Wörter, die nicht als Passwort verwendet werden dürfen: select, insert, update, delete, drop

 (id.uni-lj.si)
2 Punkte von GN⁺ 2024-01-22 | 1 Kommentare | Auf WhatsApp teilen

Zurücksetzen des Passworts für die digitale Identität

  • Wenn du deine digitale Identität aktiviert hast und dein Passwort vergessen hast, kannst du es über diese Seite zurücksetzen.
  • Du musst deine persönlichen Daten in das untenstehende Formular eingeben und deinen Benutzernamen kennen.
  • Der Benutzername ähnelt einer E-Mail-Adresse, zum Beispiel jn1234@student.uni-lj.si.
  • Wenn du sowohl deinen Benutzernamen als auch dein Passwort vergessen hast, musst du den Helpdesk der Universität kontaktieren.

Eingabe persönlicher Daten

  • Um die digitale Identität in der Datenbank zu finden, werden persönliche Daten benötigt.
  • Vorname, Nachname, Geburtsdatum, Studierenden-ID und zugehörige Fakultät müssen verpflichtend eingegeben werden.
  • Bei der Auswahl der Fakultät gibt es verschiedene Optionen wie die Akademie der bildenden Künste und des Designs, die Musikakademie sowie die Akademie für Theater, Radio, Film und Fernsehen.

Benutzername und neues Passwort festlegen

  • Der Benutzername sieht wie eine E-Mail-Adresse aus; der Benutzername von John Smith ist zum Beispiel js1234@student.uni-lj.si.
  • Es sollte ein starkes Passwort gewählt werden, das man sich merken kann, und leicht vorhersehbare Passwörter sollten vermieden werden.
  • Das Passwort muss mindestens 10 Zeichen lang sein, darf den Namen nicht enthalten und muss 3 der folgenden Kriterien erfüllen: englische Großbuchstaben, englische Kleinbuchstaben, Zahlen, Sonderzeichen (-_.+@).
  • Das Passwort darf keine Zeichenfolgen wie script, select, insert, update, delete, drop, --, ', /*, */ enthalten.
  • Um Tippfehler zu vermeiden, muss das Passwort zweimal eingegeben werden.

Meinung von GN⁺

  • Diese Seite hilft Nutzern, die das Passwort ihrer digitalen Identität vergessen haben, dabei, es einfach zurückzusetzen.
  • Die Regeln für starke Passwörter spielen eine wichtige Rolle beim Schutz der digitalen Informationen der Nutzer.
  • Das Verfahren, bei vergessenem Benutzernamen und Passwort den Helpdesk der Universität zu kontaktieren, bietet den Nutzern einen Weg, zusätzliche Hilfe zu erhalten.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-01-22
Hacker-News-Kommentare

  • Die Geschichte eines Entwicklers, der auf Anfrage eines Administrators bestimmte Zeichenfolgen aufgenommen hat. Die betreffende Website speichert keine Passwörter, sondern stellt eine Schnittstelle für die Verwaltung externer Konten bereit. Es gibt das Gerücht, dass es in Legacy-Apps merkwürdige Prüfungen geben könnte, bei denen man sich mit Passwörtern, die bestimmte Zeichenfolgen enthalten, nicht anmelden kann, aber konkrete Beispiele sind nicht bekannt.

  • Ein Erfahrungsbericht aus der Kindheit, bei dem jemand eine große soziale Plattform gehackt hat. Durch die Methode, verbotene Wörter einfach zu entfernen, konnten gültige HTML-Tags eingeschleust und die Besucher der Seite kontrolliert werden.

  • Die Meinung, dass solche Anforderungen in manchen Fällen eine gute Idee sein könnten. Viele Menschen schreiben schlechten Code und schlechte Systemarchitekturen, und es gibt nicht genug Leute mit ausreichenden Fähigkeiten, organisatorischer Autorität und Zeit, um das zu entdecken und Änderungen zu erzwingen. In den USA kann es sein, dass man Geschäfte über miserabel programmierte Websites abwickeln muss. In diesem Fall könnte es besser sein, davon auszugehen, dass die Implementierung, wie so oft, schrecklich ist, und entsprechende Gegenmaßnahmen zu empfehlen.

  • Kritik an einem Ansatz, der statt geeigneter Stored Procedures und Techniken zur vollständigen Vermeidung von SQL-Injection nur einige Keywords einschränkt und hofft, dass Hacker nichts finden, woran niemand gedacht hat. Wir haben nicht mehr 2005; dafür zu sorgen, dass Benutzereingaben nicht mit SQL vermischt werden, ist keine Raketenwissenschaft mehr. Passwörter unverschlüsselt zu speichern, war übrigens schon 2005 töricht.

  • Ein Kommentar, in dem stattdessen truncate verwendet werden soll.

  • Die Einschätzung, dass das Ganze aus alten Systemen stammt. Einige Universitäten und Banken verwenden für die zentrale Authentifizierung alte Mainframe-Systeme und speichern Passwörter im Klartext, mit einer Beschränkung auf 8 Zeichen und nur Großbuchstaben. Der Hauptgrund, diese Systeme nicht zu modernisieren, sind Kosten und Komplexität.

  • Der Erfahrungsbericht eines Studenten, dass nicht alle verbotenen Zeichenfolgen geprüft werden.

  • Die Geschichte einer Person, die solche Anforderungen bei der Arbeit erstellen musste. Eigentlich sollte man alle Zeichenfolgen korrekt escapen und parametrisierte Queries verwenden, um SQL-Injection-Angriffe zu vermeiden, aber für Defense in Depth sollten Felder, die wie SQL oder HTML aussehen, in allen Eingaben zurückgewiesen werden.

  • Ein selbstbewusster Kommentar, dass das eigene Passwort niemals herausgefiltert würde.

  • Eine optimistische Vermutung, dass solche Anforderungen von einer übereifrigen WAF (Web Application Firewall) herrühren könnten.