeint, wenn bei einem Kennwort mit z.B. 12 Zeichen von einem "sicheren Kennwort" gesprochen wird? Sind das nur 12 einfache Zeichen (z.B. nur Kleinbuchstaben oder nur Großbuchstaben) oder müssen auch schon hier verschiedene Zeichentypen (Klein, Großbuchstaben, Sonderzeichen, Zahlen etc. ) verwendet werden?


    VG und danke schon mal für Infos Hannes

  • Simpel erklärt: Durch Merkmale wie Groß- und Kleinschreibung, Ziffern, Sonderzeichen und erhöht man den Qualitätswert bei gleichbleibender Länge des Kennworts. Durch die Erfüllung weiterer Eigenschaften erhöht man den Zähler noch weiter, z.B.

    - Kennwort (-teile) nicht im Wörterbuch enthalten

    - keine Verwendung von Folgen wie abcd, 1234, aaaa, bbbb, asdf

    - eigener Nutzer/Firmen/Domain-Name (oder Teile) nicht enthalten

    (...)

    Ich hatte mal eine detaillierte technische Beschreibung aus Iris-Zeiten, konnte die aber auf die Schnelle nicht finden.


    Die (derzeit) offizielle Kurzerklärung hier: The password quality scale (hcltechsw.com)


    HTH

    Carsten

  • Hallo Hannes,


    ich habe jetzt nochmal etwas weiter gebuddelt und tatsächlich noch eine Kopie des originals Artikels auf einem russischen Server gefunden (und mir lokal abgelegt, ich versuche später mal das Archiv mit meinem Crawler zu sichern, mal sehen wie weit ich komme). Wie auch immer. Darin ist der ursprünglich mit R5 eingeführte Algorithmus, mehr oder weniger, komplett von Stufe 1 bis 16 mit Beispielen erläutert. Hier der Link:

    http://second-ext.inttrust.ru/…6ABC0011E4F0?OpenDocument


    IBM hat das später für die KnowledgeBase mehrfach gekürzt. Die letzte Kürzung (aka Manager-PowerPoint-Fassung) hatte ich weiter oben ja schon verlinkt, die erste Kürzung war zwar noch etwas umfangreicher aber auch schon - im Vergleich zum Original - extrem zusammengeschnitten. Auch die habe ich jetzt bei HCL noch gefunden:

    https://support.hcltechsw.com/…b1b4ff890a2f48661cd4bcbdf


    PS: Vielleicht hat ja irgendwer noch eine Replik der LDD Datenbanken wie die today.nsf (Rudi vielleicht?). Das war ja mal über das notes.net alles Public verfügbar.


    PPS: HCL (hallo Thomas Hampel, liest du hier mit? ;) könnte ruhig mal die ganzen LDD Artikel irgendwo als Archiv zugänglich machen, man lernt in den 20 Jahren alten Artikeln mehr als in 10 Minuten Youtube von heute und viele Inhalte haben bis heute nichts an Aktualität verloren, im Gegenteil. Wenn man bedenkt dass all diese Sachen schon in Notes enthalten waren als andere Hersteller gerade mal Laufen gelernt haben...


    PPPS: vielleicht finde ich ja vor meiner Rente noch Aufgaben oder AG, wo solche Dinge wertgeschätzt werden. Man darf ja noch träumen.


    VG

    Carsten