Häufiger und erzwungener Passwortwechsel schadet mehr als er nutzt

Es gibt die weit verbreitete Meinung, dass man Passwörter in regelmäßigen Abständen ändern sollte, viele Unternehmen zwingen ihre Nutzer auch entsprechend dazu. Doch laut einer Sicherheitsforscherin erreicht man dadurch keine Verbesserung des ... mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
und am besten das aktuelle Kennwort noch auf nen PostIt kleben, weil man es sich ja eh nicht merken kann wegen der ganzen Wechselei
 
@K-Ace: Ganz deiner Ansicht. Speicher meine Passwörter in der Regel sicher im Kopf.

Außer:
1. Ich werde genötigt, das Passwort ständig zu wechseln
2. Die verlangte Kombination ist so außergewöhnlich, dass kein Passwortalgorythmus von mir passt

In beiden Fällen notiere ich das Passwort, was defintiv unsicherer ist.
 
@gettin: Schonmal an Tools wie KeePass gedacht? Richtig konfiguriert sind die DEUTLICH sicherer als der Zettel ^^
 
@Draco2007: Dann versuch mal bei deiner Windows Anmeldung an KeePass zu kommen ;-)
 
@Tical2k: Deshalb installiert man KeePass zusätzlich auf dem Smartphone :)
 
@Tical2k: Stimmt, das ist dann allerdings nur eines von zwei Passwörtern, dass ich mir merken muss.

Windows-Login und das KeePass-DB Passwort.
Die anderen ~300 muss ich mir nicht mehr merken ^^

Und wie SnakeOil schon richtig angemerkt hat, dafür gibts KeePass Apps fürs Smartphone. Das wird automatisch einmal am Tag per Dropbox auf alle Geräte gesynct und schon habe ich alle Passwörter immer griffbereit.

(Sync natürlich gesichert mit Keyfile und AES 256 Verschlüsselung)
 
@Draco2007: Das Problem bei mir, das speichern, aufschreiben oder hast weitergeben von meinem Paßwort wäre eine Straftat (öffentlicher Dienst). Und ich muss alle 3 Monate mein PW ändern.
Ich rufe oft genug in der IT an, weil ich mal wieder ausgesperrt bin.
 
nun ja, diese "Studie" mag einen wahren Hintergrund haben... doch das alles hilft nichts gegen "Passwort-Diebstahl" im Internet.
Was bringt, das längere perfekte Passwörter wenn diese dann Öffentlich sind... (egal ob das jetzt über mehrere Plattformen hinweg öffentlich ist oder ob man dann eben nur Zugriff auf Plattform A hat...)

Fazit: eine Studie beleuchtet immer nur verschiedene Perspektiven... andere Perspektiven fehlen dann und das manchmal sehr!
 
@baeri: Wieso sollte das Passwort öffentlich sein?

Wenn ein Passwort geknackt wird, wird es DIREKT genutzt und nicht erst Monate später. Deshalb ist das ständige Ändern des Passworts in jedem Fall kontraproduktiv.

Was ändert das denn dann an dem Resultat der Studie? Die Studie besagt "häufiges Ändern der Passwörter führt zu einfacher zu knackenden Passwörtern", daran ändert deine Aussage gar nichts...
 
@Draco2007: "Wenn ein Passwort geknackt wird, wird es DIREKT genutzt"

auch deine Studie beschäftigt sich nur mit einer Seite einer Medallie...
Ich kenne genug Passwortlisten im Internet mit Gmailaccounts, Ebayzugängen,...

Und ich bin mir sicher, dass ich nicht ALLE kenne...

Natürlich hast du nicht unrecht mit der aussage, wenn das Passwort einmal geknackt wurde, ist es schon sehr sehr spät... aber was ist wenn einfach nur die Datenbank der "unverschlüsselten" PokemonGO (als Fiktives Beispiel) Zugänge veröffentlicht wird, hier aber einfach (zwar ausreichend sichere Passwörter) dennoch aber auch für den Onlinebanking Zugang verwendeten Passwörter "Öffentlich" werden...
Und wenn dann in der Big-Data DB auch deine bisher bekannten Passwörter aufgeführt werden, macht wechseln ggf. doch mal Sinn.

Und selbst wenn ein Account mal "Missbraucht" wurde, muss man ja nicht beim ~neuen~ das selbe Passwort verwenden!? Oder ist das zu komplex für euch???
 
@baeri: Deshalb müssen die Unternehmen eben besser auf ihre Daten aufpassen.

WENN mal ein Zugriff passiert (was nicht zwingend auszuschließen ist), DANN müssen eben alle betroffenen Anwender informiert werden, dass jetzt das Passwort zu ändern ist. Schon schlimm genug, dass immer noch Passwörter im Klartext oder ohne Salt gespeichert werden. Das ist die eigentliche Frechheit, sonst würden solche Accountlisten gar nicht existieren.

Aber wer nach so einer Nachricht sein PW nicht ändert, der hat dann einfach nur selbst Schuld.
 
@Draco2007: hm, da hast du schon recht...
aber ich habe so das "dumpfe" Gefühl, dass Unternehmen wie z.B. Facebook (iwie aber auch Amazon) SICHER die Passwörter verschlüsselt speichern ABER (und ich kann es echt nicht erklären woher der verdacht kommt [ohne ironie jetzt]) dass die alle Passwörter erstmal "mitschneiden" ...

=> hm... darüber gibt es bestenfalls Verschwörungstheorien... ich kann mit aber aus "Entwicklersicht" die vorteile erklären und der Grund warum es eben keine Verschwörungstheorien gibt ist auch einfach erklärbar (was hat der Kapitalismus eben so erreichen kann)

Fazit: hier war jetzt viel Glaskugel! geb ich zu... aber es ist ein Theoretisches Szenario bei dem es sehr wohl Sinn macht VIELE Passwörter zu haben <- auch wenn man bei betroffenen Plattformen sein PW in der Tat erstmal NIE Tauschen muss (vor allem wenn es keine Kapitalistische oder Persönliche Relevanz hat)
 
@baeri: Klar, für die Unternehmen ist es ein leichtes die PWs einfach mitzuschneiden. (Selbst Entwickler)

Was auch durchaus sinnvoll sein kann. Zumindest wenn man die Passwörter ohne weitere Userinformation speichert. Einfach für eine Häufigkeitsanalyse. Gut die kann auch wieder zum "Bösen" verwendet werden ^^
 
Mich nervt die Meldung auf der Arbeit auch tierisch. Alle drei Monate das gleiche Spiel...
 
@EffEll: Wenigstens bekommst Meldung ;) Ich muss mit einer Software arbeiten, die alle 4 Monate einen Passwortwechsel verlangt. Diese Software fragt aber nicht danach, sondern gibt exact zum Wechseltag beim Einloggen eine Maske aus. Aber es gibt weder eine Erinnerung noch eine Toleranz. Ende vom Lied, der letzte Wechsel wäre im Urlaub gewesen und da ich das im Vorfeld einfach vergessen habe, war nach dem Urlaub der Zugang versperrt und der zuständige Betreuer war nicht da. Ich hatte also einen recht ruhigen ersten Arbeitstag.
 
@New_world_disorder: Ich bekomme zum Glück 21 Tage vor Ablauf ne E-Mail. Da brauchts schon nen ausgedehnten Urlaub
 
@EffEll: Ich hatte 5 Wochen, da kann man durchaus ausgedehnt nennen ;)
 
Meiner Meinung nach am Sinnvollsten ist doch, das man überall ein anderes Passwort verwendet. Dann entfällt auch die Notwendigkeit das Passwort regelmäßig ändern zu müssen.
 
@Stefan1200: nicht wirklich.
1. überall ein anderes PW da kommst du in den Bereich wo sich keiner mehr alle Passwörter merken kann.

2. das regelmäßig PW wechseln hatte, oder hat, unter anderem auch den Hintergrund das man Provisorisch PW´s wechselt falls es unbemerkt geknackt wurde und der Account nach dem Wechsel wieder sicher ist. Klar nutze ich das PW auf 5 Seiten sind 5 gefährdet und nutze ich es nur auf einer ist nur diese eine gefährdet ändert aber nix das ich am ende doch bei allen 5 das PW ändern müsste. (mal unabhängig davon wie wahrscheinlich der hack und wie sinnvoll der Wechsel ist)
 
@Eagle02: 1. KeePass (bei mir ~300 Passwörter, alle maximale Länge, maximale Komplexität und einzigartig)

2. WENN ein Passwort geknackt wird, wird es sofort genutzt und nicht erst nach 1-3 Monaten. Weshalb das Ändern im Prinzip nichts bringt. Eine gute IT erkennt einen unerlaubten Zugriff und dann werden eben die Passwörter alle einmalig geändert.
 
@Draco2007: Keine Ahnung warum du Minus bekommen hast. Von mir ein Plus.
 
@Stefan1200: Ist mir auch ein Rätsel ^^
 
@Draco2007: Genau. Und wenn dann Passwörter von DropBox 2012 heute geleakt werden, dann wird die bestimmt niemand bei anderen großen Anbietern ausprobieren....
 
@DRMfan^^: Wenn Dropbox 2012 darüber informiert hätte und alle Benutzer darüber aufgeklärt HÄTTE. HÄTTE man da das eine Passwort überall da ändern können, wo man es genutzt hat.

Mal davon ab, dass es kaum etwas blöderes gibt als ein Passwort für alles...
 
Na was is da so schwer??? Wird eben anstatt 12345 jetzt 23456 verwendet ;-)
 
@Zonediver: womit man irgendwann bei 13141516 wäre...
 
@Zonediver: "Ich habe die selbe Kombination an meinem Koffer" - "Jetzt eine Dose PerryAir"
 
PW Änderungen (Mit Ausnahme von bekannt gewordenen hacks) und übertrieben lange "sichere" PWs sind absoluter Schwachsinn wenn ein online service anständig aufgebaut ist und einen Account nach ca 10 fehlgeschlagenen Versuchen vorsichtshalber sperrt.

Sinnvoller ist es ein einzigartiges PW für sicherheitsrelevante Seiten zu haben und für Seiten bei denen Sicherheit irrelevant ist (wie zB Winfuture, Gamingforen etc) ein gemeinsames PW zu nutzen, bei dem man automatisch davon ausgeht das es bereits kompromittiert ist.
 
@Aerith: stimme ich dir zu. Wobei ich nicht erst nach 10 mal sperren würde sondern schon nach 3 oder 5 mal aber sonst seh ich das ganz genauso.
 
da spiel hat mal ein mmorpg-anbieter mit mir versucht, nachdem ich dort schon über vier jahre mitgezoggt habe...hab dann meinen account gelöscht, weil ich es leid war mir jeden monat deren neue komplizierte passw-regeln zu merken...man mußte das passw jedesmal eingeben...ein speichern war nicht möglich...hinterher kamen noch monatelang bettelmails, worauf ich natürlich nicht geantwortet habe...schade...war kein schlechtes spiel...
 
Gut, aber das betrifft eben nur jene Menschen, die ihre Passwörter dann nur variieren.
Menschen, die bei jedem Passwortwechsel ein komplett neues erstellen, vermindern also eben nicht ihre Sicherheit. Deswegen ist die Überschrift irreführend. Bei faulen Menschen führt ein häufiger Wechsel des Passworts zu einem erhöhten Sicherheitsrisiko.

So wäre das richtig.
 
@s2g: Naja wo wird denn meistens verlangt, dass man sein Passwort monatlich ändert? Meistens wohl in Unternehmen und da arbeitet idr mehr als eine Person.

Und bei vielen Mitarbeitern ist nunmal davon auszugehen, dass es einige Mitarbeiter gibt, die entweder faul oder einfach genervt davon sind, sich andauernd neue starke Passwörter ausdenken und merken zu müssen.

Vor allem wenn dann noch solche dämlichen Regeln dazukommen, wie "mindestens ein Kleinbuchstabe, Großbuchstabe, Zahl und Sonderzeichen" oder am besten noch "nicht mehr als 3 Zeichen einer Zeichengruppe hintereinander"...
All das schränkt zum einen die Passwortstärke ein, zum anderen lässt es sich nicht mehr so gut generieren z.B. von KeePass.

Und wenn man Menschen eben mit so einem unnötigen Mist nervt, stellen die irgendwann auf stur und ändern ihr Passwort nur noch minimal und gehen zu einem generell einfach zu merkenden über.

Selbst wenn du dann der Mitarbeiter des Monats bist und jedesmal ein super Passwort hast, ist das Unternehmen trotzdem gefährdet und es wäre besser dran, die Passwortänderei seien zu lassen.
 
@s2g: Ich vermute, dass du in keinem größerem Unternehmen arbeitest oder vielleicht sind in deinem Unternehmen kompetente IT-Fachkräfte am Werk (dann herzlichen Glückwunsch).

In meinem Unternehmen werde ich auch alle 4 Monate dazu genötigt, mein Passwort zu ändern, aber glücklicherweise reicht es aus ein Sonderzeichen und eine Zahl zu ändern, damit das neue Passwort akzeptiert wird. Aber dennoch nervt es immer tierisch und hab mich schon immer gefragt, warum das überhaupt erforderlich ist, denn Sicherheit sieht anders aus. Deswegen sehe ich diese News hier auch als Bestätigung für mich.
 
Ich sehe nicht, wo der Artikel zeigt, dass der erzwungene Wechsel kontraproduktiv ist.
Wenn leichte Variationen genommen werden ist es immer noch sicherer, als wenn das Passwort dauerhaft bestehen bleibt. An welchem Punkt ist das Kontraporduktiv?
 
@DRMfan^^: Zitat vorletzter Absatz: Derartige "Transformationen" sind gut für Skripte und Algorithmen geeignet, die UNC-Forscher fertigten entsprechend ein Programm an, das mit einer erstaunlichen Trefferquote die Passwörter vorhersagen konnte.

Gern geschehen
 
@Vollbluthonk: Korrekt. Und wenn das passwort gar nicht geändert wird, braucht einS kript genau 1 Versuch um aus dem bekannten alten PW das neue erfolgreich "auszuprobieren". Selbst wenn nur eine Zahl angehängt wird ode rein Sonderzeichen ist die vorhersage noch immer schwerer, als wenn gar keine Änderung erfolgte....
 
@DRMfan^^: Irgendwann gehen Anwender zu Passwörtern über, wie: "August2016", womit er eine Buchstaben- Ziffern- Kombi hat, die er sich leicht merken kann, und die von jedem Algorithmus akzeptiert wird. Monatlich wird geändert und selbst über den Jahreswechsel scheitert er nicht am Dublettenverbot.
 
@DRMfan^^: Weil die Passwörter sich entweder nur in einem Zeichen unterscheiden oder eben extem einfach werden.

Ersteres kann wohl vorhergesagt werden und letzteres öffnet Dictionary Angriffen Tür und Tor.
Beides ein ernstes Sicherheitsrisiko.

Und WENN ein Passwort geknackt wird, wird nicht erst 3 Monate gewartet bis es genutzt wird. Also ist die Sicherheit durchs Wechseln auch nur ein Trugschluss.

Wichtig ist, dass die Systeme gut überwacht werden und ein Zugriff entdeckt wird, um die User zu informieren, die Passwörter zu ändern. Aber regelmässiges Ändern bringt kaum mehr Sicherheit und frustriert nur die User/Mitarbeiter.
 
@Draco2007:
Auch wenn dies etwas älter ist möchte ich trotzdem schreiben. Die kausale Erkennung ist immer wieder Lustig. Erschreckend das DRMfan einer der wenigen ist die das Erkennen.
In diesem Artikel wird in nicht erklärt warum den nun das Wechseln des Passwords kontraproduktive ist. Er zeig nur das es eine Gruppe von Menschen gibt die das setzten eines Password grundlegend falsch gestalten.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles