Passwörter: BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel

[testperson 1.859]

Hi,

 

grade auf heise.de gefunden: https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html?wt_mc=rss.red.security.security.atom.beitrag.beitrag

 

Dann werde ich jetzt mal alle DSBs anschreiben, die zuletzt noch aufs BSI verwiesen haben und nicht zu überzeugen waren, die Kennwörter nicht regelmäßig zu ändern. ;)

 

Gruß

Jan

[BOfH_666 586]

Jetzt dauert's bestimmt nur noch ca 10 bis 20 Jahre, bis das in allen Deutschen Entscheider-/Verantwortlichen-Gehirnen angekommen ist. 

[Gulp 290]

Meinst Du wirkllich das ginge soooo schnell?

 

Grüsse

 

Gulp

[Sunny61 833]

vor 1 Stunde schrieb BOfH_666:

Jetzt dauert's bestimmt nur noch ca 10 bis 20 Jahre, bis das in allen Deutschen Entscheider-/Verantwortlichen-Gehirnen angekommen ist. 

Aber nur dort, wo es bisher schon verankert war. Das Gegenteil ist auch bei vielen noch vorhanden. :)

[NorbertFe 2.283]

Ja in Verbindung mit „Start123“ o.ä.

[SandyB 9]

Die relative Anzahl an Attacken auf schwache Passwörter war 2018  lt. verizon sehr gering (<0.4%).

Welche Auswirkungen auf diese Häufigkeit eine verändertes Wechselintervall oder unterschiedliche Passwortlängen haben, kann m.E. niemand sagen. Vermutlich liegen wir da im Promille-Bereich.

 

Eine Empfehlung zu entfernen, die fast keinen Effekt hat, ist sinnvoll.

 

bearbeitet 4. Februar 2020 von SandyB

[NilsK 3.046]

Moin,

 

woran man wieder schön sieht, dass eine Statistik immer einen Zusammenhang braucht. Sonst ist sie wie eine Bibelstelle, mit der man alles begründen kann.

 

Gruß, Nils

 

[SandyB 9]

das Gesamtpaper ist leider zu groß zum Hochladen. Aber auch dann wärst du vermutlich nicht zufrieden, 

bearbeitet 4. Februar 2020 von SandyB

[NilsK 3.046]

Moin,

 

sorry, das kam etwas rüde rüber. Ich wollte dich gar nicht kritisieren.

 

Gruß, Nils

 

[SandyB 9]

Alles klar!

Mittlerweile habe ich auch die Onlinestellen wieder gefunden:

https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf

https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report-emea.pdf

 

Ich finde Statistiken interessant, weil sie manche Meinungen unterstützen, andere widerlegen. (z.B. das BSI)

Ich leite für mich aus diesen beiden Verizon-Statistiken her, dass die Bedeutung super-sicherer User-Passwörter überschätzt wird. Klar sollen User-Passwörter vernünftig-sicher sein, aber ob es jetzt 8 oder 16 Zeichen, 6 oder 24 Monate maximales Alter etc. sind, spielt bei den aktuellen Angriffsvektoren unterm Strich kaum eine Rolle für die Gesamtsicherheit.

Das ist meine Interpretation

 

 

 

bearbeitet 4. Februar 2020 von SandyB

[magheinz 111]

Der regelmäßige Wechsel erschwert das Accountsharing. Das ist für mich immer noch eine legitimierung... 

[NilsK 3.046]

Moin,

 

das tut ein gutes Kennwort aber noch besser.

 

Gruß, Nils

 

[magheinz 111]

Ne

Das Passwort wird ja bewusst weitergegeben.

Ein zweiter Faktor wäre die Lösung.

Solange der aber nicht da ist, erschwert der Kennwortwechsel das ganze wenigstens etwas. 

[NilsK 3.046]

Moin,

 

genau das meine ich: Ein gutes Kennwort ist zum Weitergeben zu wenig attraktiv. Die Erschwernis ist deinem (etwas kruden) Szenario eher überlegen, das Kennwort als solches ist es mit Sicherheit.

 

Gruß, Nils

 

[magheinz 111]

Wieso krudes Szenario? Bei uns ist das leider die Regel. Im Zweifelsfall wird das Kennwort aufgeschrieben.

 

Ich sehe nur die Chance, das durch einen zweiten, nicht sharebaren Faktor zu verhindern.