Würde mich wundern, wenn irgendjemand freiwillig sein 10 Jahre altes Passwort ändern wollen würde.
Denke daher auch nicht, dass es ein Test ist, sondern vermutlich nur ein Scherz oder bait.
Oder Vorgesetzte die IT und Fachabteilung steuern.
*"Ihr müsst denen schon entwas entgegen kommen, das ist halt schwer mit den Passwörtern. Können nicht alle einfach das gleiche Passwort haben? Das wäre dann doch auch einfacher?!"*
Ich hab in den letzten 5 Jahren in den IT-Abteilungen vom BZSt, dem BpB, der Sparkasse und einem privatwirtschaftlichen Unternehmen gearbeitet.
Man kann es kaum glauben aber diejenigen mit den meisten Technikfremden war das privatwirtschaftliche Unternehmen. Die Beamten und die Banker kannten sich (im Schnitt) deutlich besser aus. Sie wussten, wie sie einen Drucker einrichten und sich aus dem Home Office per VPN einwählen konnten, und sie haben den PC wirklich neu gestartet und geguckt ob der Fehler behoben war BEVOR sie uns angerufen haben.
Okay, lag mitunter auch daran, dass wir denen für alle möglichen Fälle und Probleme eine Anleitung geschrieben haben. Aber als wir das in dem privaten Unternehmen versucht haben wurden diese Anleitungen einfach ignoriert, was dann mehr Wartezeit für sie und mehr Arbeit für uns bedeutete.
Und ja, diese Ignoranz zog sich durch alle Altersgruppen.
Kommt immer drauf an. Oft läuft es aber darauf hinaus das man dann passwort1 passwort2 oder bei jährlichen änderungen passwort2020 passwort2021 hat.
Ist halt nicht sinn und zweck der sache
Darum prüft man auch ob genug Zeichen im Passwort vom alten abweichen.
>!/s natürlich. PWs werden (hoffentlich) als [Hash](https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion) gespeichert!<
Unser SAP System beschwert sich wirklich, wenn das neue Passwort weniger als 3 Zeichen von den 5 letzten abweicht...
Und wenn ich wirklich alle 2 Monate mein Passwort ändern soll, es aber keine Funktion gibt, es zurückzusetzen (außer einen Brief mit neuem Passwort anzufordern), dann benutz ich nun mal ein System, das ich mir merken kann, so dass ich notfalls auch ohne meinen Keyring drauf komm. Ist absolut nicht Sinn der Sache, aber irgendwann ist mir das alles dann auch zu blöd.
Ich muss das alte Passwort mit angeben, es beschwert sich aber auch über ältere Passwörter. Wobei ich mir jetzt nicht mehr sicher bin, ob es bei den älteren nur auf Gleichheit überprüft. Werde das beim nächsten Mal ändern wieder ausprobieren.
Wenn man in dem Dialog zum Ändern sowohl altes als auch neues Passwort eingeben muss, nicht unbedingt. Dann könnte die Prüfung ja clientseitig stattfinden.
Naja teilweise muss man das alte passwort ja beim ändern nochmal eingeben, dann wird einfach ne Überprüfung damit gemacht. Toll ist das auch nicht. Aber dafür muss das Passwort in der Datenbank nicht im Klartext gespeichert werden.
Du scherzt, aber das lässt sich durchaus sicher umsetzen. Du musst beim Passwortwechsel ohnehin dein altes Passwort eingeben, dagegen kannst du dann den diff machen.
Nein, im Kern ist es das nicht. Es gibt nur roundabout einen Nachteil wenn man es zu oft macht, weil dann Leute inkrementell vorgehen (was immer noch besser ist als garnicht ändern (aka altespasswort 1 altespassort2) oder es gleich dann auf gelben postits auf den Monitor kleben (halt etwas öfter, machen sie ja eh), aber das ist immernoch sicherer als wenn es nicht mal physical access in den Raum braucht als wenn es einfach von aussen gephished wird (weil doofe user passwörter doppelt und dreifach verwenden.)
Passwortchanges sind also nicht alleiniges perfektes Bollwerk, aber schon "sicherer" als wenn Leute 25 Jahre das selbe passwort haben. Ist halt dann im zweiten Durchgang eher ne Frage des Aufwandes die Leute zu bearbeiten die das auch wieder nicht hinkriegen im Vergleich mit nem geschätzten Mehrwert.
Doch, es ist schlechter, da man dann eher ein Passwort verwendet, dass man sich leichter merken kann. Selbst ich, der immer ein sicheres und langes Passwort verwendet, würde einfach irgendwann dazu umgehen einfache passwörter zu verwenden, da ich keine Lust habe mir immer ein neues Passwort zu generieren, nur um es direkt wieder ändern zu müssen, wenn ich es auswendig kann
Zudem würden wenig technikafine Leute das Passwort wohl kaum in ein passwortmanager speichern, selbst wenn es einfach ist, da man da schnell durcheinander kommen kann
Es darf nicht zu regelmäßig sein. Sonst fangen die Leute an es sich aufzuschreiben. Aber immer mal wieder sollte man über ein neues Passwort nachdenken. Spätestens wenn ein mal der Passwort Leak verdacht im Unternehmen aufgekommen ist.
Ja es ist fast immer schlecht, da man dann eher ein Passwort verwendet, dass man sich leichter merken kann. Selbst ich, der immer ein sicheres und langes Passwort verwendet, würde einfach irgendwann dazu umgehen einfache passwörter zu verwenden, da ich keine Lust habe mir immer ein neues Passwort zu generieren, nur um es direkt wieder ändern zu müssen, wenn ich es auswendig kann
Zudem würden wenig technikafine Leute das Passwort wohl kaum in ein passwortmanager speichern, selbst wenn es einfach ist, da man da schnell durcheinander kommen kann
Das BSI rät stark davon ab regelmäßige passwortänderungen zu erzwingen
Aber wenn die Itler nicht so doof sind, dann würden sie den Zettel nicht da hinhängen. Außer es wäre ein Test oder Scherz (oder beides), was der Punkt war.
bei uns in da firma gibts regelmässig spam mails wo einem der CEO sagt dass a auto gwinnan wenns sisi auf den link anmelden
=> drauf kriagt ma direkt a IT nachschulung
Ich glaube auch das es ein Scherz ist aber habe oft genug Technophobe Mitte/ende 60er Personen kennen lernen dürfen, die Entscheidungsträger in irgendeinen Unternehmen sind, die sowas einführen würden. Einfach weil Passwort ändern eine IT Angelegenheit ist und damit dürfen das normale Mitarbeiter nicht machen. Trennung von Verantwortung nennt man sowas. Wie gesagt das Beispiel ist schon extrem und daher nicht echt, hoffe ich, aber so Dinge gibt es schnell.
Ich hatte in der Arbeit mal einen Betriebsleiter (kein ITler) der darauf bestand, dass er alle Passwörter für seine Mitarbeiter selbst festlegt und in einer Excelliste auf seinem Desktop speichert. Als wir mal wegen einem Sicherheitsvorfall wollten, dass alle Mitarbeiter ihre Passwörter ändern hat er sich massiv quer gestellt und gemeint, dass wäre jetzt zu viel Arbeit für ihn die alle wieder zu ändern etc.
> Ich hatte in der Arbeit mal einen Betriebsleiter (kein ITler) der darauf bestand, dass er alle Passwörter für seine Mitarbeiter selbst festlegt und in einer Excelliste auf seinem Desktop speichert.
Nicht überraschend.
Im 3rd-Level-Support hatte ich mit IT-Servicedienstleistern zu tun,
die solche Spreadsheets massenweise für ihre Kunden und alle von
denen eingesetzte Software pflegten.
Nicht ohne Grund, da diese Unternehmen selbst noch viel fahrlässiger
im Umgang mit Passwörtern wären.
Passwortrotation stellen die dann einfach als Dienstleistung in Rechnung …
Wer sich da einträgt müsste mehr als nur ne Fortbildung verschrieben bekommen….aber die gibt es öfter als man denkt.
Bin auch in der IT tätig und hab leider aufhören müssen zu zählen wie oft mir Leute bei kleinen Computerproblemen ihren Laptop + Zettel
Mit ALLEN Passwörtern die sie so haben gegeben haben, inkl. auch solcher Sachen wie Handysperrkennwort was ich ja nicht mal gebrauchen könnte in dem Moment.
Glaube bei manchen Leuten könntest du ohne lang rum machen die Banking PIN oder PIN der Alarmanlage daheim kriegen. Der beste Vergleich ist immer zu fragen, ob du auch einfach so jedem auf der Straße deinen Autoschlüssel oder Hausschlüssel geben würdest.
Man kann erkennen, dass es fake ist, weil da "der Change" steht. Jemand der wirklich deutsch genug wäre um so einen Zettel ernst zu meinen hätte "die Änderung" geschrieben.
Ich wette da hatte jemand genug davon, ständig anrufe zu kriegen und wem das passwort ändern zu müssen. Sobald der prozess weniger angenehm für die Mitarbeiter ist merken sie es sich eher.
Bei meinem ersten Arbeitgeber habe ich drei Monate auf dem Account einer Mitarbeiterin in Elternzeit gearbeitet. Als ich dann meinen eigenen Account bekam, kam die Sekretärin mit einer offenen Passwortliste zu mir, in der ich mein Passwort eintragen sollte, falls ich das vergesse.
Zu Beginn meiner Ausbildung (ist schon ein wenig her), war das in der Firma dort üblich, dass jeder Mitarbeiter sein Passwort auf einem Zettel bei den Admins in einem verschlossenen Schrank hinterlegt. Das war sogar dort durch den Betriebsrat so abgesegnet.
So ungefähr nicht vollkommen unüblich. Es ist ein Arbeitsgerät, dein Passwort sollte ja eh nichts "von dir" enthalten. Bei einer Firma wo ich war wurde der zweite Schlüssel der LUKS-Verschlüsselung von den Admins vergeben und im Safe der Firma gelagert, falls man mal dran muss. In Windows-Betrieben liegt der bitlocker Schlüssel dann einfach so in der AD Cloud...
Kann der Admin, aber es ist geloggt dass er in den Account "eingebrochen" ist.
Wenn er das PW schon hat, kann er sich viel leichter als der Mitarbeiter ausgeben
Und selbst wenn jemand kein AD hat (aus welchem Grund auch immer....), sollte ein IT Admin immer einen Notfall Zugang haben, zb integrierten Windows Admin aktivieren.
> Es ist ein Arbeitsgerät, dein Passwort sollte ja eh nichts "von dir" enthalten.
Viel schlimmer, jemand kann mit dem Passwort in deinem Namen Unheil anrichten. Dagegen schützt auch kein hochnäsiges "da ist ja eh nix *von dir* drauf, ooooder?".
Im Gegenteil, jede Anfrage nach einem Passwort ist von vornherein verdächtig. Wofür braucht man das Passwort? Da ja keine eigenen Daten auf dem Gerät sind... Kann es eigentlich nur darum gehen, heimlich Unheil in fremdem Namen zu schaffen.
Jedes System, das nicht von kompletten Amateuren geschrieben wurde, loggt solche Impersonifikationen in einer zusätzlich gesicherten, unveränderlichen Umgebung.
> dein Passwort sollte ja eh nichts "von dir" enthalten
Vor allem sollte **niemand** außer mir mein Passwort kennen. Es gibt kein Szenario, in dem jemand anderes mein Passwort bräuchte und es nicht ein Vollversagen des Unternehmens bzw. der IT wäre.
Verschlüsselungssysteme wie LUKS oder bitlocker erlauben selbstverständlich mehrere Passwörter zu vergeben, bzw den unterliegenden Master Schlüssel auszulesen was auch nichts wirklich anderes ist. Und ja, dieser Master wird gerne zentral gelagert - wie halt im AD. Das ist nichts neues.
Von anderen Diensten rede ich nicht.
Das ist doch was komplett anderes als der Kommentar mit "jeder schreibt sein Passwort auf einen Zettel und legt das in den verschlossenen *Schrank*", auf den du dich beziehst.
Abgesehen dass es unnütze ist, weil ein Admin immer auf die Nutzer kommen sollte oder ggf. was zurücksetzten kann, ist die Praxis für bestimmte andere Sachen garnicht mal so dumm wie es klingt.
Ein Tresor mit Schlüssel und einem einzelnen Blatt pro Person ist praktisch genauso sicher wie alles andere.
Würde man aber eher machen mit Sachen wo man selbst nicht einfach was zurück setzen kann machen.
Im Grunde wie ein Schlüsselschrank für Zweitschlüssel.
Bei einem ehemaligen großen (2k+ MA) Arbeitgeber von mir in der Produktion war es lange Zeit üblich, dass die Kollegen ihre Passwörter in Excel auf einem Netzlaufwerk hinterlegen.
I will be messaging you in 7 days on [**2024-07-09 14:08:10 UTC**](http://www.wolframalpha.com/input/?i=2024-07-09%2014:08:10%20UTC%20To%20Local%20Time) to remind you of [**this link**](https://www.reddit.com/r/de/comments/1dtk56r/sichere_passwörter_sind_wichtig/lbab3l3/?context=3)
[**34 OTHERS CLICKED THIS LINK**](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5Bhttps%3A%2F%2Fwww.reddit.com%2Fr%2Fde%2Fcomments%2F1dtk56r%2Fsichere_passw%C3%B6rter_sind_wichtig%2Flbab3l3%2F%5D%0A%0ARemindMe%21%202024-07-09%2014%3A08%3A10%20UTC) to send a PM to also be reminded and to reduce spam.
^(Parent commenter can ) [^(delete this message to hide from others.)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Delete%20Comment&message=Delete%21%201dtk56r)
*****
|[^(Info)](https://www.reddit.com/r/RemindMeBot/comments/e1bko7/remindmebot_info_v21/)|[^(Custom)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5BLink%20or%20message%20inside%20square%20brackets%5D%0A%0ARemindMe%21%20Time%20period%20here)|[^(Your Reminders)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=List%20Of%20Reminders&message=MyReminders%21)|[^(Feedback)](https://www.reddit.com/message/compose/?to=Watchful1&subject=RemindMeBot%20Feedback)|
|-|-|-|-|
Das hat mich an dem ganzen am meisten gestört. Bei mir auf der Arbeit haben wir überall Zettel mit Passwörtern weil viele ihre vergessen, bin an sowas schon gewohnt.
In der Regel sind unsere Mitarbeiter ganz fit, was die Schulungen angeht. Einmal gabs aber eine Mail von der "Personalabteilung", dass auf dem Parkplatz ein Auto beschädigt wurde, damit hätte man direkt 1/4 der User inklusive CEO kompromittiert.
Ah ja die Phishing Tests. Ich kann mich noch an einen meiner ersten Arbeitgeber erinnern. Der CEO hat damals der IT gesagt, das man dann direkt einen Zettel im Büro aufhängen soll, mit all den glücklichen Gewinnern der Sicherheit Schulung. Wurde natürlich gemacht, wenn auch widerwillig. Die Anweisung wurde irgendwann zurück genommen als die Phishing Mail etwas besser getarnt war und gezielt den Chef und seine Frau als Ziel hatte. Da wurde dann die Liste abgehängt und die Regel, dass er da durchfällt noch mal in die Sicherheitsgrundlagenschulung muss abgeschafft. Auch die Mails gab es danach nicht mehr.
Gewisse Ähnlichkeiten werden sie definitiv haben, vollkommen richtig.
Wir beginnen jetzt erst damit, ich bin sehr gespannt. Mein Tipp sind so 60% Klickrate initial.
Was eine viel größere Barriere ist. Dafür muss sich der "Hacker" erst mal Zugang zum Unternehmen verschaffen. Vermutlich sogar erst mal nach Deutschland fliegen.
Dann ist der Hacker aber nicht auf der Höhe der Zeit.
Das machste heutzutage doch mittels Social Engineering und gefaktem AI Video Call: bei der Sekretärin anrufen und sich die Liste eingescannt an [email protected] schicken lassen.
ja, aber es werden richtig coole und moderne wörter wie "change" verwendet, das muss doch auch etwas wert sein? denk doch mal an den added value den so etwas bringt.
Hehe, das ist ein Park in Moskau:
https://maps.app.goo.gl/hq8Qb7MLeJbUXG1W7?g_st=ic
Benannt nach ihm hier: https://de.m.wikipedia.org/wiki/Maxim_Gorki
Bei uns wird er mit I, im englischen mit y geschrieben.
macht Sinn. Wie viele Leute in Ländern ohne unsere Umlaute, denken daran das es die gibt? Doch nur diejenigen die auch gezielt hier ein Ziel angreifen würde ich raten.
Bei uns in der Firma ist es auch normal, dass man der IT sein Passwort über Teams schicken muss, wenn man z.b. ein neues Firmenhandy bekommt. Da muss ich bei den IT-Sicherheitstrainings, die wir regelmäßig machen müssen, immer lachen, wenn es zum Thema Passwortsicherheit kommt.
Als bei uns für die Windowsanmeldung von einem standard PW auf individuelle Passwörter umgestellt wurde, sollte jeder Mitarbeiter das neu gewählte Passwort an die Sekretärin "zur Verwahrung" mailen. Sie trug es in passwörter.xls ein - eine Datei, die nun friedlich in unserem Netzlaufwerk wohnt (PS: Seid bitte kreativer als KindernameKindergeburtsdatum).
Ist bestimmt super-sicher, wenn Admins nicht nur mit Admin-Rechten auf irgendwas zugreifen können, sondern auch einfach den Account anderer benutzen können, um Logging/Rückverfolgung usw auszuhebeln.
Das erinnert mich an eine Test-Mail, die mein AG letztes Jahr rumgeschickt hat... Es gäbe einen firmeninternen Wettbewerb unter der Prämisse "Wer hat das sicherste Paßwort?"
Man sollte dann auf einen Link klicken und dort sein Paßwort in ein Formular eintragen. Eine Jury würde dann den Gewinner bestimmen und dieser bekäme einen Preis 🤣
Ach Mist. In der Schulzeit hab ich so oft blödeleien ans Schwarze Brett gehängt. Aber das wäre der Hammer gewesen. Ich hätte vermutlich schon in der ersten kleinen Pause Zugriff auf die ganze Schul-IT + 50% der Facebook-Accounts des Lehrerkollegiums gehabt... xD genial.
Kollegen eintragen den man nicht mag mit: altes Passwort "insgeheimtragichDamenschlüpfer", neues Passwort "AFDodernix69" und zusehen wir er zuerst in die IT gerufen wird und dann HR
Das ist doch ein Scherz. Oder ein Test. Wer sich da einträgt, bekommt eine Fortbildung "IT-Sicherheit" verordnet?
Meine erste Vermutung. So dumm kann doch kein ITler sein.
ITler nicht, aber leider leute die PCs benutzen. Ich fürchte da würden so einige sich eintragen. und vermutlich nicht nur Boomer.
Würde mich wundern, wenn irgendjemand freiwillig sein 10 Jahre altes Passwort ändern wollen würde. Denke daher auch nicht, dass es ein Test ist, sondern vermutlich nur ein Scherz oder bait.
Vor allem, da man dann auf einmal Sonderzeichen verwenden müsste.
Oder Vorgesetzte die IT und Fachabteilung steuern. *"Ihr müsst denen schon entwas entgegen kommen, das ist halt schwer mit den Passwörtern. Können nicht alle einfach das gleiche Passwort haben? Das wäre dann doch auch einfacher?!"*
[Ein gemeinsames Passwort für alle und alles.](https://youtube.com/shorts/Ez-ZqRcuzCU?si=EGJrAyuevLX8Cxvx)
Ich hab in den letzten 5 Jahren in den IT-Abteilungen vom BZSt, dem BpB, der Sparkasse und einem privatwirtschaftlichen Unternehmen gearbeitet. Man kann es kaum glauben aber diejenigen mit den meisten Technikfremden war das privatwirtschaftliche Unternehmen. Die Beamten und die Banker kannten sich (im Schnitt) deutlich besser aus. Sie wussten, wie sie einen Drucker einrichten und sich aus dem Home Office per VPN einwählen konnten, und sie haben den PC wirklich neu gestartet und geguckt ob der Fehler behoben war BEVOR sie uns angerufen haben. Okay, lag mitunter auch daran, dass wir denen für alle möglichen Fälle und Probleme eine Anleitung geschrieben haben. Aber als wir das in dem privaten Unternehmen versucht haben wurden diese Anleitungen einfach ignoriert, was dann mehr Wartezeit für sie und mehr Arbeit für uns bedeutete. Und ja, diese Ignoranz zog sich durch alle Altersgruppen.
Zweifelhaft. Boomer und die meisten Leute die PCs benutzen würden überhaupt niemals auf die Idee kommen ihr Passwort zu ändern.
Ich dachte, dass es eher schlecht ist Leute zu zwingen ihr Passwort regelmäßig zu ändern?
Kommt immer drauf an. Oft läuft es aber darauf hinaus das man dann passwort1 passwort2 oder bei jährlichen änderungen passwort2020 passwort2021 hat. Ist halt nicht sinn und zweck der sache
Darum prüft man auch ob genug Zeichen im Passwort vom alten abweichen. >!/s natürlich. PWs werden (hoffentlich) als [Hash](https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion) gespeichert!<
Unser SAP System beschwert sich wirklich, wenn das neue Passwort weniger als 3 Zeichen von den 5 letzten abweicht... Und wenn ich wirklich alle 2 Monate mein Passwort ändern soll, es aber keine Funktion gibt, es zurückzusetzen (außer einen Brief mit neuem Passwort anzufordern), dann benutz ich nun mal ein System, das ich mir merken kann, so dass ich notfalls auch ohne meinen Keyring drauf komm. Ist absolut nicht Sinn der Sache, aber irgendwann ist mir das alles dann auch zu blöd.
Müsst ihr zum Ändern sowohl altes als auch neues Passwort eingeben? Wenn nicht ist das ganze ein wenig fragwürdig...
Ich muss das alte Passwort mit angeben, es beschwert sich aber auch über ältere Passwörter. Wobei ich mir jetzt nicht mehr sicher bin, ob es bei den älteren nur auf Gleichheit überprüft. Werde das beim nächsten Mal ändern wieder ausprobieren.
Wenn man in dem Dialog zum Ändern sowohl altes als auch neues Passwort eingeben muss, nicht unbedingt. Dann könnte die Prüfung ja clientseitig stattfinden.
Naja teilweise muss man das alte passwort ja beim ändern nochmal eingeben, dann wird einfach ne Überprüfung damit gemacht. Toll ist das auch nicht. Aber dafür muss das Passwort in der Datenbank nicht im Klartext gespeichert werden.
Du scherzt, aber das lässt sich durchaus sicher umsetzen. Du musst beim Passwortwechsel ohnehin dein altes Passwort eingeben, dagegen kannst du dann den diff machen.
Kommt drauf an, was ihr bisheriges Passwort ist und wie gut sie damit umgehen.
Nein, im Kern ist es das nicht. Es gibt nur roundabout einen Nachteil wenn man es zu oft macht, weil dann Leute inkrementell vorgehen (was immer noch besser ist als garnicht ändern (aka altespasswort 1 altespassort2) oder es gleich dann auf gelben postits auf den Monitor kleben (halt etwas öfter, machen sie ja eh), aber das ist immernoch sicherer als wenn es nicht mal physical access in den Raum braucht als wenn es einfach von aussen gephished wird (weil doofe user passwörter doppelt und dreifach verwenden.) Passwortchanges sind also nicht alleiniges perfektes Bollwerk, aber schon "sicherer" als wenn Leute 25 Jahre das selbe passwort haben. Ist halt dann im zweiten Durchgang eher ne Frage des Aufwandes die Leute zu bearbeiten die das auch wieder nicht hinkriegen im Vergleich mit nem geschätzten Mehrwert.
Doch, es ist schlechter, da man dann eher ein Passwort verwendet, dass man sich leichter merken kann. Selbst ich, der immer ein sicheres und langes Passwort verwendet, würde einfach irgendwann dazu umgehen einfache passwörter zu verwenden, da ich keine Lust habe mir immer ein neues Passwort zu generieren, nur um es direkt wieder ändern zu müssen, wenn ich es auswendig kann Zudem würden wenig technikafine Leute das Passwort wohl kaum in ein passwortmanager speichern, selbst wenn es einfach ist, da man da schnell durcheinander kommen kann
Es darf nicht zu regelmäßig sein. Sonst fangen die Leute an es sich aufzuschreiben. Aber immer mal wieder sollte man über ein neues Passwort nachdenken. Spätestens wenn ein mal der Passwort Leak verdacht im Unternehmen aufgekommen ist.
Ja es ist fast immer schlecht, da man dann eher ein Passwort verwendet, dass man sich leichter merken kann. Selbst ich, der immer ein sicheres und langes Passwort verwendet, würde einfach irgendwann dazu umgehen einfache passwörter zu verwenden, da ich keine Lust habe mir immer ein neues Passwort zu generieren, nur um es direkt wieder ändern zu müssen, wenn ich es auswendig kann Zudem würden wenig technikafine Leute das Passwort wohl kaum in ein passwortmanager speichern, selbst wenn es einfach ist, da man da schnell durcheinander kommen kann Das BSI rät stark davon ab regelmäßige passwortänderungen zu erzwingen
Ist schon seit einer ganzen Weile Konsens, BSI hat's aber erst 2020 aus den Grundschutzanforderungen rausgenommen.
Die ist schon klar das die Boomer die sind die den ganzen scheiss erfunden haben oder?
Aber wenn die Itler nicht so doof sind, dann würden sie den Zettel nicht da hinhängen. Außer es wäre ein Test oder Scherz (oder beides), was der Punkt war.
Boomer tragen sich da nicht ein da sie nie eine Passwortänderung wünschen .. und selbst bei Anordnungen nicht machen wollen 🤣
bei uns in da firma gibts regelmässig spam mails wo einem der CEO sagt dass a auto gwinnan wenns sisi auf den link anmelden => drauf kriagt ma direkt a IT nachschulung
Boomer? Bro wir haben den Scheiß erfunden!
Ich glaube auch das es ein Scherz ist aber habe oft genug Technophobe Mitte/ende 60er Personen kennen lernen dürfen, die Entscheidungsträger in irgendeinen Unternehmen sind, die sowas einführen würden. Einfach weil Passwort ändern eine IT Angelegenheit ist und damit dürfen das normale Mitarbeiter nicht machen. Trennung von Verantwortung nennt man sowas. Wie gesagt das Beispiel ist schon extrem und daher nicht echt, hoffe ich, aber so Dinge gibt es schnell.
Ich hatte in der Arbeit mal einen Betriebsleiter (kein ITler) der darauf bestand, dass er alle Passwörter für seine Mitarbeiter selbst festlegt und in einer Excelliste auf seinem Desktop speichert. Als wir mal wegen einem Sicherheitsvorfall wollten, dass alle Mitarbeiter ihre Passwörter ändern hat er sich massiv quer gestellt und gemeint, dass wäre jetzt zu viel Arbeit für ihn die alle wieder zu ändern etc.
> Ich hatte in der Arbeit mal einen Betriebsleiter (kein ITler) der darauf bestand, dass er alle Passwörter für seine Mitarbeiter selbst festlegt und in einer Excelliste auf seinem Desktop speichert. Nicht überraschend. Im 3rd-Level-Support hatte ich mit IT-Servicedienstleistern zu tun, die solche Spreadsheets massenweise für ihre Kunden und alle von denen eingesetzte Software pflegten. Nicht ohne Grund, da diese Unternehmen selbst noch viel fahrlässiger im Umgang mit Passwörtern wären. Passwortrotation stellen die dann einfach als Dienstleistung in Rechnung …
Wenn ich bezahlt werde Passwort in Klartext öffentlich aufzuschreiben werde ich es tuen!
Öffentlicher Dienst.
Schau mal der hat change statt Änderung geschrieben. Bist du immernoch der selben Meinung?
die können noch dümmer
Social Engineering auf Vorschulniveau, und in diesem Land könnte es leider durchaus noch funktionieren :D
2 Fakeeinträge um die Sache ans laufen zu bringen. Vor der Mittagspause schreiben die Leute schon unter die Tabelle weil der Platz ausgeht.
Das würde in anderen Ländern auch funktionieren, genauso wie der USB Stick auf dem Parkplatz.
Das ist einfach die deutsche Version von dem [Meme](https://www.reddit.com/r/pcmasterrace/comments/17wddq4/password_change_sign_up_sheet/)
"Flair: Humor"
Wahrscheinlich. Die nutzen Proofpoint, also wahrscheinlich auch PSAT, das könnte im Rahmen einer Erfolgskontrolle davon ein Element sein.
Wer sich da einträgt bekommt als erstes einen lustigen Bildschirmhintergrund
Wer sich da einträgt müsste mehr als nur ne Fortbildung verschrieben bekommen….aber die gibt es öfter als man denkt. Bin auch in der IT tätig und hab leider aufhören müssen zu zählen wie oft mir Leute bei kleinen Computerproblemen ihren Laptop + Zettel Mit ALLEN Passwörtern die sie so haben gegeben haben, inkl. auch solcher Sachen wie Handysperrkennwort was ich ja nicht mal gebrauchen könnte in dem Moment. Glaube bei manchen Leuten könntest du ohne lang rum machen die Banking PIN oder PIN der Alarmanlage daheim kriegen. Der beste Vergleich ist immer zu fragen, ob du auch einfach so jedem auf der Straße deinen Autoschlüssel oder Hausschlüssel geben würdest.
Mal mit 8 Sternchen probieren. Hihi
Man kann erkennen, dass es fake ist, weil da "der Change" steht. Jemand der wirklich deutsch genug wäre um so einen Zettel ernst zu meinen hätte "die Änderung" geschrieben.
Nein social engineering
Ich wette da hatte jemand genug davon, ständig anrufe zu kriegen und wem das passwort ändern zu müssen. Sobald der prozess weniger angenehm für die Mitarbeiter ist merken sie es sich eher.
Bei meinem ersten Arbeitgeber habe ich drei Monate auf dem Account einer Mitarbeiterin in Elternzeit gearbeitet. Als ich dann meinen eigenen Account bekam, kam die Sekretärin mit einer offenen Passwortliste zu mir, in der ich mein Passwort eintragen sollte, falls ich das vergesse.
Ich hätte sie mir geben lassen, das Passwort vom Chef notiert und dann gezeigt, weshalb man das NIEMALS macht!
Du meinst sicherlich "und dann später mir selbst vom Account des Chefs eine Gehaltserhöhung genehmigt", stimmts? /s
Er/Sie hätte zumindest dran gedacht...
r/subsithoughtifellfor
Zu Beginn meiner Ausbildung (ist schon ein wenig her), war das in der Firma dort üblich, dass jeder Mitarbeiter sein Passwort auf einem Zettel bei den Admins in einem verschlossenen Schrank hinterlegt. Das war sogar dort durch den Betriebsrat so abgesegnet.
Ist so gesehen ziemlich sicher.
So ungefähr nicht vollkommen unüblich. Es ist ein Arbeitsgerät, dein Passwort sollte ja eh nichts "von dir" enthalten. Bei einer Firma wo ich war wurde der zweite Schlüssel der LUKS-Verschlüsselung von den Admins vergeben und im Safe der Firma gelagert, falls man mal dran muss. In Windows-Betrieben liegt der bitlocker Schlüssel dann einfach so in der AD Cloud...
Macht halt keinen Sinn, bei einer Klassischen Windows AD Umgebung, da kann der Admin auch das Passwort reseten, um so Zugriff zum Account zu bekommen.
Kann der Admin, aber es ist geloggt dass er in den Account "eingebrochen" ist. Wenn er das PW schon hat, kann er sich viel leichter als der Mitarbeiter ausgeben
Und selbst wenn jemand kein AD hat (aus welchem Grund auch immer....), sollte ein IT Admin immer einen Notfall Zugang haben, zb integrierten Windows Admin aktivieren.
> Es ist ein Arbeitsgerät, dein Passwort sollte ja eh nichts "von dir" enthalten. Viel schlimmer, jemand kann mit dem Passwort in deinem Namen Unheil anrichten. Dagegen schützt auch kein hochnäsiges "da ist ja eh nix *von dir* drauf, ooooder?". Im Gegenteil, jede Anfrage nach einem Passwort ist von vornherein verdächtig. Wofür braucht man das Passwort? Da ja keine eigenen Daten auf dem Gerät sind... Kann es eigentlich nur darum gehen, heimlich Unheil in fremdem Namen zu schaffen.
Das kann ein Admin so oder so, dafür brauchen die zumeist nicht mal mein Passwort.
Jedes System, das nicht von kompletten Amateuren geschrieben wurde, loggt solche Impersonifikationen in einer zusätzlich gesicherten, unveränderlichen Umgebung.
> dein Passwort sollte ja eh nichts "von dir" enthalten Vor allem sollte **niemand** außer mir mein Passwort kennen. Es gibt kein Szenario, in dem jemand anderes mein Passwort bräuchte und es nicht ein Vollversagen des Unternehmens bzw. der IT wäre.
Verschlüsselungssysteme wie LUKS oder bitlocker erlauben selbstverständlich mehrere Passwörter zu vergeben, bzw den unterliegenden Master Schlüssel auszulesen was auch nichts wirklich anderes ist. Und ja, dieser Master wird gerne zentral gelagert - wie halt im AD. Das ist nichts neues. Von anderen Diensten rede ich nicht.
Das ist doch was komplett anderes als der Kommentar mit "jeder schreibt sein Passwort auf einen Zettel und legt das in den verschlossenen *Schrank*", auf den du dich beziehst.
unsere bitlocker keys liegen auch in nem AD folder :D
Abgesehen dass es unnütze ist, weil ein Admin immer auf die Nutzer kommen sollte oder ggf. was zurücksetzten kann, ist die Praxis für bestimmte andere Sachen garnicht mal so dumm wie es klingt. Ein Tresor mit Schlüssel und einem einzelnen Blatt pro Person ist praktisch genauso sicher wie alles andere. Würde man aber eher machen mit Sachen wo man selbst nicht einfach was zurück setzen kann machen. Im Grunde wie ein Schlüsselschrank für Zweitschlüssel.
Da bekomme ich schwitzige Hände, wenn ich das lese. Und ich dachte, bei uns wäre es eine Zumutung.
Bei einem ehemaligen großen (2k+ MA) Arbeitgeber von mir in der Produktion war es lange Zeit üblich, dass die Kollegen ihre Passwörter in Excel auf einem Netzlaufwerk hinterlegen.
Ich hab heute was zu tun, danke! Edit: umgesetzt, hängt an meiner Bürotür. Grüße vom Informationssicherheitsbeauftragten
!remindme 7 days
I will be messaging you in 7 days on [**2024-07-09 14:08:10 UTC**](http://www.wolframalpha.com/input/?i=2024-07-09%2014:08:10%20UTC%20To%20Local%20Time) to remind you of [**this link**](https://www.reddit.com/r/de/comments/1dtk56r/sichere_passwörter_sind_wichtig/lbab3l3/?context=3) [**34 OTHERS CLICKED THIS LINK**](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5Bhttps%3A%2F%2Fwww.reddit.com%2Fr%2Fde%2Fcomments%2F1dtk56r%2Fsichere_passw%C3%B6rter_sind_wichtig%2Flbab3l3%2F%5D%0A%0ARemindMe%21%202024-07-09%2014%3A08%3A10%20UTC) to send a PM to also be reminded and to reduce spam. ^(Parent commenter can ) [^(delete this message to hide from others.)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Delete%20Comment&message=Delete%21%201dtk56r) ***** |[^(Info)](https://www.reddit.com/r/RemindMeBot/comments/e1bko7/remindmebot_info_v21/)|[^(Custom)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5BLink%20or%20message%20inside%20square%20brackets%5D%0A%0ARemindMe%21%20Time%20period%20here)|[^(Your Reminders)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=List%20Of%20Reminders&message=MyReminders%21)|[^(Feedback)](https://www.reddit.com/message/compose/?to=Watchful1&subject=RemindMeBot%20Feedback)| |-|-|-|-|
Ich werde das auch Vorschlagen in unserer Konzern Sicherheit - wäre mal interessant zu sehen wieviele da einsteigen.
*wütende/belustigte ISMS Geräusche*
Bitte gib uns ein kleines Update, wenn die Ergebnisse da sind
Hat der Pentester wohl seine USB Rubber Duckies zuhause vergessen und musste improvisieren.
Ein mal Pentest, macht dann 200 000 €.
Ergebnis Stift funktioniert, Pentest erledigt.
Pent test von wish
Immerhin kann man so ne Liste faxen.
Deutscher wirds heute nicht mehr.
"Der Change wird Zeitnah durchgeführt"
Das hat mich an dem ganzen am meisten gestört. Bei mir auf der Arbeit haben wir überall Zettel mit Passwörtern weil viele ihre vergessen, bin an sowas schon gewohnt.
Amateure! Klar ist das unsicher! Es ist ja nicht laminiert...
Und es braucht zwei Becher mit Stiften, einen für die sterilen, einen für die gebrauchten. Wir wollen uns doch keinen Virus einfangen!
Dann aber wieder: "Bitte halten sie Abstand. Diskretion!" und der Abstand ist max. 2 Meter hinterm Schalter in der Apotheke.
haha, als ob Viren in der heutigen Zeit noch eine ernsthafte Gefahr darstellen /s
Wo kämen wir hin, wenn jedes Fax auch noch laminiert werden müsste.
Das wäre doch toll, vielleicht gibt es Faxgeräte die das sofort beim Empfang machen
Deutsche Ingenieurskunst, wo bist du, wenn man dich braucht?
Ungefähr auf dem Level unserer Phishing-Mail Schulungen... (nur, dass die nicht als Humor getagged sind)
In der Regel sind unsere Mitarbeiter ganz fit, was die Schulungen angeht. Einmal gabs aber eine Mail von der "Personalabteilung", dass auf dem Parkplatz ein Auto beschädigt wurde, damit hätte man direkt 1/4 der User inklusive CEO kompromittiert.
Ah ja die Phishing Tests. Ich kann mich noch an einen meiner ersten Arbeitgeber erinnern. Der CEO hat damals der IT gesagt, das man dann direkt einen Zettel im Büro aufhängen soll, mit all den glücklichen Gewinnern der Sicherheit Schulung. Wurde natürlich gemacht, wenn auch widerwillig. Die Anweisung wurde irgendwann zurück genommen als die Phishing Mail etwas besser getarnt war und gezielt den Chef und seine Frau als Ziel hatte. Da wurde dann die Liste abgehängt und die Regel, dass er da durchfällt noch mal in die Sicherheitsgrundlagenschulung muss abgeschafft. Auch die Mails gab es danach nicht mehr.
SoSafe als Anbieter? Kommt mir so bekannt vor. ;)
CyberXperts, würde mich aber nicht wundern, wenn sich die alle sehr gleichen.
Gewisse Ähnlichkeiten werden sie definitiv haben, vollkommen richtig. Wir beginnen jetzt erst damit, ich bin sehr gespannt. Mein Tipp sind so 60% Klickrate initial.
Lasst euch die Klickrate am besten nach Personenkreis aufschlüsseln (Verwaltung, Entwicklung, IT, oberes Management, etc). Ist immer sehr interessant.
Ok, die Idee ist auch mal ungewöhnlich :-)
Einfach \*\*\*\*\*\* und \*\*\*\*\*\*\* eintragen.
Ey! Verrat hier nicht mein Passwort!
hunter2
Seht! Ein antikes Relikt aus den "alten Zeiten". But it checks out!
Gegen Hacker ist dieses Verfahren sicher.
Zumindest bis der Hacker die ausgelegten Zettel einsammelt ;-)
>Zumindest bis der Hacker die ausgelegten Zettel einsammelt ;-) Du meinst "austeilt".
Was eine viel größere Barriere ist. Dafür muss sich der "Hacker" erst mal Zugang zum Unternehmen verschaffen. Vermutlich sogar erst mal nach Deutschland fliegen.
Dann ist der Hacker aber nicht auf der Höhe der Zeit. Das machste heutzutage doch mittels Social Engineering und gefaktem AI Video Call: bei der Sekretärin anrufen und sich die Liste eingescannt an [email protected] schicken lassen.
Wichtig auch den ausgefüllten Zettel an die Pinnwand hängen, dass der zuständige Mitarbeiter ihn sich dort abholen kann.
Schon Rumpelstilzchen hat doch den Kindern beibringen sollen, warum Authentifizierungsdaten öffentlich preiszugeben eine schlechte Idee ist!
ja, aber es werden richtig coole und moderne wörter wie "change" verwendet, das muss doch auch etwas wert sein? denk doch mal an den added value den so etwas bringt.
den Value, den das added. Ftfy
Google ITSM / ITIL, Passwortänderung könnte man durchaus als Standard Change klassifizieren.
Sind Synergien schon wieder out?
Der Change
I follow the Moskva…
…down to Gorky park…
Listening to the wind of change...
Take me ... to the magic of tomorrow ...
On a gloooory night....
Lissing tu der Wind off der Tschäinsch.\*
Ach Gorky park soll das heißen? Ich hab immer sowas wie „donki ba“ oder „gonki ba“ verstanden.
Hehe, das ist ein Park in Moskau: https://maps.app.goo.gl/hq8Qb7MLeJbUXG1W7?g_st=ic Benannt nach ihm hier: https://de.m.wikipedia.org/wiki/Maxim_Gorki Bei uns wird er mit I, im englischen mit y geschrieben.
Ist übrigens auch ein [gutes Buch](https://www.krimi-couch.de/titel/187-gorki-park/).
Ei fallo di Masskwah Endaun tu gonki ba
So einen Zaubertinte Stift hab ich auch, mega!
So sieht unironisch peak hacking aus
Nennt man dann social engineering
Passwortschein P38. Die spinnen die Römer
Lahmer Fake, es fehlt die Spalte für “neues Passwort wiederholen”.
Würde meine Kündigung direkt einreichen.
Wenn Sie kündigen wollen, füllen Sie bitte die untenstehende Tabelle aus. Der Change wird dann durch einen unserer Kollegen Zeitnah durchgeführt.
Um den workflow zu optimieren sollte man sich lieber auf ein gemeinschaftliches Passwort einigen.
[It-Praxis Dr.Bauer](https://youtube.com/shorts/Ez-ZqRcuzCU?si=ZSAsFnuH3g5Sdypx)
IT Cringe
Ich wäre für PupsbärchenSonderzeichen
Gute Referenz, tatsächlich aber gar nicht Mal so unsicher. Ausreichend lang und besonders das Ä hat schon viele Cyberangriffe abgewehrt.
macht Sinn. Wie viele Leute in Ländern ohne unsere Umlaute, denken daran das es die gibt? Doch nur diejenigen die auch gezielt hier ein Ziel angreifen würde ich raten.
Fürchte leider zu viele verstehen die Referenz nicht
Scheißepfosten oder analoges Angeln?
Das muss dieser Wind of change sein von dem immer alle reden
Steht der CISO mit einem Rohrstock hinter der Ecke und haut allen auf die Finger, die da was eintragen?
Altes Passwort: **************** Neues Passwort: ***************** Außerdem, Passwortänderungantragsformular. Wenn schon Deutsch, dann richtig.
Das lief vor ein paar Wochen in nem anderen sub herum. Offenbar hat das auch jemand gesehen und dachte sich:"yo, coole Idee." 🤣
Aktuelles Passwort: |||I|II||II Neues Passwort: ||I|I||I||I
Können wir mal darüber Reden, dass Passwortänderungsanfrageformular ein echt tolles Wort ist?
Immerhin nicht nur per EMail - die Weiterbildung zur IT-Sicherheit hat sich gelohnt.
Deshalb gibt es jetzt [p-mails](https://youtu.be/ljh5KT3eERU?si=iMtmWJv4_AZ_zL_c).
Hier schickt mir der Admin mein neues Passwort per Mail und ich darf das nicht ändern
Fehlt noch die Spalte: Kreditkartennummer + Pin
Wo kann ich den Zettel mitnehmen?
Wenn du Excel benutzt kannste das Ding innerhalb von 5 mins nachmachen
Du musst ein paar Zeilen ausfüllen, sonst glaubt es keiner.
Bei uns in der Firma ist es auch normal, dass man der IT sein Passwort über Teams schicken muss, wenn man z.b. ein neues Firmenhandy bekommt. Da muss ich bei den IT-Sicherheitstrainings, die wir regelmäßig machen müssen, immer lachen, wenn es zum Thema Passwortsicherheit kommt.
Kleiner Tipp an deren IT für mehr Digitalisierung: Wir machen das gleiche in einem WhatsApp-Gruppenchat. !111 /s
Das ist doch Safe die analoge Variante der Phishig Mails die die IT Abteilung rumschickt, um IT Sicherheit zu stärken
>Sichere Passwörter sind wichtig Deswegen sollte das auch ein Profi ändern!
Als bei uns für die Windowsanmeldung von einem standard PW auf individuelle Passwörter umgestellt wurde, sollte jeder Mitarbeiter das neu gewählte Passwort an die Sekretärin "zur Verwahrung" mailen. Sie trug es in passwörter.xls ein - eine Datei, die nun friedlich in unserem Netzlaufwerk wohnt (PS: Seid bitte kreativer als KindernameKindergeburtsdatum).
gibt es eine docx/pdf download? muss es für die Firma runterladen 😆😆😆
| Nachname, Name | System | Aktuelles Passwort | Neues Passwort | |--------|:-------|-------:|:------:| | einnashoernchen | keine Ahnung | derChef-Ist-EinInkompetentesArschloch69 | derChef-bleibt-EinInkompetentesArschloch69|
Ganz klar die wallet Adresse fehlt, Amateure!
Das schreit irgendwie nach öffentlichen Dienst…
Jäger2
Kompetentester ITler im ÖD
Scherz, oder echt frecher Phishing-Test der IT (hoffentlich).
Ist bestimmt super-sicher, wenn Admins nicht nur mit Admin-Rechten auf irgendwas zugreifen können, sondern auch einfach den Account anderer benutzen können, um Logging/Rückverfolgung usw auszuhebeln.
Alles nur wegen der Verfahrensdokumentation 😂😂
Das hat bestimmt ein Spion aufgehängt. Viel einfacher als ein Trojaner…
Mir fallen die Zähne aus wenn ich dass hier lese
Bis der It-Wikinger [Zimmerservice](https://youtube.com/shorts/2VV5hmgHlVs?si=dMVsd5YRSIaoHpMD) macht.
Das erinnert mich an eine Test-Mail, die mein AG letztes Jahr rumgeschickt hat... Es gäbe einen firmeninternen Wettbewerb unter der Prämisse "Wer hat das sicherste Paßwort?" Man sollte dann auf einen Link klicken und dort sein Paßwort in ein Formular eintragen. Eine Jury würde dann den Gewinner bestimmen und dieser bekäme einen Preis 🤣
Niemand hat einen Preis bekommen? :)
Der Preis war ein verschlüsseltes Netzlaufwerk
Ich würde mich als mein nerviger Arbeitskollege ausgeben🤣
"Tut mir leid, Sie zu informieren, aber Sie haben den 1. April um drei Monate verpasst."
Omg
Das ist ein Test
Aktuelles Passwort: MeinPasswort Neues Passwort: DeinPasswort
Das Passwort meines Chefs ist sein Geburtstag und Vorname. Ja, echt. Er ist Besitzer einer Arztpraxis.
"Der Change" Was sind das für Leute?
haha😂
Hä? Was habt ihr denn? Ist doch voll der nice Service!! Ist auch Zeit, dass der arme Angestellte mal entlastet wird.
Gleich ausgedruckt und der Firma gegenüber in die Hand gedruckt :p.
gute Idee leider nicht im Krankenhaus anwendbar
So läufts xd
Also mein Passwort ist *********. Muss ich das echt ändern in ********* oder reicht mein Ales passwort?🤔
Aktuelles Passwort: ***** Neues Passwort: **********
Ach Mist. In der Schulzeit hab ich so oft blödeleien ans Schwarze Brett gehängt. Aber das wäre der Hammer gewesen. Ich hätte vermutlich schon in der ersten kleinen Pause Zugriff auf die ganze Schul-IT + 50% der Facebook-Accounts des Lehrerkollegiums gehabt... xD genial.
Aufschreiben und gut sichtbar am Rechner anbringen. Danke
Das haben sie bei uns in der Firma auch verlangt. Habs aber nicht ausgefüllt.
Der "Change"
Gabs schonmal auf englisch: https://www.reddit.com/r/pcmasterrace/comments/17wddq4/password_change_sign_up_sheet/
Kollegen eintragen den man nicht mag mit: altes Passwort "insgeheimtragichDamenschlüpfer", neues Passwort "AFDodernix69" und zusehen wir er zuerst in die IT gerufen wird und dann HR
Da fehlt noch ne Spalte für neues Passwort bestätigen
Da fehlt doch der Login? Kann daher nicht echt sein.
Ich glaube ich würde dort einfach nur ein paar Punkte malen.
Oder Sternchen