• aaaaaaaaargh@feddit.org
    link
    fedilink
    arrow-up
    49
    ·
    2 months ago

    Wissen wahrscheinlich die meisten hier, aber Passwörter zu wechseln ist gar nicht so eine gute Idee, wie man meint:

    https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2016/03/time-rethink-mandatory-password-changes

    zl;ng: Regelmäßig gewechselte Passwörter sind in der Regel schwach und folgen einer vorhersehbaren Transformation. Besser ist es, das Passwort nur zu wechseln, wenn man glaubt, dass es kompromittiert ist und auf jeden Fall einen zweiten Faktor zu verwenden.

      • EherVielleicht@feddit.orgOP
        link
        fedilink
        arrow-up
        17
        ·
        2 months ago

        Kartoffel0, Kartoffel1, Kartoffel2, Kartoffel3, Kartoffel4, Kartoffel5, Kartoffel6, Kartoffel7, Kartoffel8, Kartoffel9.

    • TecCheck@feddit.org
      link
      fedilink
      Deutsch
      arrow-up
      5
      ·
      2 months ago

      Ich hab da ein Familienmitglied, das mir erst kürzlich erzählt hat, wie es sich neue Passwörter ausdenkt: “Ich hab da so ne Liste mit Passwörtern von anderen Sachen, die gehe ich einfach durch”. Tja, als Informatiker macht mich das nicht gerade glücklich

    • Gladaed@feddit.org
      link
      fedilink
      arrow-up
      4
      ·
      2 months ago

      Nein, sie ist falsch. Sie ist nicht nur veraltet sondern sogar schadhaft, da sie gutes Verhalten bestraft.

  • hsdkfr734r@feddit.nl
    link
    fedilink
    arrow-up
    8
    ·
    edit-2
    2 months ago

    Und nach 90 Tagen ist das Passwort auf einmal unsicher oder wie? Versteh den Gedankengang nicht.

    Edit: nicht gegen OP gerichtet. Falls das so angekommen sein sollte, sorry. Es geht um das seltsame 90-tägige Passwort-Ritual. :)

    • KomfortablesKissen@discuss.tchncs.de
      link
      fedilink
      arrow-up
      7
      ·
      2 months ago

      Der Gedanke war mal, dass man es nicht mitbekommt wenn das Passwort entwendet wurde. Also soll es regelmäßig gewechselt werden, zum einen um etwaige Schäden einzudämmen, zum anderen um bisherige Versuche das PW zu erraten nutzlos zu machen.

      In der Realität sieht es aber anders aus, wie Unmutlaut hier in den Kommentaren bereits erwähnte.

        • KomfortablesKissen@discuss.tchncs.de
          link
          fedilink
          arrow-up
          1
          ·
          2 months ago

          Bedingt. Ist meistens eher eine Schuldverlagerung vom Unternehmen auf den User. Stichwort SMS oder E-Mail als zweiten Faktor/OTP Versand. Auch bringt dir das weniger wenn du den zweiten Faktor auf demselben Gerät hast mit dem du den ersten Faktor verifizierst.

      • froh42@lemmy.world
        link
        fedilink
        arrow-up
        3
        ·
        edit-2
        2 months ago

        In diesem Falle hat ein Angreifer im Durchschnitt nur 45 Tage Zeit, das Passwort zu nutzen. Ich bin sicher, 45 Tage sind viel zu wenig für einen Angreifer um eine wirkungsvolle Backdoor zu installieren.

        Come on. Das Ganze ist nur Sicherheitstheater weil es nix kostet. Wenn ein Passwort vor Diebstahl geschützt werden soll, dann braucht es sowieso One Time Paaswords, da hilft auch der Schmarrn mit den 90 Tagen gar nix.

        Es ist ja auch nicht so, dass es keine Lösungen für solche Probleme gäbe, wie div. 2FA Software oder Hardware Devices, 4 Augen Login usw.

        Aber die 90 Tage Regelung - da kann man dem Management sagen “Jaja, wir haben was getan”, ohne dass das Management Budget dafür raus rücken muss.

        Es ist einfach Security Theater.

        • fantawurstwasser@feddit.org
          link
          fedilink
          Deutsch
          arrow-up
          2
          ·
          2 months ago

          Das sehe ich anders. Wir wissen, dass viele User bei verschiedenen Diensten immer die gleichen Passwörter nutzen. Und daher ist die Wahrscheinlichkeit, dass die User auch das Firmenpasswort dann für GMX oder irgendeinen Trotteldienst, der dann die Passwörter verschlampt, nutzen, recht groß. Das kannst du als IT nicht verhindern. Mit so einer 90 Tage-Regel verbrennst du so die Standard-Passwörter deiner User. Sie setzen ihr Standard-PW und dann müssen sie es ändern. Verkackt Kokstaxi.de das mit der IT-Sicherheit, dann ist halt das CRM-Passwort vom Vertriebsleiter halt nach 90 Tagen nicht das dortige. Das ist nicht perfekt, aber verhindert schon einiges an automatisierten Attacken.

        • KomfortablesKissen@discuss.tchncs.de
          link
          fedilink
          arrow-up
          1
          ·
          2 months ago

          Es bringt etwas, aber ist kein Allheilmittel. Ob es Securitytheater ist kommt auf die Implementierung an. Meistens ist es das, weil es, wie du sagst, eher als Ausrede genutzt wird um nichts zu tun.

    • ÚwÙ-Passwort@lemmy.world
      link
      fedilink
      arrow-up
      2
      ·
      2 months ago

      Kommt drauf an, wenn man erhöhte rechte hat und sich regelmäßig mit Menschen die ein Interesse an dem PW haben einlogt, könnte es unsicher sein. Beispiel IT beauftragter an Schule/Uni. Ansonsten ist das eine dumme Regel wie die meisten bisher bemerkt haben. Selbst in dem speziellen Kontext würde ich da keine regelmäßigen Änderungen erzwingen