Der Autor bekannter Passwort-Regeln bereut seine Tipps heute

An allen möglichen Ecken bekommt der Internet-Nutzer heute Empfehlungen, wie man mit Passwörtern umgehen sollte. Teilweise wird die Einhaltung einiger Regeln auch erzwungen. Der Mann, auf den all dies zurückgeht, bereut einige dieser Festlegungen ... mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Pixabay Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Pixabay

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Entschuldigung angenommen
 
schön das er sich entschuldigt wobei er ja dafür nix kann.
Ist ja nicht seine Schuld das alle möglichen Firmen und noch schlimmer Dozenten sich an seinem werk orientieren und es als in Stein gemeißelte Regeln ansehen.

Ich stimme ihm aber zu das es teilweise echt einfach nur noch Nervig ist.
Wenn schon manche voll Freaks bei einem einfachen Allianz Forum für ein Online Game der Meinung sind sie müssen alle 60, 90 oder 120 Tage ein neues Passwort fordern das min 8 Zeichen aus Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen bestehend ist die Grenze mehr als überschritten.
Wenn teilweise echt uninteressante Smartphone Apps meinen man muss ein min 10 Stelliges Passwort mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen benutzen bekommt man nur noch das Kotzen.

Da ist es ab einem gewissen Punkt dann nicht mehr verwunderlich wenn immer mehr auf A,1.B,2.C,3 oder sowas ausweichen und das dann bei allen Seiten nutzen.
Kann sich ja auch irgendwann kein Mensch mehr Merken.
 
@Eagle02: So sieht es aus. Selber denken! Wo kommen wir denn da hin?

Allerdings steht Sicherheit dem Komfort entgegen. Beides geht nicht; "bequeme Sicherheit" ist ein Oxymoron und wenn wer mit sowas wirbt, muß man sich fragen, wo der Haken ist.

Ich stimme Dir aber zu, daß inzwischen eine gewisse Paranoia um sich greift, die - so scheint es -- eher auf FUD basiert als aus Fakten.
 
@RalphS: es hilft ja schon wenn man bspw anbietet, 2FA zu nutzen und dafür ein schwächeres PW erlaubt.

6 oder 8 zeichen und 2 Klassen (ohne festlegung welche) würde ja schon locker reichen wenn jemand 2FA nutzt.
 
@Eagle02: Naja aber dass ein einmal erbeutetes Passwort bei wichtigen Sachen nicht n Jahr später immer noch funktionieren sollte, macht schon Sinn. Genauso dass 10 Stellen mit Zahlen und Sonderzeichen sehr viel sicherer sind als 4 Kleinbuchstaben.
Die Regeln sind nicht das Problem und wurden nicht Grundlos eingeführt, sicher auch nicht nur wegen dem Papier des Typen. Jeder der ansatzweiße was mit Mathematik oder IT zu tun hat weiß was bei einem Brute Force als erstes in die Knie geht.
Ohne die Regeln nutzt wieder jeder hallo123 und ist nach weniger als einer Sekunde geknackt.
Ja Sicherheit und Komfort wiederspricht sich leider oft.
Aber vielleicht kommen wir so schneller dahin wo man ohnehin hinkommen muss. Dass man sich nicht über 30 genug komplexe Passwörter merken kann. Man grundsätzlich einen Passwortmanager einsetzt oder andere technische Möglichkeiten findet.
 
@jackii: Deswegen eben wie zuvor schon erwähnt 2FA oder MFA oder biometrisches Login.
 
@jackii: bei Konten bei denen ein check sowieso nur online geht (oder übers interne netz oder was auch immer, hauptsache der angreifer hat nicht den hash in der Hand) ist bruteforce sowieso eingeschränkt und noch weiter einschränkbar, bspw durch timeouts. ein login alle 10 sec ist nicht so schlimm für den echten user aber macht bruteforce sehr aufwändig. bei einem 6 zeichen passwort dass nur aus kleinbuchstaben und zahlen besteht (36 möglichkeiten pro zeichen) hat man schon 2,2 Milliarden Möglichkeiten.
bei einem login alle 10 sec sind das knapp 700 jahre.

und das problem ist auch dass die regeln statisch sind, und mit 3 (oder sogar 4) klassen zwang und so weiter sich wordlist-passwörter nicht so gut nutzen lassen.

und n PW manager torpediert das konzept von PWs die man sich merkt auch, dann nutzt man einfach hallo123 für den oder schreibt das passwort auf nen zettel am monitor, genial (/s)
 
@jackii: ich sagte ja auch nicht das ein Passwort Wechsel perse schlecht ist auch nicht das ein kompliziertes und komplexes Passwort schlecht ist.
Bei wichtigen Accounts wie Bank oder dem Passwort Manager mehr als sinnvoll.

Ich sagte das es Unsinn ist sowas bei einem Allianz Forum für ein Online Game zu machen oder ähnlichen Accounts wo außer dem Nickname im Grunde nix steht (und wer da alle seine Daten einträgt ist selbst schuld)
Also bei absolut unwichtigen Accounts Regeln zu nutzen wie: min 8 Zeichen, Groß und Kleinschreibung, Zahlen und Zeichen aber kein Leerzeichen und kein / oder \ oder " oder , und . usw....
 
@Eagle02: Für soetwas gibt es KeePass oder Alternativen. Funktioniert seit Jahren tadellos und alle Kennwörter sind hoch komplex!
Gut das Masterpasswort sollte man sich merken ;) Aber das ist ja machbar.
 
@Chris.Pontius: ist aber auch nicht genial da wenn der Safe nicht sicher ist (bspw weil schlechtes masterpw) ists auch sinnfrei, PW Manager gehen eigentlich gegen das Konzept dass PW ein Faktor vom Typ "Wissen" ist.
 
@My1: Klar das MP sollte komplex und 20 Stellen lang sein. Und die 20 Stellen kann man ja auswendig lernen.
 
@Chris.Pontius: problem ist aber dass iirc die meisten manager das nicht beschränken und es damit nicht besser wird.
 
@Chris.Pontius: Keepass nutze ich auch, dennoch ist es nervig auf diversen Seiten erstmal sein Passwort raussuchen zu müssen, weil man es sich nicht mehr merken kann.
Wenn man es ganz genau machen will, holt man sich eine Domain und erstellt für jede Seite eine Weiterleitung die dort genutzt wird. So kann man zumindest bei veröffentlichten Daten oder auch bei ersten Anzeichen von Spam sehen wo genau die Adresse abgegriffen wurde und rechtzeitig reagieren.. Aber das ist auch wieder so eine Aufwand != Komfort abwägung.
 
@CrazyWolf: Sorry aber dann benutzt du Keepass nicht richtig! Keepass hat ein Feature "Autotype" bei dem er dir das richtige Passwort selbstständig raussucht und einträgt.

http://keepass.info/features.html#lnkdragdrop
 
@Chris.Pontius: funktioniert aber nicht auf allen Seiten. Genauso wenig wie der Autologin von Last Pass. Gibt immer wieder Webseiten wo man es manuell raussuchen muss.
 
@Eagle02: Kannst du mal ein Beispiel nennen? Ich habe über 190 Logins auch Anwendungen und bei keiner funktioniert das AutoType nicht.
 
@Chris.Pontius: bei der alten Unitymedia Webseite ging es nicht (mittlerweile geht's seit die das ding vor paar Wochen neu gemacht haben).
Bei Computerbase will es nicht.
Bei humblebundle ist es sehr launisch. mal funktionierst mal nicht.
 
@Eagle02: Ich würde behaupten, dann stimmt was an deiner Keepass Konfiguration nicht. Grade Computerbase hatte ich noch nie Probleme.
 
@Chris.Pontius: Die Probleme sind schon real. Manche Seiten oder Programme wollen bei mir auch einfach nicht bzw. nicht auf Anhieb.

@Eagle02: Bei deinen Passwörtern kannst du, wenn du diese editierst, im Reiter "Auto-Type" gewisse Auto-Type regeln festlegen. Ziehe dort bei den Custom sequences einfach mal dein Browser-Fenster rein. Löst zu 95% alle Probleme, wo das Autotype nicht auf Anhieb funktioniert.
 
@Chris.Pontius: jo ich nutze auch LastPass da es auf allen Plattformen funktioniert, es für alle Browser ein Addon gibt und ich es überall uneingeschränkt nutzen kann.
Gibt aber genug die gar keinen Passwort Manager nutzen oder einen nutzen der nur auf dem Handy oder nur am PC funktioniert und auf den anderen Plattformen müssen sie sich dann wieder merken oder aus einer Passwort Export liste oder so das PW raussuchen.
 
@Chris.Pontius: Aber es geht ja eher darum, dass in vielen Fällen es total überflüssig ist ein sicheres Passwort zu verwenden. Wir könnten hier bei WinFuture alle Abc123 verwenden und das schlimmste was passieren kann ist, dass jemand anderes mit deinem Namen schreibt - und selbst das wär egal.

Und das Problem ist dann auch noch, dass eben viele total unwichtigen Webseiten dann sagen, Abc123 würde nicht gehen, da man noch ein Sonderzeichen benutzen soll oder 8 Stellen haben muss. Schon bekommt man das Kotzen und darf sich hinter das Passwort noch zwei Ausrufezeichen dran hängen.

Komplexe Passwörter sind da sinnvoll, wo man Geld ausgeben kann, private Daten gespeichert hat oder eben für seinen E-Mail-Account. Ein Forum nervt nur mit diesen Regeln.
 
Microsofts Papier dazu: https://www.microsoft.com/en-us/research/wp-content/uploads/2016/06/Microsoft_Password_Guidance-1.pdf

Ganz interessant übrigens dort die Aussage: Microsoft sees over 10 Million username/password attacks PER DAY....
 
@scar1: haben die eigentlich nen timer um die eingegebenen PWs pro account zu beschränken?
 
@My1: hmm, keine Ahnung wie das im Hintergrund da läuft.
Laut [1] gibt es zumindest dynmically banned passwords und das Sperren bei zu vielen/schnellen Fehlversuchen.

habe selber auch schon mitbekommen, dass ich bei Einloggen im Ausland nach einem Code gefragt wurde, der an meine alternative Email geschickt wurde (blöd halt wenn das auch eine bei Microsoft ist, die genauso gelockt ist :-))

und wenn man ein eigenes AzureAD verwendet, dann kann man da ja auch so diverse Threat Analysen machen soweit ich weiß.

[1] https://docs.microsoft.com/en-us/azure/active-directory/active-directory-secure-passwords
 
@scar1: gut zu wissen, aber ja da ist es sinnvoll nen anderen account zu nehmen, oder zumindest ne gute 2FA einzurichten, damit dürfte sich das problem auch lösen.
 
@My1: ja, das "blöd halt..." war rein hypothetisch. in meinem Fall hab ich da einen ansonsten nicht verwendete web.de account als "notfalladresse".
 
@scar1: aso, rein hypothetisch, gut, wobei es ja die dienste idr sowieso nicht gut finden, wenn eine person 2 accs hat und dann u.u. auch nicht nen anderen acc vom selben dienst als recovery zulassen.
 
Werft den Purschen zu Poden!
 
Passwort wechseln bringt nur in einem Fall einen Sicherheitszugewinn:

Person A hat ihr PW an Person B weitergegeben, steht aber mit Person B nicht weiter in Kontakt. Nach 90 Tagen hat also Person B keinen Zugang mehr zu Firmennetz, da Person A ihr PW ändern musste.
 
@Aerith: der konstruierte Fall ist in sich schon unsinnig. Will ich einer externen Person Zugriff geben, bekommt die ein eigenes Login und dies ggf. mit enger Befristung. Wenn deine Person A das eigene Passwort rausgibt, gehört diese Person dringend geschult und bei Wiederholung verwarnt. Und wer Person A zu solch einem Vorgehen geraten hat, sollte durch einen kompetenteren Mitarbeiter abgelöst werden.

Wir haben eine vergleichweise hohe Fluktuation (viele Studenten in Praktikas bei uns) und natürlichkriegen die alle eigene Accounts. Ebenso haben wir auch genug Externe, die mal für einen Tag über ein oder zwei Wochen (z.B. Finanzamt- oder Wirtschaftsprüfer o.ä.) bis unbefristet Zugriff benötigen. Für wiederkehrende kurze Zugriffe wie Prüfer haben wir z.B. separate Prüferaccounts, die immer nur befristet offen/aktiviert sind und beim nächsten Mal neue Passwörter und neue leere Profile und Homeverzeichnisse bekommen, für den Rest legen wir jeweils eigene Accounts an. Dauert unter 1 Minute, da gut vorkonfiguriert. Und man kann recht gut überschauen, wer wo Zugriff hat.
 
@Drachen: Jap, kann ich dir nur zustimmen. Ich erzähle nur davon was mir in der Praxis so unterkommt. ^^
 
@Aerith: Nö Du! Person A wurde derzeit entlassen, da *es* das Paßwort weitergegeben hat!
 
swe blöde MS login hat mich schon seit jahren in der gewalt. Jedes mal (also etwa alle 12 lichtjahre) muss ich mich da mal einloggen und jedes mal weiß ich das passwort nich. einmal zurückgesetzt muss man durch die absurden PW bestimmungen. also bleibt einem nichts anders übrig als jedes mal ein komplett neues passwort zu nutzen obwohl man es ja nur vergessen hat und es nicht mal unsicher war. zum kotzen-.-'
 
Den letzten Satz kann ich so nur unterschreiben. Musste echt schmunzeln, weil ich das genau so kenne von meiner ehemaligen Arbeit.
 
https://xkcd.com/936/

;)
 
Also sinnvoll ist eigentlich zu sagen, mind. 8 Zeichen lang, Groß- und Kleinbuchstaben und mind. 1 Zeichen, dass keine Groß- oder Kleinbuchtabe ist UND es darf keine echten Wörter enthalten.

Sowas wie Uschi!123 sollte nicht gehen. HhHM~23E! dagegen passt. Merken kann man sich das recht easy Heute holt Herr Meyer ca. 23 Eier! ^^

Aber ernsthaft, das Passwort braucht eine Mindestlänge und eine Mindestkomplexität, ansonsten kann man es auch einfach weg lassen. Man bedenke den Fall heimisches WLAN mit WPA2 Verschlüsselung.
Ist es kürzer als 8 Zeichen und lautet dann noch Wlan123, dann ist das binnen 2 Wochen knackbar und der Kollege von nebenan surft mit.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles