1/3 der Nutzer ändert nie ihr Passwort: Passwortsicherheit ungenügend!

Artikel ansehen

Die Tatsache, dass man sein Passsword regelmäßig ändern soll, ist inzwischen überholt. Letztes Jahr gabs dazu neue Guidelines vom US-NIST und auch das BSI hat in seinem aktuellen Grundschutzkompendium die allgemeine Empfehlung sein Password nur zu ändern, wenn es vermutlich korrumpiert ist.

Hintergrund:
Durch häufige Password-Wechsel werden User dazu verleitet nur mäßig starke PWs zu verwenden, die Passwords einfach nach Ablauf der Frist um eins hochzuzählen (Password1 => Password2) oder es sich irgendwo aufzuschreiben (Post-It am Bildschirm oder txt-datei auf dem Desktop)

Merke: Lieber ein starkes Passwort, welches nie geändert wird, als regelmäßige Password-Wechsel)

PS: Gerade in Behörden geht man immernoch von der „alten“ policy aus und lässt „aus Sicherheitsgründen“ das AD-Pw alle 30 (sic!) Tage wechseln. In meinen Prüfungen sehe ich dann in jedem 3. Büro das oben erwähnte Post-It.

Ja, so sehe ich das auch. Überall ein sicheres aber individuelles Passwort verwenden! Die Namen der Ehefrau, des Hundes etc. und was man sonst noch so über Social Engineering herauskriegen könnte, soll man lieber raushalten. Oder von mir aus ein guter Passwortmanager, der tut’s auch.

Die Aussage von @lollek kann ich nur unterstreichen! Das andauernde Gewechsel durch den Benutzer, erzeugt letztendlich nur eine Aufweichung der eigentlichen Sicherheit durch die oben genannten Faktoren!
Die Passwortsicherheit leidet nach wie vor darunter, dass diese Passwörter einfach zu schwach sind und / oder ein Passwort für zig Zugänge genutzt wird!
Im Internet gibt es immer noch zahlreiche Betreiber, die zwar eine LogIn-Seite vorgeschaltet haben, aber dort Passwörter ohne eine gewisse Stärke zulassen! Wenn dort einmal ein Umdenken stattfinden würde, wäre schon vielen Benutzern geholfen. Da heutzutage die meisten Passwörter durch irgendwelche Leaks zu Tage befördert werden und nicht mehr durch sogenannte „Brute Force-Angriffe“, sollte man die Betreiber der Angebote mal mehr mit in die Verantwortung ziehen und nicht immer nur den User! :wink: