[Django] Anforderungen an Passwörter

Mawilo · Sonntag 15. August 2010, 08:38

Hallo,

ich möchte dass in einem Django-Projekt Passwörter nur 90 Tage gültig sind. Danach soll der User gezwungen werden, ein neues Passwort zu vergeben, dass nicht identisch mit dem alten Passwort ist.
Gibt es da schon etwas für Django?
Kann ich in Django verschiedene Anforderungen an ein Passwort (Mindestanzahl Stellen, Sonderzeichen, Zahlen, usw.) prüfen?

Viele Grüße
Mawilo

Hyperion · Sonntag 15. August 2010, 10:06

Da ich persönlich von solchen Zwangsmaßnahmen nichts halte noch ein Tipp: Du musst dazu auch noch verhindern, dass man sein PW direkt nacheinander noch einmal ändern kann

apollo13 · Sonntag 15. August 2010, 10:11

Mawilo hat geschrieben: ich möchte dass in einem Django-Projekt Passwörter nur 90 Tage gültig sind. Danach soll der User gezwungen werden, ein neues Passwort zu vergeben, dass nicht identisch mit dem alten Passwort ist.

Mit eigenem Login und Reset view kein Problem. Du musst zusätzlich allerdings noch die alten Hashes für den Vergleiche speichern.

Kann ich in Django verschiedene Anforderungen an ein Passwort (Mindestanzahl Stellen, Sonderzeichen, Zahlen, usw.) prüfen?

Ja, in deinem View kannst du machen was du willst.

Mawilo · Sonntag 15. August 2010, 20:30

Ich hatte einfach gehofft, dass es dafür schon etwas fertiges gibt.

Hyperion hat geschrieben:Da ich persönlich von solchen Zwangsmaßnahmen nichts halte noch ein Tipp: Du musst dazu auch noch verhindern, dass man sein PW direkt nacheinander noch einmal ändern kann

Die Anforderungen an die Passwortsicherheit sind ja nicht utopisch und eigentlich schon Standard. Jedenfalls in den meisten größeren Firmen.

Grüße
Mawilo

Hyperion · Sonntag 15. August 2010, 20:36

Mawilo hat geschrieben:
Hyperion hat geschrieben:Da ich persönlich von solchen Zwangsmaßnahmen nichts halte noch ein Tipp: Du musst dazu auch noch verhindern, dass man sein PW direkt nacheinander noch einmal ändern kann
Die Anforderungen an die Passwortsicherheit sind ja nicht utopisch und eigentlich schon Standard. Jedenfalls in den meisten größeren Firmen.

Vielleicht hast Du mich nicht verstanden, daher noch mal explizit: Wenn man sein Pwßwort ändern muss, dann wird es sicherlich Schlauberger geben, die sich ein neues ausdenken, das setzen und anschließend das alte Passwort wieder setzen. Das meinte ich mit meinem Einwand.

Im ürbigen bin ich so ein Schlauberger, sofern das System das zulässt

Ich halte nicht viel davon, ständig sein PW zu ändern. Das führt imho eher dazu, dass sich Leute ihr PW irgend wo aufschreiben... und das ist ja nun das schlechteste überhaupt!

Mawilo · Sonntag 15. August 2010, 20:52

Naja, ich hatte vor, dass die letzten 5 Passwörter nicht gewählt werden dürfen ... Ich habe bei mir in der Firma solche Restriktionen. Aber ich kann ganz gut damit leben - ohne die Passwörter aufzuschreiben

apollo13 · Sonntag 15. August 2010, 23:06

Mawilo hat geschrieben:Naja, ich hatte vor, dass die letzten 5 Passwörter nicht gewählt werden dürfen ... Ich habe bei mir in der Firma solche Restriktionen. Aber ich kann ganz gut damit leben - ohne die Passwörter aufzuschreiben

Das glaub ich dir nicht, wenn du dir ca. 10 solcher Passwörter merken musst leidet die Passwortstärke sehr darunter; bei den meisten sind es dann so oder so nur getauschte Zeichen aus dem vorherigen Passwort… (Randnotiz: Wir haben Systeme, wo kein altes Passwort neu verwendet werden darf und das neue Passwort den alten nicht zu ähnlich sein darf; spätestens nach dem 2. Passwortwechsel haben die meisten nur mehr Passwörter die man sehr leicht erraten kann

)

noisefloor · Montag 16. August 2010, 06:50

Hallo,

Trick Nr1 bei Passwortwechseln ist doch, ein Passwort zu nehmen und nur ne Zahl anzuhängen, also "geheim1", geheim2", usw. Spätesten bei 5 oder 6. Wechsel ist man sich nicht mehr sicher, wo der Zähler denn steht und fordert beim Admin ein neues Passwort an.

Gruß, noisefloor

DasIch · Montag 16. August 2010, 07:01

Deswegen berechnet man auch noch die Distanz zwischen dem alten und neuen Passwort und sorgt dafür dass die Veränderung bei mindestens 50% liegt.

lunar · Montag 16. August 2010, 08:28

@DasIch: Und spätestens dann wird die Passwortdatenbank zur zuverlässigsten Geburtstagsdatenbank in der ganzen Firma

mkesper · Montag 16. August 2010, 09:59

Man nimmt einfach Jahr und Monat der Änderung, dann muss man sich nur noch merken, wann man es geändert hat!

--> Paßwörter sind Müll.

BlackJack · Montag 16. August 2010, 10:36

@mkesper: Man ändert einfach monatlich und nimmt das aktuelle Jahr und den aktuellen Monat. Sehr einfach zu merken.

.robert · Montag 16. August 2010, 10:42

Es gibt Passwort-Manager!

powered_by_coffee · Montag 16. August 2010, 11:43

Ich halte von solchen Regelungen auch nicht so viel.
Ich finde man ist alt genug, um selber entscheiden zu können, ob und wann ich mein PW ändere bzw. wie ich damit umzugehen hab.
Ein Feature, was einen erinnert, dass man seit Ewigkeiten sein PW nicht mehr geändert hat, wäre noch ok. =)

DasIch · Montag 16. August 2010, 12:12

powered_by_coffee hat geschrieben:Ich finde man ist alt genug, um selber entscheiden zu können, ob und wann ich mein PW ändere bzw. wie ich damit umzugehen hab.

In sicherheitskritischen Bereichen ist "alt genug" kein Kriterium, wobei da natürlich eine Zertifikat basierte Lösung o.ä. besser wäre.

Leonidas · Montag 16. August 2010, 22:19

Authentifikation via X.509 ist meiner Erfahrung nach unglaublich selten. Wir haben das mal in der Informatik-Fakultät gehabt, aber viele bekommens nicht auf die Reihe (Informatikstudenten, wohlgemerkt!) und das System wird über kurz oder lang verschwinden und durch ein passwortbasiertes System ersetzt.

jens · Dienstag 17. August 2010, 09:42

Nutzt schon länger KeePass und generiere damit passwörter... So hab ich überall verschiedene Passwörter...