Re: OT: rechtliche Situation beim Passwortcracken
On Sunday 20 October 2002 22:46, Andre Timmermann wrote:
[...]
> ich bin Mitglied in einer Admingruppe, die einen Studentenserver
> mit ca. 200 Usern betreut.
>
> Wir möchten demnächst mal die Userpassworte einer Überprüfung
> mit john unterziehen,
> um eventuell zu schwache PWs aufzuspühren.
Ich würde schon bei der Eingabe des Passwortes durch den User eine
Überprüfung machen. Geht mit cracklib eigendlich recht gut, wenn
man denn gute Wörterbücher einsetzt.
> Wenn jetzt aber User XY das gleiche, schwache Passwort auch in
> seinem Onlinebanking benutzt,
> wäre er verständlicherweise Misstrauisch, wenn er dann mal die
> Nachricht bekommt:
> Dein PW ist soundso, das ist zu schwach.
>
> Kann mir jemand einen Tip geben, wie man soetwas rechtlich
> einwandfrei über
> die Bühne bringt?
Ist meines Wissens nur über eine Überprüfung bei der Anlage durch
den User einwandfrei.
> Ich möchte mich ungern falschen Verdächtigungen aussetzen ;o)
Das Problem mit passwörtern ist immer das gleiche.
Man lässt schwache Passwörter zu:
Der User riskiert seine Daten.
Man zwingt die User zu starken Passwörtern:
Die Passwörter finden sich auf Tastatur, am Monitor und allen
anderen Stellen, da die User zu faul sind sich die komplizierten
Passwörter zu merken.
Das ist eine nie endende Misionsarbeit ;)
Tschüss,
Thomas
Reply to: