Apple stellt Open-Source-Ressourcen für Passwortmanager-Anwendungen zur Verfügung
Apple hat ein neues Open-Source-Projekt ins Leben gerufen, das Entwicklern von Passwortmanagern helfen soll, gemeinsam starke Passwörter zu erstellen, die mit beliebten Websites kompatibel sind. Das Open-Source-Projekt Password Manager Resources ermöglicht es Entwicklern, Website-spezifische Anforderungen zu integrieren, die vom iCloud-Keychain-Passwortmanager verwendet werden, um sichere, eindeutige Passwörter zu erzeugen. Sollten Entwickler die Ressourcen nutzen, so könnten Benutzer „unabhängig von der Wahl des Passwortmanagers die bestmögliche und sicherste Erfahrung machen„, so Apple.
Was sollen das für website-spezifische Anforderungen sein? Jeder Passwort-Manager ist in der Lage, sichere und einzigartige Passwörter zu generieren. Wenn Apple damit nicht klar kommt, ist das das Problem von Apple.
Ist erst mal nur eine Liste mit den Website-spezifischen Anforderungen an ein Passwort.
Paypal erlaubt zum Beispiel maximal 20 Zeichen im Passwort. Wenn dein Passwortmanager jetzt aber 64 Zeichen generiert?
Oder wenn so hoch-exotische Hieroglyphen wie das Semicolon von der Webseite/vom Entwickler nicht unterstützt werden und du ewig rumprobieren musst, bis du ein Passwort hast, was dem Entwickler gefällt.
Hier zu sehen: https://github.com/apple/password-manager-resources/blob/master/quirks/password-rules.json
An sich zwar nett, aber wenn ich als Website-Betreiber nur Passwörter bis 10, 16 oder 20 Zeichen erlaube, dann liegt der Fehler bei mir. Im Zeitalter von Passwortmanagern sollten mindestens 20 und maximal meinetwegen 128 oder 256 Zeichen gelten. Dadurch wären mehr Leute gezwungen, endlich einen Passwortmanager zu verwenden und nicht „SicheresPasswort123“.
Musst Du mein Passwort hier posten?
Ausserhalb der Technik-Fan-Blase verwendet kein Mensch einen Passwortmanager, nicht mal die ggf. im Browser eingebauten.
Ich bin für einige Online-Shops mitverantwortlich. Wir haben einen Kunden, der die Verwendung von starken Passwörtern erzwingen wollte. Nach 2 Jahren wurde gerade die Mindestanforderung an das Passwort auf 8 Zeichen Länge heruntergesetzt.
Es war schlicht einfach so: Die Leute haben sich geweigert, mindestens 12 Zeichen zu verwenden und haben lieber den Kauf abgebrochen, als 12 Zeichen zu verwenden.
Die Vermutung liegt hier nah, dass der „Passwortmanager“ hier ist: Ich verwende überall das gleiche Passwort, und wo ich das nicht darf, da kaufe ich nicht ein. Punkt.
Die Betreiber leben aber nicht davon, dass die Leute ein tolles Passwort haben, sondern vom Verkauf. Und wenn man „12345“ blockiert, kaufen die Leute weniger ein.
Hier müssen halt zuerst die Firmen aktiv werden, auf die man ungern verzichtet.
Amazon wäre z.B. so ein Kandidat, die können das unter ihren Kunden eher durchsetzen, als ein x-beliebiger Onlineshop.
Außerdem Google und Apple: keiner verzichtet auf ein Smartphone, weil ihm das Passwort zu lang ist.
Dann ggf. Banken, PayPal und sonstige Zahlungsdienstleister. Jeder muss irgendwie zahlen.
Und so weiter, wie gesagt, erst die Websites, auf die man nicht verzichten kann oder es nur sehr ungern wollen würde. Wenn ich dann irgendwann auf 20 Seiten ein 20-stelliges Passwort habe, dann kümmert es mich weniger, wenn ich das auch bei Sandalenbilliger.de brauche.
Das funktioniert alles nicht. Es kann heutzutage kein Mensch mehr überblicken, wie man wo reinkommt. Und wenn man dann 20 Zeichen erzwingt, bleibt den Leuten doch gar nichts anderes übrig, als 19 Xe und ein Z zu verwenden. und wenn man Zahlen erzwingt, dann wird es halt 12345, und wenn man Sonderzeichen erzwingt, dann mit gedrückte Shift-Taste einmal die Zahlenreihe durch.
Das ist doch alles das falsche Spielfeld.
Kein einziges Konto wird heutzutage gehackt, weil es dem Passwort an Sonderzeichen-Komplexität mangelt. Konten werden gehackt, weil Mathefreaks wilde Passwörter fordern, und die Nutzer reagieren darauf mit Vereinfachung. Und diese „vereinfachten“ Passwörter sind dann schlimmer, als „melanie“ je gewesen ist.
Wenn man sich mal anguckt, wo die Probleme in der Praxis liegen, dann:
1. Unternehmen lassen sich mangelhaft geschützte Datenbanken raustragen.
2. Mehr oder wenige fiese Attacken infiltrieren Client- oder Serversysteme.
3. Radikal schlechte Passwörter, die sich in Wortlisten und Rainbowtables finden.
Nichts davon ändert sich, wenn man „melanie1972“ verbietet und „M3lan!/972xxxxxxxx“ erzwingt. ‚Nach dem Motto „First things first“ sollte man m.E. eher mal die Haftungsregeln angucken für geklaute Datenbanken, Verschleppung von Patches für Sicherheitslücken und deren Einspielung.
Ich möchte nicht zu sehr ins Detail gehen, aber ich habe Kunden, die haben im Jahr 2020 Systeme am Internet hängen, die im Jahre 2008 ihr EOL hatten. Als „Maßnahme“ wurde 10 Jahre nach EOL eine Newsletterfunktion entfernt und die Nutzerdatenbank dahinter gelöscht — wenn da was schiefgeht, hätte ja einer privat klagen können. Aber das so ein Server, wenn er gehackt wird, Basis von Attacken auf andere ist — da tut sich rechtlich nicht wirklich was. Genauso mit den ganzen „das Gerät ist jetzt ja schon 2 Jahre alt!“-IoT-Devices, die nur darauf wartet, zur ungepatchten Bot-Armee umfunktioniert zu werden.
Wir brauchen einfach in der IT einen Sicherheitsbegriff, wie wir ihn beim Auto ganz selbstverständlich haben: Alle 2 Jahre TÜV, und was nicht sicher ist, darf nicht auf die Straße. Und wenn der Hersteller nach 12 Jahren noch Teile liefern muss, dann muss er das halt vorher mit einpreisen, und nicht die Geräte nach 3 Jahren im Regen stehen lassen. VW steht selbstverständlich wegen Abgaswerten vor Gericht, wieso darf ein Cisco-Router einfach so weitergenutzt werden, der ein „Standardpasswort“ hat? Das sind doch keine Grauzonen mehr, da muss man doch einen Manager in Handschellen aus dem Büro zerren!
Wirklich finster, wenn man sich solche simplen Umstände erklären lassen muss.
Hier fielen mir viele Beispiele ein! Z.B. gibt es Seiten wo diverse PW-Manger den Login-/Username nicht (richtig) ausfüllen und er manuell eingefügt werden muss. Vielleicht können dann auch 3rd-Party 2FA-Apps ordentlich integriert werden, so dass der Abruf eines Einmal-Codes z.B. per Authy-App einfach etwas ‚bequemer‘ wird.
Und @Rolf, einer musste ja haten 😉
Ach so, und die von jedem Passwort-Manager erzeugten Passwörter sind immer kompatibel mit allen Websites?
Also ich kenne schon einige Anforderungen, die durch die simple wilde Durchmischung von Zeichen, die einem oft angeboten wird, nicht erfüllt werden. Dann darf ich mir wieder selbst etwas überlegen.
Wo steht denn im Artikel oder hinter dem Link, dass es um Kompatibilität mit der iCloud-Keychain geht?