Author Topic: Login Passwordlänge  (Read 529 times)

Offline evaki

  • Posts: 2695
Login Passwordlänge
« on: January 06, 2018, 10:24:13 AM »
Kanns sein, daß es Unterschiede in der Bearbeitung gibt?
Konkret wurde bei Anwendern ein wenig mit den Werten in Benutzerverwaltung und in /admin/login/index.php "gespielt" (minimal. Pw-länge). "Man" hat den Eindruck, daß das eine nix mit dem anderen zu tun hat.
Verdacht: "Das befindet sich auf einem Zwischenstand, da stehen bestimmt noch Änderungen aus."
Mein Kommentar: Keine Ahnung... -ich frag mal.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4359
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: Login Passwordlänge
« Reply #1 on: January 06, 2018, 11:25:57 AM »
Kanns sein, daß es Unterschiede in der Bearbeitung gibt?
Konkret wurde bei Anwendern ein wenig mit den Werten in Benutzerverwaltung und in /admin/login/index.php "gespielt" (minimal. Pw-länge). "Man" hat den Eindruck, daß das eine nix mit dem anderen zu tun hat.
Verdacht: "Das befindet sich auf einem Zwischenstand, da stehen bestimmt noch Änderungen aus."
Mein Kommentar: Keine Ahnung... -ich frag mal.
MfG. Evaki
Stimmt das eine hat mit dem anderen nix zu tun.
Es gint eine Mindeslänge und eine tatsächliche Länge (diese läßt sich in der Userverwaltung setzen). Besser als irgendwelche Online Tools zu benutzen, wo der Anwender nicht weiss, was mit seinem erzeugten Passwort passiert.

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung

Offline jacobi22

  • Posts: 5843
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Login Passwordlänge
« Reply #2 on: January 06, 2018, 05:17:19 PM »
ich mach es etwas genauer....
es gibt keinen Längenbegrenzer im Sinne eines globalen Wertes in WB, der für alle drei möglichen Passwort-Setzungen gilt.
Technischer Begrenzer ist die Länge des Passwortfeldes in der Datenbank inkl. der Verschlüsselung durch md5()
von daher eh egal, md5() sind 32 Zeichen. Angedacht war mal, noch weiter zu verschlüsseln, was das die Länge des verschlüsselten Wertes erhöht, aber auch dieser Wert wird dann noch bequem in das Datenbank-Feld passen.

Es gab (ich glaube) mit Einführung der WB 2.8.3 den Versuch einer Minimumlängen-Definition, damals aber auch heftige Kritik, weil Leute in der Tat zwei- oder drei-stellige Passwörter hatten und auch behalten wollten. Darum dann in der Nachfolgerversion wieder retour.

Zurück zur aktuellen Version 2.10.x
die möglichen Szenarien..
1. Neu-Registrierung: aktuell mindestens 7 Zeichen, in WB 2.11 angeglichen auf 6 für alle neuen Passwörter
2. neues Passwort im Userprofil (früher "Einstellungen" / ab WB 2.11 "Mein Profil"): Minimum = 6 Zeichen
3. Passwort ändern in Userverwaltung: Empfehlung = 8 Zeichen, aktuell änderbar, ab WB 2.11 minimum 6 Zeichen

P.S.: Was in der Userverwaltung zu sehen ist, ist ein Passwortgenerator. Den kann man benutzen, muß man aber nicht. Es ist genauso möglich, ein eigenes Passwort zu verwenden
Wer nicht will, findet Gründe, wer will, findet Wege.

 

postern-length