[Django] Anforderungen an Passwörter

Django, Flask, Bottle, WSGI, CGI…
Benutzeravatar
Mawilo
User
Beiträge: 448
Registriert: Sonntag 22. Februar 2004, 10:58
Wohnort: Sachsen
Kontaktdaten:

Sonntag 15. August 2010, 08:38

Hallo,

ich möchte dass in einem Django-Projekt Passwörter nur 90 Tage gültig sind. Danach soll der User gezwungen werden, ein neues Passwort zu vergeben, dass nicht identisch mit dem alten Passwort ist.
Gibt es da schon etwas für Django?
Kann ich in Django verschiedene Anforderungen an ein Passwort (Mindestanzahl Stellen, Sonderzeichen, Zahlen, usw.) prüfen?

Viele Grüße
Mawilo
Benutzeravatar
Hyperion
Moderator
Beiträge: 7477
Registriert: Freitag 4. August 2006, 14:56
Wohnort: Hamburg
Kontaktdaten:

Sonntag 15. August 2010, 10:06

Da ich persönlich von solchen Zwangsmaßnahmen nichts halte noch ein Tipp: Du musst dazu auch noch verhindern, dass man sein PW direkt nacheinander noch einmal ändern kann ;-)
encoding_kapiert = all(verstehen(lesen(info)) for info in (Leonidas Folien, Blog, Folien & Text inkl. Python3, utf-8 everywhere))
assert encoding_kapiert
apollo13
User
Beiträge: 827
Registriert: Samstag 5. Februar 2005, 17:53

Sonntag 15. August 2010, 10:11

Mawilo hat geschrieben: ich möchte dass in einem Django-Projekt Passwörter nur 90 Tage gültig sind. Danach soll der User gezwungen werden, ein neues Passwort zu vergeben, dass nicht identisch mit dem alten Passwort ist.
Mit eigenem Login und Reset view kein Problem. Du musst zusätzlich allerdings noch die alten Hashes für den Vergleiche speichern.
Kann ich in Django verschiedene Anforderungen an ein Passwort (Mindestanzahl Stellen, Sonderzeichen, Zahlen, usw.) prüfen?
Ja, in deinem View kannst du machen was du willst.
Benutzeravatar
Mawilo
User
Beiträge: 448
Registriert: Sonntag 22. Februar 2004, 10:58
Wohnort: Sachsen
Kontaktdaten:

Sonntag 15. August 2010, 20:30

Ich hatte einfach gehofft, dass es dafür schon etwas fertiges gibt.
Hyperion hat geschrieben:Da ich persönlich von solchen Zwangsmaßnahmen nichts halte noch ein Tipp: Du musst dazu auch noch verhindern, dass man sein PW direkt nacheinander noch einmal ändern kann ;-)
Die Anforderungen an die Passwortsicherheit sind ja nicht utopisch und eigentlich schon Standard. Jedenfalls in den meisten größeren Firmen.

Grüße
Mawilo
Benutzeravatar
Hyperion
Moderator
Beiträge: 7477
Registriert: Freitag 4. August 2006, 14:56
Wohnort: Hamburg
Kontaktdaten:

Sonntag 15. August 2010, 20:36

Mawilo hat geschrieben:
Hyperion hat geschrieben:Da ich persönlich von solchen Zwangsmaßnahmen nichts halte noch ein Tipp: Du musst dazu auch noch verhindern, dass man sein PW direkt nacheinander noch einmal ändern kann ;-)
Die Anforderungen an die Passwortsicherheit sind ja nicht utopisch und eigentlich schon Standard. Jedenfalls in den meisten größeren Firmen.
Vielleicht hast Du mich nicht verstanden, daher noch mal explizit: Wenn man sein Pwßwort ändern muss, dann wird es sicherlich Schlauberger geben, die sich ein neues ausdenken, das setzen und anschließend das alte Passwort wieder setzen. Das meinte ich mit meinem Einwand.

Im ürbigen bin ich so ein Schlauberger, sofern das System das zulässt ;-) Ich halte nicht viel davon, ständig sein PW zu ändern. Das führt imho eher dazu, dass sich Leute ihr PW irgend wo aufschreiben... und das ist ja nun das schlechteste überhaupt!
encoding_kapiert = all(verstehen(lesen(info)) for info in (Leonidas Folien, Blog, Folien & Text inkl. Python3, utf-8 everywhere))
assert encoding_kapiert
Benutzeravatar
Mawilo
User
Beiträge: 448
Registriert: Sonntag 22. Februar 2004, 10:58
Wohnort: Sachsen
Kontaktdaten:

Sonntag 15. August 2010, 20:52

Naja, ich hatte vor, dass die letzten 5 Passwörter nicht gewählt werden dürfen ... Ich habe bei mir in der Firma solche Restriktionen. Aber ich kann ganz gut damit leben - ohne die Passwörter aufzuschreiben :D
apollo13
User
Beiträge: 827
Registriert: Samstag 5. Februar 2005, 17:53

Sonntag 15. August 2010, 23:06

Mawilo hat geschrieben:Naja, ich hatte vor, dass die letzten 5 Passwörter nicht gewählt werden dürfen ... Ich habe bei mir in der Firma solche Restriktionen. Aber ich kann ganz gut damit leben - ohne die Passwörter aufzuschreiben :D
Das glaub ich dir nicht, wenn du dir ca. 10 solcher Passwörter merken musst leidet die Passwortstärke sehr darunter; bei den meisten sind es dann so oder so nur getauschte Zeichen aus dem vorherigen Passwort… (Randnotiz: Wir haben Systeme, wo kein altes Passwort neu verwendet werden darf und das neue Passwort den alten nicht zu ähnlich sein darf; spätestens nach dem 2. Passwortwechsel haben die meisten nur mehr Passwörter die man sehr leicht erraten kann ;))
Benutzeravatar
noisefloor
User
Beiträge: 2783
Registriert: Mittwoch 17. Oktober 2007, 21:40
Wohnort: Görgeshausen
Kontaktdaten:

Montag 16. August 2010, 06:50

Hallo,

Trick Nr1 bei Passwortwechseln ist doch, ein Passwort zu nehmen und nur ne Zahl anzuhängen, also "geheim1", geheim2", usw. Spätesten bei 5 oder 6. Wechsel ist man sich nicht mehr sicher, wo der Zähler denn steht und fordert beim Admin ein neues Passwort an. ;-)

Gruß, noisefloor
DasIch
User
Beiträge: 2523
Registriert: Montag 19. Mai 2008, 04:21
Wohnort: Berlin

Montag 16. August 2010, 07:01

Deswegen berechnet man auch noch die Distanz zwischen dem alten und neuen Passwort und sorgt dafür dass die Veränderung bei mindestens 50% liegt.
lunar

Montag 16. August 2010, 08:28

@DasIch: Und spätestens dann wird die Passwortdatenbank zur zuverlässigsten Geburtstagsdatenbank in der ganzen Firma ;)
Benutzeravatar
mkesper
User
Beiträge: 919
Registriert: Montag 20. November 2006, 15:48
Wohnort: formerly known as mkallas
Kontaktdaten:

Montag 16. August 2010, 09:59

Man nimmt einfach Jahr und Monat der Änderung, dann muss man sich nur noch merken, wann man es geändert hat! ;)

--> Paßwörter sind Müll.
Zuletzt geändert von mkesper am Montag 16. August 2010, 10:52, insgesamt 1-mal geändert.
BlackJack

Montag 16. August 2010, 10:36

@mkesper: Man ändert einfach monatlich und nimmt das aktuelle Jahr und den aktuellen Monat. Sehr einfach zu merken. :-)
.robert
User
Beiträge: 274
Registriert: Mittwoch 25. April 2007, 17:59

Montag 16. August 2010, 10:42

Es gibt Passwort-Manager!
Benutzeravatar
powered_by_coffee
User
Beiträge: 22
Registriert: Freitag 13. August 2010, 14:25

Montag 16. August 2010, 11:43

Ich halte von solchen Regelungen auch nicht so viel.
Ich finde man ist alt genug, um selber entscheiden zu können, ob und wann ich mein PW ändere bzw. wie ich damit umzugehen hab.
Ein Feature, was einen erinnert, dass man seit Ewigkeiten sein PW nicht mehr geändert hat, wäre noch ok. =)
DasIch
User
Beiträge: 2523
Registriert: Montag 19. Mai 2008, 04:21
Wohnort: Berlin

Montag 16. August 2010, 12:12

powered_by_coffee hat geschrieben:Ich finde man ist alt genug, um selber entscheiden zu können, ob und wann ich mein PW ändere bzw. wie ich damit umzugehen hab.
In sicherheitskritischen Bereichen ist "alt genug" kein Kriterium, wobei da natürlich eine Zertifikat basierte Lösung o.ä. besser wäre.
Antworten