Das deutsche Python-Forum

Hallo,

ich möchte dass in einem Django-Projekt Passwörter nur 90 Tage gültig sind. Danach soll der User gezwungen werden, ein neues Passwort zu vergeben, dass nicht identisch mit dem alten Passwort ist.
Gibt es da schon etwas für Django?
Kann ich in Django verschiedene Anforderungen an ein Passwort (Mindestanzahl Stellen, Sonderzeichen, Zahlen, usw.) prüfen?

Viele Grüße
Mawilo

Da ich persönlich von solchen Zwangsmaßnahmen nichts halte noch ein Tipp: Du musst dazu auch noch verhindern, dass man sein PW direkt nacheinander noch einmal ändern kann

Mawilo hat geschrieben: ich möchte dass in einem Django-Projekt Passwörter nur 90 Tage gültig sind. Danach soll der User gezwungen werden, ein neues Passwort zu vergeben, dass nicht identisch mit dem alten Passwort ist.

Mit eigenem Login und Reset view kein Problem. Du musst zusätzlich allerdings noch die alten Hashes für den Vergleiche speichern.

Kann ich in Django verschiedene Anforderungen an ein Passwort (Mindestanzahl Stellen, Sonderzeichen, Zahlen, usw.) prüfen?

Ja, in deinem View kannst du machen was du willst.

Ich hatte einfach gehofft, dass es dafür schon etwas fertiges gibt.

Hyperion hat geschrieben:Da ich persönlich von solchen Zwangsmaßnahmen nichts halte noch ein Tipp: Du musst dazu auch noch verhindern, dass man sein PW direkt nacheinander noch einmal ändern kann

Die Anforderungen an die Passwortsicherheit sind ja nicht utopisch und eigentlich schon Standard. Jedenfalls in den meisten größeren Firmen.

Grüße
Mawilo

Mawilo hat geschrieben:

Hyperion hat geschrieben:Da ich persönlich von solchen Zwangsmaßnahmen nichts halte noch ein Tipp: Du musst dazu auch noch verhindern, dass man sein PW direkt nacheinander noch einmal ändern kann

Die Anforderungen an die Passwortsicherheit sind ja nicht utopisch und eigentlich schon Standard. Jedenfalls in den meisten größeren Firmen.

Vielleicht hast Du mich nicht verstanden, daher noch mal explizit: Wenn man sein Pwßwort ändern muss, dann wird es sicherlich Schlauberger geben, die sich ein neues ausdenken, das setzen und anschließend das alte Passwort wieder setzen. Das meinte ich mit meinem Einwand.

Im ürbigen bin ich so ein Schlauberger, sofern das System das zulässt Ich halte nicht viel davon, ständig sein PW zu ändern. Das führt imho eher dazu, dass sich Leute ihr PW irgend wo aufschreiben... und das ist ja nun das schlechteste überhaupt!

Naja, ich hatte vor, dass die letzten 5 Passwörter nicht gewählt werden dürfen ... Ich habe bei mir in der Firma solche Restriktionen. Aber ich kann ganz gut damit leben - ohne die Passwörter aufzuschreiben

Mawilo hat geschrieben:Naja, ich hatte vor, dass die letzten 5 Passwörter nicht gewählt werden dürfen ... Ich habe bei mir in der Firma solche Restriktionen. Aber ich kann ganz gut damit leben - ohne die Passwörter aufzuschreiben

Das glaub ich dir nicht, wenn du dir ca. 10 solcher Passwörter merken musst leidet die Passwortstärke sehr darunter; bei den meisten sind es dann so oder so nur getauschte Zeichen aus dem vorherigen Passwort… (Randnotiz: Wir haben Systeme, wo kein altes Passwort neu verwendet werden darf und das neue Passwort den alten nicht zu ähnlich sein darf; spätestens nach dem 2. Passwortwechsel haben die meisten nur mehr Passwörter die man sehr leicht erraten kann )

Hallo,

Trick Nr1 bei Passwortwechseln ist doch, ein Passwort zu nehmen und nur ne Zahl anzuhängen, also "geheim1", geheim2", usw. Spätesten bei 5 oder 6. Wechsel ist man sich nicht mehr sicher, wo der Zähler denn steht und fordert beim Admin ein neues Passwort an.

Gruß, noisefloor

Deswegen berechnet man auch noch die Distanz zwischen dem alten und neuen Passwort und sorgt dafür dass die Veränderung bei mindestens 50% liegt.

@DasIch: Und spätestens dann wird die Passwortdatenbank zur zuverlässigsten Geburtstagsdatenbank in der ganzen Firma

Man nimmt einfach Jahr und Monat der Änderung, dann muss man sich nur noch merken, wann man es geändert hat!

--> Paßwörter sind Müll.

@mkesper: Man ändert einfach monatlich und nimmt das aktuelle Jahr und den aktuellen Monat. Sehr einfach zu merken.

Es gibt Passwort-Manager!

Ich halte von solchen Regelungen auch nicht so viel.
Ich finde man ist alt genug, um selber entscheiden zu können, ob und wann ich mein PW ändere bzw. wie ich damit umzugehen hab.
Ein Feature, was einen erinnert, dass man seit Ewigkeiten sein PW nicht mehr geändert hat, wäre noch ok. =)

powered_by_coffee hat geschrieben:Ich finde man ist alt genug, um selber entscheiden zu können, ob und wann ich mein PW ändere bzw. wie ich damit umzugehen hab.

In sicherheitskritischen Bereichen ist "alt genug" kein Kriterium, wobei da natürlich eine Zertifikat basierte Lösung o.ä. besser wäre.

Authentifikation via X.509 ist meiner Erfahrung nach unglaublich selten. Wir haben das mal in der Informatik-Fakultät gehabt, aber viele bekommens nicht auf die Reihe (Informatikstudenten, wohlgemerkt!) und das System wird über kurz oder lang verschwinden und durch ein passwortbasiertes System ersetzt.

Nutzt schon länger KeePass und generiere damit passwörter... So hab ich überall verschiedene Passwörter...