Erlaubte Sonderzeichen bei Posteo

8 Kommentare | 13.10.2017 | Fakten Fakten Fakten, Ideologies, Software, Tous les Crêpes |

Posteo.de lässt bei der Passwortwahl bestimmte „nicht exotische“ Sonderzeichen zu („um unbewusst falsche Passworteingaben zu verhindern“ +___+). Auch auf wiederholtes Nachfragen beim Support ließen sie sich nicht dazu bringen, welche Zeichen das genau sind.

Tja, ein Kunde weniger, was ich schade finde, weil die mir bisher immer echt sympatisch waren. Ich hab mir trotzdem mal den Spaß erlaubt und einige Sonderzeichen durchprobiert, für den Fall, dass doch jemand ein Konto bei so einem Juiceshop haben will.

Erlaubte Sonderzeichen (neben 0-9, a-z, A-Z):

,.-_#’+?!“$%&/()=<>

Ja, viele sind das nicht. Total sicher. Verbotene Sonderzeichen (neben diversen anderen Sonderzeichen aus anderen Sprachen wie é):

“¬”#£?^\˜·¯??»„‰¸??ÁÛØ?°?ÅÍ™ÏÌÓ?ˆ?ŒÆ’?‡ÙÇ?‹›??÷—„¡“¶¢[]|{}?¿’«?€®†?¨?ø?•±å‚?ƒ©ªº?@œæ‘?¥?ç??~µ?…–

Wer Alternativen zu Posteo kennt, gern in den Kommentaren melden (ProtonMail speichert wohl den PrivateKey, d.h. die sind auch schon raus).

EDIT: Welp, ich seh‘ grad, dass unsere coole WP-Installation, die Hälfte der „verbotenen“ wieder Sonderzeichen nicht darstellen kann ??

8 Gedanken zu „Erlaubte Sonderzeichen bei Posteo

    1. j Beitragsautor

      Ist das so? Die ewige Passwortsicherheitsdiskussion. Gegen Wörterbuchattacke scheint mir das jetzt erstmal nicht besonders sicher.

      Und wenn dem so is, warum muss mein Posteo-Passwort dann nur min acht Zeichen lang sein und nicht zwölf oder 16?

      Antworten
  1. joik

    ein sonderzeichen und eine zahl sollten drin sein, damit der brutforce knackomat auch diese zeichenfelder durch orgeln muss.

    Antworten
    1. da]v[ax

      Ja klar. Aber wenn Posteo so schlecht konfiguriert wäre, das BF-Attacken nicht per se geblockt würden, wäre da ja eh was verkehrt. Und ein/zwei Sonderzeichen kannste ja dazu tun. Trotzdem gilt: mach es lang, dann brauchste dir keine so kryptischen Kombinationen merken.

      Antworten
      1. j Beitragsautor

        Ich will mir keine Passwörter merken, ich will in meinem Passwortmanager ein PW machen, das kann gern lang sein aber es wird trotzdem *noch* sicherer (weil größerer Zeichenraum, siehe Joik), wenn ich Sonderzeichen drin hab. Und das ist Dank den komischen Einschränkungen von Posteo nicht möglich (ja, ich kann die da per Hand reinbauen).

        Ich versteh auch nicht warum, die nirgends schreiben, was genau für Zeichen erlaubt sind, wie m0le ganz richtig sagte: „security per verschleierung ist abzulehnen!“

  2. Jan

    Ich verstehe den Rant nicht ganz.
    Es ist nicht ersichtlich, warum Posteo hier keine Auskunft gibt, aber eine geplante security by obscurity würde ich nicht unterstellen. Es wird hierfür und für das Begrenzen der Sonderzeichen Gründe geben, die vernünftig sind, wenn man sich deren Verhalten sonst so anschaut.
    Und die riesige Bandbreite an Sonderzeichen braucht man für so einen Login mit BF-Schutz wirklich nicht.

    Antworten
    1. j Beitragsautor

      Es ist mir egal, ob ich die Sonderzeichen brauche oder nicht. Ich kenne kein Unternehmen, dass Sonderzeichen in Passwörtern verbietet, die von Posteo angegebenen Gründe sind Bullshit und daraus, dass sie sich ansonsten schlau verhalten würde ich nicht automatisch schließen, dass sie *geheime* Gründe haben, die sich nicht sagen können, die nicht Quatsch sind. Worauf kannst du denn aus so einem merkwürdigen Verhalten schließen, was nich auf Security by Obscurity hinausläuft?

      Wenn ich Sondezeichen haben will, und die dann im Internetcáfe in Thailand auf der Tastatur nicht finde (das war, glaube ich, die Erklärung zu „um unbewusst falsche Passworteingaben zu verhindern“), dann is das nicht Posteos Problem sondern meins. Und Google, Facebook und alle anderen Konzerne der Welt, die Logins mit Passörtern haben, haben ja dieses verquere Problem auch und verbieten Trotzdem keine Sonderzeichen.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.