Sicherheits-Tipps sind meist Zeitverschwendung

Datenschutz Viele Sicherheitshinweise, die Nutzern einen besseren Schutz vor Angreifern versprechen, sind schlicht Zeitverschwendung. Das ist das Ergebnis einer Untersuchung von Microsoft Research. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Und wieviel hat das Ausarbeiten dieser Erkenntnis gekostet?
 
@DasGensu: Das wurde von mexikanischen Leiharbeitern erledigt. Das schadet der US-Wirtschaft nicht.
 
@Mudder: no me gusta!
 
@Mudder: ai caramba!
 
@DasGensu: Da Microsoft das sicherlich vom eigenen Geld (und nicht mit Steuermitteln) finanziert hat, dürfte das doch wohl vollkommen irrelevant sein.
 
@DasGensu: das macht der in seiner freizeit.. beim golfen.. reines kopfrechnen..
 
Und das sicherste Passwort bringt nix, wenns am Monitor klebt.
 
@Fallen][Angel: Laß mich das sichere Passwort auf einem Zettel notieren, und selbst ich kann es am nächsten Tag nicht mehr rekonstruieren (Windows Keys) Da gibt es keine Chance es zu lesen (("6" oder "G" / "I" "1" "l" und dann noch "O" und Null) :-((((
 
@AWolf: Ich verwende da immer Striche um diese Zeichen zu markieren, zb unterstreiche ich Buchstaben wie G, I oder O, Zahlen wie 6, 1 oder 0 hingegen nicht. Das l/L ist meist eh großgeschrieben, und somit unterscheidbar.
 
@lutschboy: Um sich das Passwort zu merken, gibt es kleine Helferlein, wie z.B. Password Depot. 1. kann dieses Programm sichere Passwörter generieren und 2. werden diese dann verschlüsselt auf der Festplatte abgelegt. Selber brauch man sich dann nur noch 1 Passwort merken. Die Datei kann man auch auf externe Medien ablegen wie z.B. USB-Stick oder externe Festplatte.
 
@Neckreg: Klar, kann Keepass zb auch. Ich persönlich handhab das aber anders. Für meine verschlüsselten Festplatten habe ich zb ein 30 Zeichen langes Passwort, dass bei allen identisch ist, und aus einer mathematischen Gleichung besteht die sich reimt, so dass ich sie mir leicht merken kann. Und sie hat natürlich ein falsches Ergebnis :D Zusätzlich hab ich für jede Platte an diesem Passwort noch ein individuelles Suffix dass sich mir leicht erschließt. Für's Internet hab ich für Mailaccounts ein komplexes Passwort. Und für Foren usw hab ich ein weiteres, dass überall gleich ist. Wer mein WinFuture-Passwort rausfindet, kann also alle anderen Foren in denen ich bin benutzen... aber nicht meine eMails-Accounts oder meine Platten. Das ist mir persönlich sicher genug. Ich hab auch in den 10 Jahren die ich das Netz nutze noch nicht ein einziges mal mein allgemeines Internetpasswort geändert ^^ Vielleicht nicht so schlau. Aber das Prob ist halt mit Keepass, PwDepot & Co dass wenn du einmal die Datenbank verlierst (durch welche Umstände auch immer) du für keine Seite das Passwort kennst und alles manuell zurücksetzen lassen musst.
 
@Neckreg: So mache ich das :) USB Stick mit der verschluesselten PW Datei und schwupps^^
 
@Neckreg: ach meiner Meinung nach sollte das mit dem Passwort eigentlich kein großes Problem sein. Ich verwende 2 Passwörter - eins für wichtige Seiten und eins für Foren, Blogs, etc. Das eine ist daher eigentlich recht einfach und bei dem richtigen überlegt man sich einfach einen Satz. Jeder hat doch sicher während seiner Schulzeit irgend einen scheiß auswendig gelernt - oder? z.B. "Mein Vater erklärt mir jeden Sonntag unsere neun Planeten." Da nimmt man die Anfangsbuchstaben und variiert sie noch ein bisschen. und schon hat man sowas raus mV3mjSu9P - und darauf kommt dann kein Mensch - und man selbst vergisst es auch nicht. Ach ja - evtl. das auf 8 Planenden abändert - dann ist es Bombe :D
 
@mloepp: was meinst du, wie viele leute jetzt versucht haben, sich mit dem passwort bei dir einzuloggen? :)
 
@s3m1h-44: winfuture zählt du Foren :D, da hab ich meinen benutzernamen als passwort :D
 
@Fallen][Angel: Diese Aussage stimmt so nur dann, wenn ein potentieller Schadensstifter auch mit vernünftigem Aufwand physischen Zugriff auf den Rechner hat (z.B. an der Arbeitsstelle).
Sehr oft macht es schon Sinn, sich lieber ein kompliziertes Passwort auszudenken und es sich zur Not an den Screen zu kleben, statt dafür mangels Gedächtnisvermögen den Namen seines Partners zu verwenden.
Besser ist natürlich die Kombination von komplexem Passwort ohne Aufschreiben.
 
@pelle: Es soll ja Leute geben, die ihre Partner deutlich öfter wechseln, als die Passwörter. Dann muss man sich evtl. an die letzten Partner erinnern, um die Passwörter durch zu probieren ;-)
 
@satyris: schlagendes Argument - muss ich neidlos anerkennen (+) dafür ;-)
 
@Fallen][Angel: Kommt drauf an. Ein Passwort für die Windows-Anmeldung, sollte nicht am Monitor hängen, völlig klar. Bei angriffen auf z.B E-Mail Konten geht, denke ich, die Gefahr eher von Brutforce o.ä Angriffe über das Internet aus d.h wenn dein E-Mail Passwort am Monitor hängt, bringt das dem Hacker ziemlich wenig.
 
@Fallen][Angel: Smart Ass. Danke, dass du nochmal darauf hinweist, ich hätte es beinahe überlesen.
 
16 Milliarden Dollar Kosten, weil die Leute statt zu arbeiten "Sicherheitswarnungen" lesen *hust* Was ist denn das für eine Milchmädchenrechnung?! Verbietet Nachrichten, sie halten uns vom arbeiten ab und das kostet ja Geld... ach ne, am besten wir verbieten die gängige Methode der nahrungsaufnahme, denn in der Zeit arbeiten wir nicht effektiv, wir sollten zukünftig voll autom. durch schläuche während der Arbeit ernährt werden... omfg.
 
@zedIam: Ich glaube nicht, dass es nur um das Lesen der Sicherheitsnachrichten geht. Vielmehr die Umsetzung dessen. Ich kann mir schon gut vorstellen, dass bei manchen Kennwortkomplexitätsregeln viel Zeit beim Mitarbeiter liegen bleibt um sich ein neues Passwort auszudenken. Mind 8 Zeichen, Gro/Kleinschreibung, Zahlen/Buchstaben + alle 4 Wochen kennwortänderung. Und das hochgerechnet auf jeden User für ein Jahr...
 
@mb080574: Plus die Kosten für diverse Admins, die den Usern die Kennwörter zurücksetzen müssen, weil sie das Kennwort vergessen oder falsch notiert haben.
 
@satyris: Kosten für Admins, weil sie Usern Kennwörter zurücksetzen müssen?! Anders gefragt... Es entstehen zusätzliche Kosten weil Admins User supporten?! Ist das nicht teil des normalen Aufgabenbereichs eines Admins? Müssen nie wieder Kennwörter zurück gesetzt werden, wenn sie nicht mehr zwanghaft vom User selbst geändert werden müssen? Nehmen Admins Zeitausgleich wenn sie zukünftig dadurch angeblich entlastet werden? Oder wird dann die geregelte Arbeitszeit reduziert, das es zu einer tatsächlichen Kostenersparnis kommt? Naja... es gibt Leute, denen kann man alles erzählen wenn man es nur richtig argumentiert.
 
@zedIam: Ich denke, dass sehr viele Admins einige Überstunden weniger hätten, wenn sie diese Form von "User-Support" deutlich zurückschrauben könnten.
 
@satyris: Dennoch denke ich, das kein Mensch in der Lage ist diese theoretische Zeitersparnis einem festen Geldbetrag gegenüber zu stellen. Wird ein Admin entlastet, verursacht er dadurch nicht gleich weniger kosten. Erst wenn aufgrund dessen die Arbeitszeit gekürzt wird oder sonstige einschnitte definiert werden. Hat ein Admin Zeit, wird er sich schon zu beschäftigen wissen und wenns nur eine verdiente Zigarettenpause mehr ist wie sonst. Ich möchte mit meiner Argumentation ja nur aufzeigen wie lächerlich ich solche Experten finde die so eine Zahl in den Raum stellen und dadurch eine Geldersparniss vortäuschen... erstaunlich wie viele Leute sich durch so was beeinflussen lassen.
 
@mb080574: Ist doch völlig egal, ob sich die gerechneten Kosten auf den 15 Sekündigen Aufwand des lesens und verstehens der Sicherheitswarnung bezieht oder des zusätzlichen 30 sekündigen Aufwandes zum ändern des Passworts... wenn man so rechnet, kann man auch sagen: Wenn jeder Arbeitnehmer darauf verzichten würde ein individuelles Hintergrundbild für sienen Arbeitsplatz einzurichten, würde das x Mrd. EUR sparen.. alles nur bla bla.
 
@zedIam: Nein, wenn ihr den original Text liest geht es um die reine Zeit die ein User zusätzlich braucht, nicht um irgendwelche zusätzliche Kosten. Und die Zeit ist äußerst gering es geht um EINE Minute die ein User mehr braucht wenn er statt einer 6 stelligen PIN Nummer ein 8 stelliges "starkes" Passwort verwendet. Bei 180 Millionen US Nutzern kommt dann aber diese Summe zustande.
 
Aber prinzipiell könnte er Recht haben, vor allem da die "Cyber-Kriminellen" ;-) wahrscheinlich wirklich nicht 3 MOnate warten ehe sie die Daten einsetzen.
 
Sehe ich genauso, das ist ein wahnsinns Aufwand. Habe während meiner Ausbildung im öffentlichen Dienst alle 3-6 Monate mein Passwort ändern müssen... irgendwann hab ich nix mehr geblickt. Jedes Programm und Login hatte zum Schluss ein anderes Passwort und ich musste die regelmäßig zurücksetzten lassen.
 
@slave.of.pain: Ich denk eh dass es einfach in der Pflicht der Firma liegt eine gute Firewall und Sicherheitstechnik einzusetzen, damit zumindest Trojaner, Viren und andere Angriffe keine Chance haben. Wenn dann das Passwort der Leute sicher/lang/komplex ist und sie darum angehalten werden es nirgends aufzuschreiben, dann ist das auf jeden Fall sicher genug. Wichtige Punkte in der Infrastruktur sollten eh immer besonders geschützt sein, der 08/15 Mitarbeiter sollte niemals Zugriffsberechtigungen bekommen mit denen großer Schaden angerichtet werden kann.
 
@lutschboy: Naja aber ich musste mir die Passwörter aufschreiben, weil ich überhaupt nicht mehr durchgeblickt habe. Hatte dienstlich villeicht 5-7 Passwörter alle unterschiedlich und alle paar Monate geändert... das möcht ich sehn, dass du die dir merken kannst!
 
@slave.of.pain: Ich meinte meinen Kommentar ja auch unterstützend in der Hinsicht dass zyklische Passwortänderungen unnötig sind und wie du schon selsbt sagst ein eigenes Sicherheitsrisiko bergen. Man sollte lieber auf eine sichere Infrastruktur setzen als auf Passwortwahn beim gewöhnlichen Mitarbeiter. Jeder Mitarbeiter sollte nur Zugriff für die absolut notwendigen Bereiche bekommen, und dort auch so eingeschränkt wie möglich.
 
@lutschboy: ah, das hat sich aber in deinem Post aber anders verstanden. Gut dann hab ich es falsch verstanden. Tut mir leid. :)
Da stimme ich dir zu, wegen dem Passwortwahn, denn ich habe das Gefühl, dass man sich dann gerne hinter versteckt und sich sicher fühlt. Hatte nämlich leider schon intensiven Kontakt mit den Administratoren aus unserem Amt, weil ich die Firewall umgangen habe und habe den Eindruck gehabt, dass die nicht wirklich viel Peilung hatten von dem was die dort machen.

PS. Man sollte lieber Mitarbeiter aufklären durch Schulungen zb. und qualifiziertes Personal in der IT einsetzen...
 
Microsoft hat es doch schon vor langer Zeit vorgemacht, dass sie Sicherheit für Windows "Server" für Zeitverschwendung halten: http://heise.de/-39508
 
Aber es ist doch schön, dass die Kriminellen sich immer einen Monat und mehr Zeit lassen, ehe sie Sicherheitslücken in Browsern und Betriebssystem ausnutzen - daher genügt es, wenn Microsoft 1x im Monat Patches verteilt und die Entwicklung des Patches 2-3 Monate gedauert hat. Irgendwas beißt sich hier gerade, oder?
 
@Tyndal: Hauptsache keine "Zeitverschwendung" für Sicherheit. ,-)
 
@Tyndal: Die Entwicklungszeit für Patches kann man aber nicht unbedingt beschleunigen und der Schaden dürfte auch relativ gering ausfallen, da ja nur die Leute einen "Schaden" haben bei denen diese Sicherheitslücke ausgenutzt wurde.
 
Sicherheitspupups von Microsoft werden denk ich von den meisten Ottonormal Usern für nervend empfunden und einfach weg geklickt. Es interessiert nicht was da drin steht. Das wichtigeste ist doch für den Benutzer schnellst möglich ans Ziel zu kommen, auch wenn man die Sicherheit hier hinten anstellt.
 
@Drnk3n: Völlig richtig! Da kann ich Dir nur zustimmen! Noch bedenklicher an der Sache ist noch, dass diese genervten User dann auch andere Warnungen, wie z.B. vom Virenscanner oder der Firewall, ebenfalls weggeklicken!

Gruß in dieser Angelegenheit an Avira für die vielen Falschmeldungen :-(
 
also ich finde mein Passwort mit 1234 ist am sichersten! ;) leicht zu merken leicht zu tippen und wenn man 8stellig braucht mach ich einfach weiter bis acht und voila hab ich eine 8stellige leichte passwort!^^
 
@maijinace: nemo gefrühstückt?
 
@California: ne wollte euch aufmuntern ^^ mach ja nur spaß! immerhin braucht man das wenn man 8 stunden hinterm pc sitzt und arbeitet!
 
DER ULTIMATIVE TIPP! Bildung, Bildung, Bildung...
 
@Laika: Bildung kommt von Bildschirum und nicht von Buch. Ansonsten hieße es ja Buchung.
 
@Laika: Habe einen viel besseren: Keine Microsoft -Produkte verwenden. Die sind löchriger wie ein Schwamm, oder warum gäbe es sonst Lückenschließer wie am "laufenden Band "?
 
@Sighol: Wenn man keine Ahnung hat ..
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles