Sicherheit: Sollte man sein Passwort noch regelmäßig ändern, wenn 2FA nicht verfügbar ist?

[BeBur]

Hier noch eine Grafik zum Schema von @Blende Up :

Anhang anzeigen 1486938

Habe ich früher auch so gemacht, aber es gibt weit bessere Methoden. Nimm einfach den ganzen Satz, mehr oder minder. Alleine schon "Habeichfrüherauchsogemacht,aberesgibtbessereMethoden", wer knackt das bitte? Gut, etwas lang als Passwort, aber die Idee ist klar denke ich.
Außerdem: Passwortmanager und zufällige Passwörter für nahezu alles.

 

[andy_m4]

Ich vertrete mal eine Gegenthese, auch wenn sie nicht populär ist:
Passwortwechsel kann Sinn machen. :-)

Natürlich sollten alle üblichen Hinweise beachtet werden wie ein hinreichend komplexes Passwort zu wählen usw.
Warum kann ein Passwortwechsel Sinn machen?
Weil man ja nie sicher sein kann, das es nicht doch "verloren" gegangen ist. Weil mir einer beim eintippen zugeguckt hat oder weils doch mal abgefangen wurde oder oder oder.

Der Einwand der dann kommt: Na wenn das Passwort in Unbefugte Hände gerät, dann wird der Account übernommen. Aber wer sagt denn, das es so sein muss? Evtl. geht es ja nur darum die Aktivitäten auf den Account zu verfolgen (ankommende eMails zu lesen oder wer weiß was).
Wo man sich dann auch unauffällig verhält, weil jegliche Dinge mit denen man sich als Angreifer bemerkbar macht dazu führen kann, das man dann keinen Zugriff mehr hat.

Solche etwaigen stillen Mitleser wird man durch regelmäßigen Passwortwechsel los.

 

[00Julius]

Ich finde es spannend, dass bis zum 19. Post mal nüchtern an das Thema herangeganen wurde.

Na, da hast du aber mein in Beitrag #3 übersehen.

 

[iGameKudan]

Regelmäßiges Passwort ändern, am besten erzwungen? Gerne, dann läuft es wie auf Arbeit:

GrauesAuto1, GrauesAuto2, GrauesAuto3...

So wird die Realität sein, wenn man sowas erzwingt. Sich ständig lange, sichere Passwörter ausdenken zu müssen ist kaum möglich, einmal ein gutes, sicheres Passwort abverlangen ist da definitiv die smartere Idee.

 

[bondki]

Ja .. so wie alle anderen auch.
Einmal im Jahr sind bei mir alle Passwörter dran.

Nur solange du das mit einem Passwort Manager machst. Ansonsten ists erwiesen, dass du simple Passwörter nimmst die man sofort knacken kann.

 

[|Moppel|]

Na, da hast du aber mein in Beitrag #3 übersehen.

Nee

Du hast auch nur gesagt: So macht man das, fertig.

Aber schon klar. c:

Stößchen!

 

[Piktogramm]

Das Wechseln von Passwörtern aller Monate ist nicht mehr Empfohlen. Aller 1..3Jahre Passwörter durchzuwechseln ist jedoch durchaus anzuraten. Die Verfahren für das Hashing der Passwörter wird bei (halbwegs tauglichen) Serviceanbietern durchaus geändert und mit einem Passwortwechsel stellt man halt u.a. sicher auf die neueren, besseren Verfahren umgestellt zu werden.

Was die Bildungsvorschriften angeht, wenn eine Regel zum Bilden von Passwörtern für Menschen einfach anzuwenden ist, so können Angreifer diese Regeln fürs Bruteforcing auch einfach implementieren. Die Sicherheit etwaiger, langer Passwörter nimmt da dann ganz schnell ab, wenn man als Angreifer typische Fehler bei Anwendern annehmen kann. Ein Satz auf 5 Worten kann bei erweitertem Wortschatz und Ausnutzen von Konjunktion eine Komplexität von >10.000^5 erreichen. Typischer Sprachgebraucht ist aber
eher das Formulieren im Präsenz mit wenigen hundert Worten. Also eher etwas in der Richtung <<1.000^5.

Also nehmt bitte die Zufallsgenerierung etablierter Passwortmanager. Stellt beim PW-Manager wenn möglich auf aufwendiges Hashing ein. KeepassXC ermöglicht zum Beispiel einen Minibenchmark, bei dem man wählen kann, dass der aktuelle Rechner X Sekunden fürs Hashing brauchen soll.
Wer kann möge auch 2FA nutzen.

 

[|Moppel|]

Typischer Sprachgebraucht ist aber
eher das Formulieren im Präsenz mit wenigen hundert Worten. Also eher etwas in der Richtung <<1.000^5.

Die Empfehlung mit echten Wörtern ist deswegen ja auch Wortlisten zu benutzen. Geht auch gut mit KeepassXC.

 

[tollertyp]

Die Komplexität oder eher der Umfang der Thematik besteht ja darin nicht nur komplexe Passwörter zu haben, sondern diese regelmäßig zu ändern.

Sind wir mal ehrlich: Dort, wo ich passwörter von Hand eingeben muss und gezwungen bin, diese regelmäßig zu ändern, zu was führt das? Zu unsicheren Passwörtern, weil irgendwann fängt man halt an irgendwelche Nummern/Buchstaben hochzuzählen...

Wenn ich einen Passwort-Manager nutze und Passwörter generiere und sie mir gar nicht merken muss, dann sehe ich ebenfalls keinen Vorteil darin, die Passwörter einfach aus Willkür regelmäßig zu ändern. Wichtige Accounts sind sowieso zusätzlich mit anderen Mechanismen abgesichert, also das Kennwort für mein Online Banking bringt halt für sich nicht arg viel.

Jedes noch so tolle Passwort bringt nichts mehr, wenn es erst einmal in einem Leak in die Hände Krimineller kommt.

Genau. Und deshalb bringt das regelmäßige Ändern ja auch nichts, weil der Leak sich nicht an deine Zeitplanung halten wird...

Ergänzung (23. Mai 2024)

Ich vertrete mal eine Gegenthese, auch wenn sie nicht populär ist:
Passwortwechsel kann Sinn machen. :-)

Ich sprach deshalb auch vom "grundlosen".

Okay, wechselst du jedes Mal dein Passwort, wenn jemand möglichweise über die Schulter geschaut haben könnte?

Im Übrigen: Passwörter gebe ich nur selten ein, insofern fällt es da auch schwer, mitzulesen.

Und bei wichtigen Accounts bekomme ich auch mit, wenn eine neue Anmeldung passiert, bzw. kommt man ohne 2FA gar nicht erst rein.

Wer garantiert dir, dass beim Ändern des Kennworts nicht "mitgelesen" wird?

Also nicht falsch verstehen: Jeder darf seine Kennwörter so oft ändern wie er mag.

 

[andy_m4]

Wer garantiert dir, dass beim Ändern des Kennworts nicht "mitgelesen" wird?

Weil ich in solchen Fällen stark darauf achten werde, das keiner hinter mir steht.

Okay, wechselst du jedes Mal dein Passwort, wenn jemand möglichweise über die Schulter geschaut haben könnte?

Nein. In der Regel nicht.
Häufig hat ein "Mitschauen" bei der Passworteingabe ja auch keine unmittelbaren Folgen.
So beobachte ich z.B. häufig, das die Leute ihr Smartphone entsperren. Mit ein bisschen Mühe könnte man das mitlesen. Aber es bleibt trotzdem folgenlos, weil einem das Passwort erst was nützt, wenn man das Gerät in die Hand bekommt.
Ein beispielhaftes Szenario könnte zum Beispiel in der Firma sein mit den "lieben" Kollegen. Da ist die Wahrscheinlichkeit nicht nur hoch, das der das mal mitliest, sondern das sich auch eine Gelegenheit ergibt, das er das Smartphone mal in einem unbeobachteten Moment in die Finger kriegt.

 

[TypischDeutsch]

Ich lasse ab und zu meine Email oder allgemein Anmeldedaten bei u.a. haveibeenpwned oder im Google Passwortmanager checken und falls nichts dabei ist, ändere ich auch nichts.

Letztens ist die Hochschule gehackt worden, da hatte ich dann natürlich alles geändert aber sonst sehe ich da erstmal keinen Bedarf. Vielleicht etwas nachlässig, aber mein Passwort ist 1. relativ komplex und 2. wenn möglich, überall die 2. FaAut. aktiv. Bank, Paypal & Co, also die wichtigen Services sind mit einem separatem Passwort ausgestattet als bspw eher unwichtige Forendaten - dort habe ich überall das gleiche.

 

[tollertyp]

@andy_m4:
Kann mich nicht dran erinnern, wann ich das letzte Mal in Anwesenheit von anderen Menschen meine Handy-PIN eingegeben habe. Wer da sorglos mit der Eingabe ist, der wird vermutlich auch an anderen Stellen sorglos sein. Deshalb: Sicherheit fängt beim Nutzer an. Da bringt es auch nichts, wenn ich jedes Jahr meine Kennwörter ändere, wenn ich jedem meine Handy-PIN unter die Nase reibe und mein Handy auch noch rumliegen lasse.

 

[areiland]

Ich benutze auch schon seit Jahren die gleichen Passwörter, aber für verschiedene Dienste unterschiedliche. Wo es geht, nutze ich MFA. Es kommt nicht auf die Frequenz des neu erdenkens an, sondern auf eine ausreichende Länge der Passphrasen, damit der Aufwand sie zu erraten/errechnen möglichst hoch ist.

Nicht umsonst hat sich der schlechte Teil dieses Internetzes, das sich übrigens nie durchsetzen wird, vor allem darauf verlegt, Pins und Passphrasen durch geschickte Täuschungsmanöver abzuphischen. Der Hacker, der im Hoodie vor dem monochromen Bildschirm sitzt und Passwörter errechnet, der ist schon lange Geschichte. Denn der Aufwand dafür ist angesichts der vielen #neuland Nutzer, die auf alles klicken was an Links per Mail kommt, einfach viel zu gross. Blind und völlig ohne jeden weiteren Aufwand 10.000 Mails verschicken und sicher 10 Klicks zu haben ist weit einfacher.

Den klassischen Hacker, der alles angreift was ihm vor die Kommandozeile kommt, gibts ohnehin nicht mehr. Die gehen, wenn überhaupt, nur wirklich lukrative Ziele an - also Behörden oder Unternehmen. Aber bestimmt nicht den kleinen Egon mit seinem nach aussen sichtbaren Netzwerk, in dem er vielleicht sogar den einen oder anderen Porno von XHamster oder PornHub verfügbar hat.

 

[CyborgBeta]

Ich lasse ab und zu meine Email oder allgemein Anmeldedaten bei u.a. haveibeenpwned oder im Google Passwortmanager checken und falls nichts dabei ist, ändere ich auch nichts.

Letztens ist die Hochschule gehackt worden, da hatte ich dann natürlich alles geändert aber sonst sehe ich da erstmal keinen Bedarf. Vielleicht etwas nachlässig, aber mein Passwort ist 1. relativ komplex und 2. wenn möglich, überall die 2. FaAut. aktiv. Bank, Paypal & Co, also die wichtigen Services sind mit einem separatem Passwort ausgestattet als bspw eher unwichtige Forendaten - dort habe ich überall das gleiche.

Ich bin gerade sehr beruhigt, dass mein Passwort bei https://haveibeenpwned.com/ nicht dabei ist. 😃

Demzufolge besteht auch kein Bedarf, es zu ändern ... es ist hinreichend komplex und ich verwende es nur für eins.

Bei uns wurde die Hochschule auch mal gehackt, und ich kenne auch Seiten, deren "Passwort ändern"-Funktion sogar kompromittiert war. In so einem Fall sollte man natürlich das Passwort wechseln.

 

[andy_m4]

Kann mich nicht dran erinnern, wann ich das letzte Mal in Anwesenheit von anderen Menschen meine Handy-PIN eingegeben habe.

Jaja. Du bist perfekt. Wenn Du ein Passwort/PIN/whatever eingibstm achtest Du immer darauf das Du in einem isolierten Raum bist. Dein Handy legst Du niemals ab (nicht mal zu laden). Und wenn, dann kommt es in einen Safe.
Nur ist das leider nicht die Regel.
Ich hab ja auch nur ein Szenario beschrieben, in dem Passwortwechsel relevant sein können. Wenn das für Dich alles nicht zutrifft, dann ist es ja ok und Du kannst es ignorieren. Für diejenigen, für die es relevant sein könnte, die können halt darüber nachdenken.
Ich weiß nicht, wo das Problem besteht und warum immer alles zerredet werden muss nur weil es für einen selbst irrelevant ist.

 

[tollertyp]

Wenn Du ein Passwort/PIN/whatever eingibstm achtest Du immer darauf das Du in einem isolierten Raum bist

Ich nutze meinen Fingerabdruck (und ich weiß, dass das auch keine 100%ige Sicherheit ist, das Risiko halte ich aber für vertretbar). Und der funktioniert sehr zuverlässig.
Jeder kann zwar sehen, dass ich meine Finger nutze, es bringt ihnen aber nichts.

Und ich frage mich: Wenn jemand fahrlässig mit seinem Handy umgeht, hilft ihm dann ein regelmäßiger Kennwortwechsel?

Alles was ich sage: Dinge grundlos zu machen bringen kaum Sicherheitsgewinn. Und dass ich es für sinnvoll halte, sich bewusst zu sein, dass Sicherheit nun mal bei einem selbst anfängt. Und dass man sich halt bewusst sein sollte, dass bei Sicherheit es nicht vom stärksten, sondern vom schwächsten Glied abhängt.

 

[[ChAoZ]]

Ja .. so wie alle anderen auch.
Einmal im Jahr sind bei mir alle Passwörter dran.

Tauschst du auch deine Tür Zylinder alle paar Jahre aus, ohne Grund?
Ein sicheres PW gegen ein neues sicheres PW zu tauschen hat welchen Zweck?
Wenn das PW nicht ausgespäht wurde, die Seite nicht gehackt, wozu der wechsel dann?

Ich hasse diese ständigen PW Änderungen hier im Unternehmen.
Es hat mit komplexen PW angefangen. Inzwischen bin ich so genervt dass ich Monat und Jahr benutze als Suffix. Prefix bleibt immer gleich. Selbst schuld... wenn man mich zwingt auf allen Plattformen alle paar Monate das PW zu tauschen und dabei das alte nicht noch mal verwenden zu können.

Ich habe vor 10 Jahren oder so alle meine Zugänge geändert und mir dabei eine "Logik" überlegt wie das PW zusammengebaut wird, ohne dass ich es mir jedesmal merken muss.

Eine PW Check Seite sagt, die Logik die ich verwende reicht für Trillionen von Jahren um geknackt zu werden, eine andere sagt paar Tausend Jahre. Das reicht mir.... habe seitdem nie bis selten das PW geändert.

Man braucht eine gewisse "Logik" für den Aufbau des PW, schon muss man sich nie wieder eins merken.
Hier auf Computerbase könnte man z.b. "computerbase2website@30179" oder "aboutyou.de2eshop@30179"

30179 ist dabei meine PLZ als Bsp.
Erfindet solche Regeln, möglichst komplex, möglichst mit viel Text, Zahlen und Sonderzeichen aber immer im selben Aufbau und schon müsst ihr euch nie wieder ein PW merken.

 

[CyborgBeta]

Ich hasse diese ständigen PW Änderungen in meinem Unternehmen.

Darf ich auf SAP Software tippen? duck und weg

 

[tollertyp]

@[ChAoZ]: Ich war früher auch Fan von "generischen" Kennwörten, die abhängig vom Dienst waren. Ich will da auch gar nichts dagegen sagen, aber man darf nicht vergessen, dass nicht alle Seiten die gleichen "Anforderungen" an ein Kennwort haben. In meinem generischen Kennwort war früher das Sonderzeichen Ausrufezeichen ! - aber es gab tatsächlich Seiten, die genau dieses Sonderzeichen oder gar kein Sonderzeichen erlaubten.
Klar, dann passt man das Kennwort dafür entsprechend an. Aber weiß man das beim nächsten Anmelden noch?

Deshalb ist ein Passwortmanager aus meiner Sicht ein deutlich größerer Segen.

 

[Smily]

Bei mir ist es das DHL Geschäftskundenportal, alle 3 Monate Passwort wechseln. Und wenn man 6 Monate nicht eingeloggt ist, sperren die den Account.
Im schlimmsten Fall kann dann einer auf unseren Nacken Pakete mit unserem Absender verschicken.
So ziemlich das unkritischste, was wir benutzen, aber mit dem höchsten Nervfaktor.

(Ich wechsel also brav zwischen 2 verschiedenen ...)